ファイアウォール ふぁいあうぉーる
簡単に言うとこんな感じ!
ファイアウォールは、社内ネットワークとインターネットの間に立つ「門番」だよ!怪しい通信はブロックして、許可された通信だけ通す仕組みなんだ。建物の「防火壁(ファイアウォール)」から名前がついていて、火(サイバー攻撃)が広がらないように守ってくれるってこと!
ファイアウォールとは
ファイアウォールとは、ネットワークに出入りする通信を監視・制御し、不正なアクセスや危険なデータのやりとりをブロックするセキュリティの仕組みです。社内ネットワーク(信頼できる領域)とインターネット(信頼できない領域)の境界に設置され、あらかじめ定めたルール(ポリシー)に基づいて通信を「通す/遮断する」の判断を行います。
名前の由来は建築・防火用語の「防火壁(firewall)」です。建物の中で火災が広がらないよう壁で区切るように、ネットワーク上でも脅威が広がらないよう境界で食い止めるというコンセプトから命名されました。ソフトウェア型(OS内蔵やセキュリティソフト)とハードウェア型(専用アプライアンス機器)の2種類があり、企業の規模や要件に応じて使い分けられます。
現代のシステム調達・運用において、ファイアウォールは「あれば便利」ではなく「必ず備えるべき基本インフラ」です。個人情報保護法やPCI DSSといった法令・規格の要件にも含まれており、情報システムの入口を守る最初の砦として位置づけられています。
ファイアウォールの種類と仕組み
ファイアウォールは技術の進化とともに世代が分かれており、それぞれ「どこまで通信内容を見るか」が異なります。
| 世代 | 種類 | 何を見るか | 特徴 |
|---|---|---|---|
| 第1世代 | パケットフィルタリング型 | IPアドレス・ポート番号 | シンプルで高速。ただし通信の「流れ」は見ない |
| 第2世代 | ステートフルインスペクション型 | 通信の状態(セッション) | 行きと帰りの通信を対応づけて判断。より賢い |
| 第3世代 | アプリケーション層ゲートウェイ(プロキシ型) | アプリの通信内容 | HTTPやFTPの中身まで検査。精度が高い |
| 第4世代 | 次世代ファイアウォール(NGFW) | アプリ識別+ユーザー+コンテンツ | IPS・URLフィルタなど複合機能を統合 |
「ポート番号」で理解するパケットフィルタリング
パケットフィルタリングは、通信の「宛先・送信元のIPアドレス」と「ポート番号(通信の用途を示す番号)」だけを見てブロック判断をします。たとえば「80番ポート(Webアクセス)は許可、23番ポート(Telnet)は拒否」というルールを設定するイメージです。
インターネット側
│
┌────▼────────────────────────────────────┐
│ パケットフィルタリングルール例 │
│ ┌─────────────────┬──────┬──────────┐ │
│ │ 送信元IP │ポート│ 動作 │ │
│ ├─────────────────┼──────┼──────────┤ │
│ │ any │ 80 │ 許可(ALLOW)│ │
│ │ any │ 443 │ 許可(ALLOW)│ │
│ │ any │ 23 │ 拒否(DENY) │ │
│ │ any │ any │ 拒否(DENY) │ │
│ └─────────────────┴──────┴──────────┘ │
└────────────────────────────────────────┘
│
社内ネットワーク側ステートフルインスペクションの「状態管理」
第2世代のステートフルインスペクションは、通信のセッション(やりとりの流れ)を記憶します。社内PCがWebサーバーにリクエストを送ったとき、その返答は「正当な応答」として自動的に許可されます。第1世代では返答パケットも個別ルールで許可する必要があり、設定が複雑になる問題がありました。
歴史と背景
- 1988年 — インターネットワームの一種「モリスワーム」が大規模な被害をもたらし、ネットワーク境界防御の必要性が広く認識される
- 1989〜1990年 — DEC(デジタル・イクイップメント・コーポレーション)とAT&Tベル研究所がそれぞれ独立してパケットフィルタリング型ファイアウォールの概念を確立
- 1991年 — Marcus Ranum がアプリケーション層ゲートウェイ(プロキシ型)を実装。より高度な検査が可能になる
- 1994年 — Check Point社がステートフルインスペクション技術を実装した製品「FireWall-1」をリリース。商用ファイアウォール市場が本格化
- 2000年代 — UTM(統合脅威管理)が登場。ファイアウォール・VPN・アンチウイルスなどを1台に統合する方向へ
- 2010年代 — Palo Alto Networksが次世代ファイアウォール(NGFW)を普及。アプリ識別・ユーザー識別・コンテンツ検査が標準に
- 2020年代 — クラウド化・テレワーク普及に伴い、境界型防御だけでは不十分となり、ゼロトラストの概念とクラウドネイティブなファイアウォール(FWaaS)が台頭
ファイアウォールの配置パターンと関連技術
企業のネットワーク設計では、ファイアウォールをどこに置くかが非常に重要です。代表的な構成として DMZ(非武装地帯) を使った3層構成があります。
DMZ(DeMilitarized Zone:非武装地帯)とは、インターネットと社内ネットワークの「中間地帯」です。外部に公開する必要のあるWebサーバーやメールサーバーをDMZに置くことで、仮にそれらが攻撃を受けても社内の重要システムへ侵入されにくくなります。
次世代ファイアウォール(NGFW)との比較
| 機能 | 従来型FW | 次世代FW(NGFW) |
|---|---|---|
| パケットフィルタリング | ✅ | ✅ |
| ステートフルインスペクション | ✅ | ✅ |
| アプリケーション識別 | ❌ | ✅(LINEやZoomも識別可) |
| ユーザー識別 | ❌ | ✅(誰がアクセスしたか) |
| IPS(侵入防止) | ❌ | ✅ |
| URLフィルタリング | ❌ | ✅ |
| SSL/TLS復号 | ❌ | ✅(暗号化通信も検査) |
ファイアウォールだけでは防げないもの
ファイアウォールは「通信の出入口」を制御しますが、以下は苦手領域です。
- 許可済みポートを使った攻撃(例:80/443番を使ってWebアプリを攻撃する)→ WAF(Webアプリケーションファイアウォール)が必要
- 内部からの情報漏えい(悪意ある内部関係者) → DLPなど別の仕組みが必要
- 暗号化された通信(SSL/TLS)の中身 → NGFWのSSL復号機能やプロキシが必要
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2979 | ファイアウォールの動作・要件に関するベストカレントプラクティス |
| RFC 3022 | NAT(ネットワークアドレス変換)の仕様。ファイアウォールと組み合わせて使われる |
| RFC 4949 | インターネットセキュリティ用語集。ファイアウォールの定義を含む |
関連用語
- NAT(ネットワークアドレス変換) — 内部IPアドレスを外部に隠す技術。ファイアウォールと組み合わせて使われることが多い
- VPN — 暗号化された仮想トンネル。ファイアウォールと連携して安全なリモートアクセスを実現
- IDS・IPS — 不正侵入を検知・防止する仕組み。NGFWに統合されることも多い
- WAF(Webアプリケーションファイアウォール) — Webアプリへの攻撃に特化したフィルタリング機能
- DMZ — 外部公開サーバーを置くネットワークの中間地帯
- ゼロトラスト — 「境界の内側は安全」という前提を捨てた新しいセキュリティモデル
- UTM(統合脅威管理) — FW・VPN・アンチウイルスなどを1台に統合したアプライアンス
- パケット — ネットワーク上を流れるデータの単位。ファイアウォールが検査する対象