セミナー情報ファイアウォールとは?仕組み・機能・種類をわかりやすく解説
ファイアウォールとは、外部ネットワークからの不正アクセスやサイバー攻撃から、組織や個人のコンピューターネットワークを守るためのセキュリティシステムです。firewallという英語が語源であり、日本語では「防火壁」と訳されます。
本記事では、ファイアウォールについて、その基本的な仕組みや機能・種類をわかりやすく説明します。セキュリティ対策の第一歩として、ファイアウォールの役割を詳しく理解しましょう。
・ファイアウォールが持つ3つの主要な機能
・ファイアウォールの設置場所例
・ファイアウォールと他のセキュリティ製品との違い
・次世代ファイアウォール(NGFW)とは?
・【Windows】ファイアウォールの基本的な設定・確認方法
・ファイアウォールに関するよくある質問
・まとめ
ファイアウォールとは?サイバー攻撃からネットワークを守る「防火壁」の役割
ファイアウォールとは、インターネットなどの外部ネットワークと、保護対象である内部ネットワーク(社内ネットワークや家庭内LANなど)との境界に設置され、両者の間を行き来する通信を監視・制御するシステムやソフトウェアを指します。その役割は、文字通り「防火壁」として、外部からの不正なアクセスやサイバー攻撃という「火事」が内部に燃え広がるのを防ぐことです。
あらかじめ定められたルールに基づき、許可された通信のみを通し、それ以外の不審な通信をブロックすることで、サーバーやクライアントPCといったネットワーク保護の目的を果たします。
なぜファイアウォールはセキュリティ対策に不可欠なのか
インターネットに接続している限り、コンピューターは常に不正アクセスやサイバー攻撃の脅威にさらされています。ファイアウォールは、これらの脅威から内部ネットワークを保護するための基本的なセキュリティ対策として不可欠です。
もしファイアウォールがなければ、外部の攻撃者は容易に内部ネットワークへ侵入し、機密情報を盗んだり、データを破壊したり、ウイルスやマルウェアに感染させたりするおそれがあります。
安全なネットワーク環境を維持するためには、外部からの不審な通信を最初にブロックする関門としての役割を担うファイアウォールが必要なのです。
ファイアウォールが不正な通信を防ぐ基本的な仕組み
ファイアウォールが不正な通信を防ぐ基本的な仕組みは、通過する通信をあらかじめ設定された「ルール(ポリシー)」と照らしあわせ、許可するか拒否するかを判断する「フィルタリング」にあります。
この通信制御により、送信元や宛先の情報、使用されるポート番号などをもとに通信をチェックします。ルールに合致しない通信を検知し、ブロックすることで、内部の社内ネットワークやシステムを保護するのです。
また、ファイアウォールには大きく以下の2種類が存在します。
ネットワークファイアウォール
ネットワークファイアウォールとは、組織の内部ネットワーク全体を保護するためのセキュリティシステムです。外部のインターネットと内部ネットワークの境界に設置し、通信の監視をおこなう役割を担います。
従来は専用の機器を設置するハードウェアタイプが主流でしたが、昨今はクラウドサービスの進展に伴い、仮想環境で動作する製品も登場しています。個別の端末ではなくネットワークの入り口を網羅的に守るため、組織のセキュリティレベルを底上げするうえで非常に重要な存在です。
パーソナルファイアウォール
パーソナルファイアウォールは、PCやサーバーなどのデバイス単体を保護するためのソフトウェアです。
組織の境界を守るネットワークファイアウォールとは異なり、個々の端末に直接インストールして利用します。昨今ではWindowsのMicrosoft Defender ファイアウォールのようにOSへ標準搭載されているケースも多く、非常に身近な存在といえます。
このツールの特徴は、外部との通信可否を判断するだけでなく、端末内のどのアプリケーションが通信を試みているかまで詳細に監視・制御できる点にあります。万が一内部の端末がウイルスに感染しても、外部への不正なデータ送信を遮断することで被害の拡大をおさえる役割を果たします。
組織全体の防御に加え、こうした各端末での対策をあわせることは、セキュリティ強化に極めて有効です。
ファイアウォールが持つ3つの主要な機能
ファイアウォールの機能は多岐にわたりますが、主に3種類の中心的な機能によってネットワークを保護しています。それは、通信の可否を判断する「フィルタリング機能」、内部のIPアドレスを隠蔽する「アドレス変換機能」、そして通信の記録を残す「ログ監視機能」です。
これらのファイアウォールの機能が連携することで、外部の脅威から内部ネットワークを守るという基本的な役割を果たしています。
機能①:通信をルールに基づいて許可・拒否する「フィルタリング」
