ネットワークセキュリティ

パケットフィルタリングぱけっとふぃるたりんぐ

ファイアウォールIPアドレスポート番号アクセス制御ACLステートレス

パケットフィルタリングについて教えて

簡単に言うとこんな感じ！

ネットワークを通る「小包（パケット）」を、宛先・差出人・種類などのラベルを見てひとつひとつチェックし、「通していいもの」「通してはいけないもの」をふるい分けるセキュリティの仕組みだよ！マンションの宅配ボックスで荷物の送り主を確認するイメージだね。

パケットフィルタリングとは

パケットフィルタリングとは、ネットワーク上を流れるデータの最小単位であるパケット（小包）を、あらかじめ定めたルールに照らし合わせて通過・遮断を判断する技術です。ファイアウォールの最も基本的な機能であり、企業ネットワークのセキュリティ対策の出発点とも言えます。

判断の材料となるのは、パケットのヘッダ（封筒の表書きに相当）に書かれた情報——送信元IPアドレス・宛先IPアドレス・ポート番号・プロトコルなどです。中身（ペイロード）は読まずにヘッダだけを見て判断するため、処理が高速な反面、巧妙な攻撃を見抜けない場合もあります。

実務では、社内ネットワークとインターネットの境界に置かれるルーターやファイアウォール機器にフィルタリングルール（ACL：アクセス制御リスト）を設定する形で利用されます。「特定のIPアドレスからの接続だけを許可する」「Webアクセス以外はすべて遮断する」といった制御が可能です。

パケットフィルタリングの仕組みと判断基準

パケットが到着すると、設定されたルールを上から順番に照合し、最初に一致したルールが適用されます。この仕組みをファーストマッチと呼びます。

判断に使う情報	具体例	意味
送信元IPアドレス	`192.168.1.0/24`	どこから来たか
宛先IPアドレス	`10.0.0.1`	どこへ向かうか
プロトコル	`TCP` / `UDP` / `ICMP`	通信の種類
送信元ポート番号	`1024〜65535`	アプリの「出口」番号
宛先ポート番号	`80`（HTTP）/ `443`（HTTPS）	アプリの「入口」番号
通信方向	`IN` / `OUT`	内→外か外→内か

ルール設定の覚え方：「許可してから、残りは拒否」

ACLの鉄則は 「ホワイトリスト方式」——「許可するものを明示し、それ以外はすべて拒否（deny any）」です。「ブラックリスト方式（危ないものだけ拒否）」は、想定外の通信を通してしまうリスクがあるため非推奨です。語呂合わせとして「許可先に、後は全拒否（きょかさきに、あとはぜんきょひ）」と覚えましょう。

ステートレス vs ステートフル

パケットフィルタリングには2種類あり、現代のファイアウォールは後者が主流です。

種類	特徴	メリット	デメリット
ステートレス型	各パケットを独立して判断	高速・シンプル	通信の文脈を無視するため穴を突かれやすい
ステートフル型	通信の「状態（セッション）」を追跡して判断	より正確・安全	処理負荷が高い

歴史と背景

1980年代後半：インターネットの普及に伴い、悪意あるパケットの流入が問題化。ルーターにフィルタリング機能が実装され始める
1988年：DEC（デジタル・イクイップメント・コーポレーション）の研究者がパケットフィルタリングの概念を体系化
1990年代：Cisco社のルーターにACL（アクセス制御リスト）機能が標準搭載され、企業ネットワークに広く普及
1994年：ステートフルインスペクションの概念がCheck Point社によって提唱され、より高度なファイアウォールへ進化
2000年代以降：UTM（統合脅威管理）やNGFW（次世代ファイアウォール）の登場により、パケットフィルタリングは多層防御の「第一層」として位置づけられるようになった

パケットフィルタリングと他のファイアウォール技術の比較

ファイアウォールには複数の世代・方式があります。パケットフィルタリングはその基礎となる技術です。

ポイント：パケットフィルタリングは「第一の門番」

現代の企業システムでは、パケットフィルタリングを単独で使うことは少なく、UTMやNGFWの内部機能として他のセキュリティ技術と組み合わせて使います。「軽くて速い」という特性を活かし、明らかに怪しいパケットを入口で素早く弾く役割を担います。

規格・RFC番号	内容
RFC 2979	ファイアウォールの動作・透過性に関する要求事項
RFC 3360	TCPフラグを悪用した攻撃とフィルタリングの考え方
RFC 2827	送信元IPアドレス偽装（スプーフィング）対策のためのネットワーク侵入フィルタリング