-1.jpeg?width=48&height=48&name=DSC_2387%20(1)-1.jpeg){kind=small}
企業にとって、顧客情報を活用していかに顧客体験を向上させるかがビジネスにおいて重要な施策となっています。一方で、企業が蓄積する極めて機密性が高い顧客情報を盗もうとするサイバー攻撃の数も増加しています。
情報漏えい対策に有効な手段の1つが「ファイアウォール」の導入です。ファイアウォールは内部ネットワークと外部ネットワークの間に立ついわゆる「壁」のような存在であり、不正アクセスをブロックして内部ネットワークを保護します。
ファイアウォールと一口に言っても、種類や設置場所などで効果は異なり、事前に理解を深める必要があります。本記事では、ファイアウォールのメリットや設置場所、おすすめの製品をご紹介します。
セキュリティに欠かせない「ファイアウォール(Firewall)」とは?
ファイアウォールは、直訳すると「防火壁」です。その名の通り、自社ネットワークと外部ネットワークの間に立ち、外部攻撃の侵入を防ぐ役割があります。数あるセキュリティ機能の中でも、「門番」の役割を担っているのです。以下では、ファイアウォールの仕組みについて紹介します。
ファイアウォールの基本的な仕組み
ファイアウォールの基本的な仕組みは、事前に登録したルールに該当するパケット(IPによって分割されたデータ)の通過を許可し、それ以外のパケットは遮断することです。
例えば、ファイアウォールでポート番号80のパケットを遮断すると設定した場合、IPアドレスやプロトコルなどが正常でも、ポート番号が80番なら、そのパケット通信はブロックされます。
【ポート番号80の通信を遮断すると設定した場合の例】
アクション | IPアドレス | プロトコル | ポート番号 |
許可 | any(全ての条件に適合) | TCP | 25 |
ブロック | any | TCP | 80 |
許可 | any | UDP | 110 |
ファイアウォールは、主に以下の項目でパケットの選別、制御を行います。
- プロトコル
- 送信元のIPアドレス
- 送信元ポート
- 宛先のIPアドレス
- 宛先ポート
- キーワード
ファイアウォールを導入する2つのメリット
ファイアウォールを導入するメリットは以下の2つです。
- 不正プログラムの侵入を防止
- 情報漏えい防止
1.不正プログラムの侵入を防止
ファイアウォールがなければ、ありとあらゆるパケットが内部ネットワークに入ります。悪意のあるパケットが侵入すれば、ウイルス感染や乗っ取りなどの被害を受ける可能性もあるのです。
ファイアウォールだけで、全てのサイバー攻撃は防げません。しかし、「防火壁」という名の通り、ファイアウォールがあるのとないのでは、内部に侵入する不正アクセスの数が大きく異なります。
ファイアウォールを導入すれば、社内ネットワークに侵入する不正アクセスの数をおさえられ、サイバー攻撃を未然に抑制できるのです。
2.情報漏えい防止
企業にとって、顧客情報は大切な資産であり、絶対に守るべきものです。万が一、顧客情報が流出すると、顧客からの信頼も失墜しかねません。
ファイアウォールを導入すれば、情報漏えいやマルウェア感染などの原因となる不正プログラム侵入のリスクを低減できるでしょう。
知っておきたい、ファイアウォールの3つの機能
ファイアウォールは以下3つの機能を用いて、外部からの不正アクセスを防止します。
- フィルタリング
- アドレス交換
- 管理・監視
1.フィルタリング機能
ファイアウォールのフィルタリング機能とは、事前設定したルールとパケットを照合し、ルールに反した通信を遮断する機能です。後ほど詳しく解説しますが、フィルタリングを行う範囲によって、3種類のファイアウォールに分けられます。
セキュリティを高めるため、一般的には事前設定したルールに合致したパケットのみ許可するフィルタリングを適用するケースが多いです。
2.アドレス交換機能
IPアドレスとは、インターネットに接続した端末に割り当てられる数字であり、インターネットに接続する「グローバルIPアドレス」と接続しない「プライベートIPアドレス」の2種類に分けられます。
ファイアウォールのアドレス交換機能では、プライベートIPアドレスとグローバルIPアドレスを相互に変換し、内部ネットワークのセキュリティを高めます。2種類のIPアドレスを交互に交換するため、外部から内部IPアドレスが隠せます。
3.管理・監視機能
ファイアウォールは、通過と遮断するパケットを記録します。例えば、リアルタイムで通信記録を監視すれば、サイバー攻撃の事前調査として悪用される「ポートスキャン」の検知が可能となり、未然にサイバー攻撃を防げます。
その他にも、外部ツールとの連携でレポート作成をしたり、内外部の通信利用状況の調査をしたりできます。ファイアウォールの管理・監視機能を使えば、セキュリティシステムの脆弱性の特定と改善を迅速に行えるのです。
ファイアウォールとWAFやIDS/IPSの違いとは?