前述の通り、フィルタリングとは「あらかじめ設定されたルール(ポリシー)に基づき、通過するすべての通信パケットを検査」する手法です。ルールには、送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル(TCP/UDPなど)の組み合わせが定義されており、この条件に合致する通信のみが許可されます。
例えば、「特定のサーバーからのメール(SMTP)通信のみを通す」といった細かい制御が可能で、不要な通信や不正アクセスの試みを効果的にブロックすることが可能です。
ちなみに、ファイアウォールにおけるフィルタリングの手法としては、以下の3種類が代表的なものとなっています。
パケットフィルタリング型:通信の送信元・宛先情報で判断する基本的な方式
パケットフィルタリング型は、ファイアウォールの最も基本的な方式です。
通信の最小単位である「パケット」のヘッダー情報に含まれる送信元・宛先IPアドレス、ポート番号、プロトコルといった情報をもとに、通信を許可するかどうかを判断します。この方式はOSI参照モデルのネットワーク層やトランスポート層(第3、第4レイヤー)で動作し、処理が高速な点が特徴です。
近年では、過去の通信コンテキスト(文脈)を記憶し、戻りの通信を動的に許可するステートフルインスペクションという、より高度な機能をもつものが主流となっています。
アプリケーションゲートウェイ型:データの中身まで詳細にチェックする高セキュリティ方式
アプリケーションゲートウェイ型は、パケットの中身であるデータ部分まで詳細にチェックし、アプリケーションのプロトコルレベルで通信を制御する方式です。プロキシサーバーとして動作し、内部と外部の通信を代理でおこなうことで、不正なコマンドや意図しないデータが送受信されていないかを厳密に監視します。
HTTPやFTPといったアプリごとに設定が必要で、処理速度はパケットフィルタリング型に劣るものの、なりすましやデータ改ざんといった巧妙な攻撃を防ぐ高いセキュリティを実現します。
サーキットゲートウェイ型:通信の「経路」を監視して安全性を確保する方式
サーキットレベルゲートウェイ型は、通信をおこなう2者間のセッション(通信経路の確立から切断まで)を監視・制御する方式です。
トランスポート層で動作し、TCPハンドシェイクなどの通信手順が正しくおこなわれているかを監視します。通信を代理する点はアプリケーションゲートウェイ型と似ていますが、データの中身までは監視しません。
その代わり、一度確立された安全な通信経路(サーキット)においては、後続パケットを高速に処理できます。認証されたユーザーの通信のみを透過させるなど、セッション単位での制御が可能です。
機能②:社内IPアドレスを隠す「アドレス変換(NAT/NAPT)」
アドレス変換は、NAT(Network Address Translation)やNAPT(Network Address Port Translation)ともよばれる機能です。社内ネットワークで使用されるプライベートIPアドレスと、インターネット上で使用されるグローバルIPアドレスを相互に変換します。
この機能により、外部からはグローバルIPアドレスをもつファイアウォールしか見えなくなるため、組織内に存在する個々のコンピューターのIPアドレスやネットワーク構成を隠蔽できるようになります。
外部の攻撃者が直接内部のコンピューターを標的にしにくくなり、セキュリティを向上させられるという点がアドレス変換のメリットです。
NATとNAPTの違い
NATとNAPTは、どちらも内部ネットワークのプライベートIPアドレスを、インターネット通信用のグローバルIPアドレスに変換する技術です。
NATは1対1でアドレスを対応させるため、同時に通信できる端末数に限りがあります。主に外部から特定のサーバーへアクセスさせる用途に向いています。
一方でNAPTは、IPアドレスに加えてポート番号も活用する技術です。これにより、1つのグローバルIPアドレスで組織内の複数の端末が同時にインターネットを利用できます。現在、多くの組織や家庭用ルーターで標準的に使われているのは、このNAPT方式です。
機能③:不正アクセスの記録を残すログ監視
ログ監視は、ファイアウォールを通過した通信、およびブロックした通信の履歴を記録する機能です。
このログには、通信日時、送信元・宛先IPアドレス、ポート番号などの詳細な情報が含まれます。ログを定期的に確認・分析することで、不正アクセスの試みやマルウェアの侵入経路を検知したり、サイバー攻撃を受けた際の状況把握や原因の検証に役立てたりできます。
セキュリティインシデント発生後の迅速な対応や、将来の対策を講じるうえで非常に重要な情報となります。
ファイアウォールの設置場所例
ファイアウォールは、保護したいネットワークの範囲やセキュリティポリシーに応じて、さまざまな場所に設置されます。その配置によって、ネットワーク全体のセキュリティレベルが大きく変わるため、適切な構成を選択することが重要です。
ここでは、代表的な3つの設置例を紹介します。
例①:ファイアウォールの内側に社内ネットワークを構築
これは最も一般的で基本的な構成です。インターネットと社内ネットワークの境界にファイアウォールを1台設置します。
外部のインターネットからの通信はすべてこのファイアウォールを通過するため、不正なアクセスが社内ネットワーク全体に及ぶのを防ぎます。すべての従業員が利用するPCやサーバーなどを、包括的に保護する目的で採用される構成です。
例②:ファイアウォールの外側に公開サーバーを設置
この構成では、Webサーバーやメールサーバーといった外部に公開する必要があるサーバーを、ファイアウォールの保護範囲の外側に置きます。
しかし、これはサーバーが無防備になるため、通常は推奨されません。公開サーバーを利用する必要があるケースでは、次項のDMZを利用した構成が一般的となります。
例③:ファイアウォール2台で非武装地帯(DMZ)を構築
非武装地帯(DMZ)は、外部ネットワークと内部ネットワークの中間に設けられる隔離されたネットワークセグメントです。この構成では主に2台のファイアウォールを使用し、1台目をインターネットとDMZの間に、2台目をDMZと社内ネットワークの間に設置します。
Webサーバーなどの公開サーバーをDMZに配置することで、万が一そのサーバーが攻撃者に乗っ取られても、2台目のファイアウォールが社内ネットワークへの侵入を防ぎます。これにより、高いセキュリティレベルを実現できるのです。
ちなみに、ファイアウォール1台で完結させる「シングルファイアウォール型」のDMZ構築手法も存在しますが、その場合はファイアウォールの設定が複雑になる傾向があります。DMZに関する詳細は、下記の記事もご参照ください。
ファイアウォールと他のセキュリティ製品との違い
ファイアウォールや他のセキュリティ製品は、それぞれ異なる役割をもち、守るべき対象や検知できる脅威が異なります。
ファイアウォールとWAF、IDS/IPS、UTMといった製品を適切に組み合わせることで、多層的な防御が可能になります。次世代ファイアウォール(NGFW)のように、複数の機能を統合した製品も登場しており、それぞれの違いを理解することが重要です。
WAF(Web Application Firewall)との違い
WAFとは、Webアプリケーションの脆弱性を狙った攻撃に特化したセキュリティ製品です。
ファイアウォールが主にネットワーク層やトランスポート層でIPアドレスやポート番号をもとに通信を制御するのに対し、WAFはアプリケーション層で動作し、SQLインジェクションやクロスサイトスクリプティングといった、Webサイトを標的とする攻撃を検知・防御します。
守る階層が異なるため、両者は競合するのではなく、連携してWebサイトを保護する関係にあります。
IDS/IPSとの違い
IDS(Intrusion Detection System:不正侵入検知システム)とIPS(Intrusion Prevention System:不正侵入防止システム)は、ネットワークやサーバーへの不正なアクセスやその兆候を検知・防御するシステムです。
ファイアウォールが設定されたルールに基づいて通信の可否を判断するのに対し、IDS/IPSは通信データの中身を監視し、既知の攻撃パターン(シグネチャ)と照合して異常を検知します。
IDSは検知して管理者に通知するまでですが、IPSは検知後に該当する通信を自動的に遮断する機能をもちます。
UTMとの違い
UTM(Unified Threat Management:統合脅威管理)は、複数のセキュリティ機能を1台のアプライアンスに統合した製品です。
UTMには、ファイアウォール機能に加え、IDS/IPS、アンチウイルス、アンチスパム、Webフィルタリング、VPNといった多様な機能が含まれています。さまざまな脅威に一台で対応できるため、導入・運用のコストや手間をおさえられる点がメリットです。
ファイアウォールは、UTMに搭載された複数の機能のうちの一つという位置づけとなっています。
NDRとの違い
NDR(Network Detection and Response)は、ネットワーク全体の通信トラフィックを常時監視し、AIや機械学習を活用して通常とは異なる振る舞いを検知することで、未知の脅威や内部での不正な活動を発見するソリューションです。
ファイアウォールがネットワークの出入り口で脅威をブロックするのに対し、NDRは境界を越えて侵入してしまった脅威が内部で活動する様子を捉えることに長けています。
次世代ファイアウォール(NGFW)とは?