ファイアウォール | WAF | IDS/IPS | |
保護する対象 | 内部ネットワーク | Webアプリケーション | OS・ソフトウェア |
対応可能な主な攻撃 | ポートスキャン | クロスサイトスクリプティング SQLインジェクション | DoS攻撃 SYNフラッド攻撃 |
ファイアウォールと混同されるセキュリティ機能が、WAFやIDS/IPSです。各セキュリティ機能は保護する対象が異なり、目的に応じて使い分ける、もしくは併用する必要があります。以下では、ファイアウォールとWAFやIDS/IPSの違いを紹介します。
WAFとの違い
WAFとは、Web Application Firewallの頭文字を取った略語であり、Webアプリケーションに対するセキュリティ機能です。
ファイアウォールとの違いは、保護する対象と対応できる攻撃の種類です。ファイアウォールは、内部ネットワークと外部ネットワークの間で、ポートスキャンなどの不正アクセスを防ぎます。
対して、 WAFはクロスサイトスクリプティングやSQLインジェクションのようなWebアプリケーションの脆弱性を狙った攻撃からWebサイトを守るのです。
Link to Child Article WAF
IDS/IPSの違い
IDS/IPSはOS・ソフトウェアに対するセキュリティ機能で、それぞれIntrusion Detection System(不正侵入検知システム)、Intrusion Prevention System(不正侵入防止システム)
の略称です。ファイアウォールは不正アクセスをブロックするのに対し、IDS/IPSは不正通信を監視し、管理者にアラートを出します。
IDS/IPSは情報内容自体を監視できるため、ファイアウォールが検知できないIPアドレスなどを偽装した攻撃の防止も可能です。
ファイアウォールの種類は主に3つある
ファイアウォールは機能性の違いにより以下3種類に分けられます。
- パケットフィルタリング型
- アプリケーションゲートウェイ型
- サーキットレベルゲートウェイ型
1.パケットフィルタリング型
事前に設定したルールに基づき、許可するパケットと遮断するパケットを選別します。 処理速度は速い一方、パケットの中身は確認できないため、ウイルス付きEメールなどの偽装されたパケットの判別はつきません。 シンプルな機能性を備えたファイアウォールであり、他のセキュリティソフトと併用することが望ましいです。
2.アプリケーションゲートウェイ型
高度なアクセス制限やパケットの中身の確認ができるファイアウォールです。例えば、事前設定したキーワードやURLを含んだパケットなどが遮断できます。
また、ファイアウォールが内部ネットワークの代わりに外部サーバーと接続するため、内部ネットワークのセキュリティを高めることも可能です。 ただし、多くの情報を読み込むため、処理速度が遅いというデメリットがあります。
3.サーキットレベルゲートウェイ型
パケットフィルタリング型の機能に加え、通信を許可するポートの指定などコネクション単位での制御が行えるファイアウォールです。 どのアプリケーションプロトコルでも使用でき、特定のシステムやソフトの制御も行えます。
ファイアウォールの設置場所で効果が変わる
ファイアウォールは設置場所により、保護する対象が異なります。以下では、3つのファイアウォールの設置場所について紹介します。
- ファイアウォールの内側に社内ネットワークを設置
- ファイアウォールの外側に公開サーバーを設置
- ファイアウォールを2台設置
1.ファイアウォールの内側に社内ネットワークを設置
ファイアウォールの内側に全ての社内ネットワークを設置すると、容易に公開サーバーへのアクセスが可能となります。 一方、ファイアウォールをすり抜けて、悪意あるパケットが侵入した場合、社内ネットワーク全体にリスクが及びます。
2.ファイアウォールの外側に公開サーバーを設置
公開サーバーをファイアウォールの外側に設置すると、悪意ある情報が侵入したとしても、社内ネットワークに影響が及ぶことはありません。 ただし、公開サーバーにも個人情報は含まれているため、公開サーバーのセキュリティを高める必要があります。
3.ファイアウォールを2台設置
上記2つの設置場所では、社内ネットワークもしくは公開サーバーが「DMZ(DeMilitarized Zone:非武装地帯)」と呼ばれる無防備な状態になります。DMZを防ぐ方法として、社内ネットワークと公開サーバー両方にファイアウォールの設置が挙げられます。
ファイアウォールの管理こそ複雑になりますが、社内ネットワークと公開サーバーを同時に守ることが可能です。 現在、多くの企業がこの方法でファイアウォールを導入しています。
ファイアウォールの代表的なサービス3選
以下では、ファイアウォールの代表的なサービスを3つ紹介します。
CheckPoint :次世代ファイアウォール
CheckPointの次世代ファイアウォールは、60以上のセキュリティ機能を備え、2017年頃から登場し始めた第5世代のサイバー攻撃を防ぎます。エンドポイントを包括的に防御するハーモニー・エンドポイント機能により、未知の驚異の除去や認証情報の保護が可能です。
IPSやアンチウイルス、アンチスパム、アプリケーション制御などの多彩な機能で、統合的にセキュリティを強化します。管理画面のユーザーインターフェースはシンプルで、導入も簡単に行えるため、中小企業でも運用しやすいでしょう。
FortiGate NGFW
FortiGate NGFWは、多彩なセキュリティ機能を搭載した次世代ファイアウォールです。 SSLインスペクトやWebフィルタリング、IPSなどを統合することで、コストと複雑さを軽減しています。 また、AI技術を活用しているため、新たな脅威の迅速な検出と防御が可能です。
SonicWall
SonicWallは小規模から大企業までに対応した次世代ファイアウォールです。 複数のファイアウォールが一元管理できるため管理が簡単になります。
ダッシュボードは直感的に理解できるユーザーインターフェースであり、詳細な分析を行えるため、効果的なセキュリティリスクの特定と改善を行えます。3種類のハードウェアが用意されており、企業規模や予算などに適したファイアウォールを導入できるでしょう。
ファイアウォールで顧客情報をセキュアに守る環境を構築しよう
顧客情報を始め、企業は様々な情報資産を保有しています。高度化するサイバー攻撃から機密情報を守るためにも、いち早くセキュリティ対策を実施しましょう。
ファイアウォールを利用すれば、外部から送り込まれる悪意ある通信を遮断し、不正アクセスを防ぐことが可能です。ファイアウォールは種類や設置場所により効果は異なるので、自社に合った製品選定と運用をしましょう。
また、ファイアウォールはパケットの中身までは確認できないため、十分なセキュリティ対策を実施するのは難しいです。必要に応じて、WAFなどのセキュリティソフトと併用し、強固なセキュリティ環境を構築してください。