次世代ファイアウォール(NGFW:Next Generation Firewall)は、従来のファイアウォールがもつ機能に加えて、より高度なセキュリティ機能を統合した製品です。IPアドレスやポート番号といった情報だけでなく、通信をおこなっているアプリケーションを識別し、アプリケーション単位での詳細な通信制御をおこなえます。
さらに、不正侵入防止システム(IPS)やURLフィルタリング、アンチウイルスといった機能も搭載しているため、多様化・巧妙化するサイバー攻撃に対してより強力な防御を実現可能です。
次世代ファイアウォールは、昨今主流となりつつある「ゼロトラスト型」セキュリティ対策の中核も担っています。境界防御型セキュリティからの脱却を目指す際、こうしたソリューションの導入を検討する組織が増えてきています。
【Windows】ファイアウォールの基本的な設定・確認方法
Microsoft社のWindows 11には、標準で「Microsoft Defender ファイアウォール」というパーソナルファイアウォール型のセキュリティ機能が搭載されています。このファイアウォールをオンにすることで、外部からの不正なアクセスを基本的なレベルで防ぐことが可能です。
設定の確認や変更は、「コントロールパネル」または「Windows セキュリティ」からおこなえます。
特定のアプリケーションの通信を許可したり、ルールを個別に追加したりする設定方法も用意されており、有効・無効の切り替えも簡単です。本機能は、組織のポリシーで特別な指示がない限り、常に有効にしておくことが推奨されます。
IT資産管理ツールでの確認も可能
組織内にある多数のPCのファイアウォール設定を一台ずつ手動で確認するのは、非常に手間がかかります。このような場合、IT資産管理ツールを活用すると効率的です。
例えばIT資産管理ツールSS1の場合、管理コンソールからネットワーク内にある全PCのMicrosoft Defender ファイアウォールの有効・無効状態を一元的に把握できます。
設定がポリシーに準拠していないPCを容易に特定し、セキュリティコンプライアンスを維持するのに有用です。こうしたツールを導入しているのであれば、定期的に組織内デバイスの保護状態をチェックするようにしましょう。
ファイアウォールに関するよくある質問
ファイアウォールは、WindowsだけでなくmacOSなど多くのOSに標準機能として搭載されている基本的なセキュリティ機能です。ここでは、ファイアウォールに関するよくある質問の例とその回答を紹介します。
ファイアウォールを無効にするとどうなりますか?
ファイアウォールを無効にすると、外部からの不正アクセスやマルウェア感染のリスクが著しく高まります。OSやソフトウェアの脆弱性を突かれ、サイバー攻撃の標的となる危険性が非常に高くなるため、特別な理由がない限り無効化するべきではありません。
スマートフォンやタブレットにもファイアウォールは必要ですか?
モバイルOS自体に基本的なセキュリティ機能が備わっているため、専用アプリの導入は必須とはいえないものの、当然セキュリティ意識は必要です。公衆Wi-Fi利用時の対策や個人で不審なアプリをインストールしないなど、端末の利用者自身による注意が重要になります。
無料のファイアウォールソフトでも安全ですか?
基本的な保護は可能ですが、機能やサポートに制限が生じる可能性があります。無料のソフトウェアは定義ファイルの更新頻度やサポート品質などにばらつきがあるため、組織での利用には適さないケースも考えられます。
また、たとえ個人利用であっても、より高度な防御や手厚いサポートを求めるなら有償製品をおすすめします。費用とメリット、機能などを比較検討し、自組織の運用条件にあったものを選びましょう。
ファイアウォールの選定ポイントとは?
組織の規模やネットワーク構成、求めるセキュリティレベルによって選ぶべきです。クラウド型かオンプレミス型か、スループット(処理能力)は十分か、サポート体制は充実しているか、UTMなど他の機能も必要か、といった要件を明確にして比較検討することが大切です。
まとめ
ファイアウォールは、サイバーセキュリティ対策の基本であり、外部の脅威から内部ネットワークを守るための最初の防衛線です。
しかし、ファイアウォールだけを導入すればすべての問題点が解決するわけではありません。今日の巧妙化する攻撃に対処するには、WAFやIPS、次世代ファイアウォールといった他のセキュリティ製品と組み合わせ、多層的な防御を構築することが欠かせません。
自組織の課題や要件を明確にし、定期的な設定の見直しや定義ファイルの更新をおこないながら、堅牢なセキュリティ体制を維持することが求められます。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
