ファイアウォールは、ネットワークへの不正アクセスを防止するためのネットワークセキュリティ製品を指す。IT管理者が設定したルールに基づいて、エンドユーザーが管理するネットワークで送受信されるデータを検査し、脅威を特定してアクセス制御を実行する。(続きはページの末尾にあります)
企業ITの基礎知識を動画で解説する本連載。今回は基本的なネットワークセキュリティ製品である「ファイアウォール」を取り上げます。
ファイアウォールの基本は理解していても、複数あるファイアウォールの違いを明確に理解できている人は多くないだろう。主要な5種類のファイアウォールについて、技術的な違いを見てみよう。
パケットフィルタリング、アプリケーションレベルゲートウェイ、次世代型など、ファイアウォールにはさまざまな種類がある。本稿では、5種類の基本的なファイアウォールを取り上げ、その類似点と相違点を解説する。
安定したクラウドサービスの利用やテレワーク環境の運用には、ネットワークが重要になる。だが通信容量の確保に加え、セキュリティ対策も施したネットワークの運用管理を従来手法で実現するには限界がある。どうすればよいのか。
テレワークなど社外での業務は当然の選択肢となりつつあるが、社内と同程度のセキュリティを確保できている企業は多くない。「全ての脅威を防ぐ」解決策はあるのか?
セキュリティ分野では、次世代ファイアウォールを検討するユーザー組織が増えてきた。だが、この製品ジャンルの定義は曖昧だ。何を選択基準にすればいいのだろうか。
「ファイアウォール」の仕組みはどれも同じではなく、幾つかの種類に分類できる。いまさら聞きづらいその仕組みを、ファイルアウォールの種類別に解説する。
「ファイアウォール」の機能を十分に生かすためには、どのように運用すればいいのか。その役割と併せて、ファイアウォールの利点を引き出すためのベストプラクティスを紹介する。
5Gでは「ネットワークスライシング」という仕組みを活用できるようになる。これはどのような技術で、セキュリティにどのようなメリットをもたらすのか。
「macOS」を採用する組織にとって、同OSが備えるファイアウォール機能は何よりも“手軽に使えるセキュリティツール”だ。ただしその機能を使うためには、簡単な設定をする必要がある。
セキュリティ対策のコストはかさみがちだが、クライアントOSのファイアウォール機能を使えば、手軽に防御策を強化できる。「macOS」のファイアウォール機能で何ができるのか。
ファイアウォールは、ハードウェアまたはソフトウェア、SaaS(Software as a Service)などの形式で提供される。ファイアウォールは個人用のPCにも、企業向けのインフラ製品にも使用されている。OSとして「Windows」や「Linux」を搭載するPCやサーバの他、Appleのクライアント端末「Mac」などにはファイアウォール機能がある。ファイアウォールはネットワークのセキュリティに不可欠な要素だ。
ファイアウォールは侵入防御システム(IPS)と組み合わせることで、マルウェアや特定のアプリケーション層への攻撃を防ぐ。サイバー攻撃を防いで機密データを保護し、コンピュータシステムとネットワークのセキュリティを維持するために重要な役割を果たしている。
ファイアウォールは、ユーザーの管理外のネットワークと、ユーザーが管理するプライベートネットワークとの境界として機能する。ユーザーの管理外のネットワークとしては、インターネットがある。ファイアウォールは事前に設定されたルールを基に、ネットワークに出入りする全てのパケットを検査し、問題がないパケットと悪意のあるパケットを区別する。
パケットは、送受信するデータを小分けにしたものを指す。パケットにはデータそのものと、そのデータがどこから来たのかといった、データに関する情報(ヘッダ)が含まれている。ファイアウォールはこのパケット情報を使って、あるパケットがルールに従っているかどうかを判断できる。ルールに従っていないパケットは、保護されたネットワークに入ることを禁じられる。
データ転送のルールは、転送元や転送先、データの内容など、パケットデータが示す幾つかの事柄に基づいて設定できる。
ファイアウォールの主な用途を説明する。
ファイアウォールは、マルウェア攻撃やハッキングといった外部からの脅威を防御する。組織内外のネットワークの境界に設置することも、内部からの脅威を防御するためにセグメンテーション(セキュリティ対策のために1つのネットワークをサブネットワークに分割すること)したサブネットワーク内に設置することもできる。
データ転送のルールは、日々進化するサイバーセキュリティの脅威に対処するために、定期的に更新すべきだ。ファイアウォールは、管理者が日常的なデータの転送パターンを把握し、ルールを改善できるようにするために、イベント記録を保持する。
ファイアウォールは転送データをフィルタリングし、問題のあるデータがあればユーザーに警告する。ファイアウォールは、セキュリティの脅威にならないデータに対してのみ、ユーザー企業や個人が利用するネットワークの通過を許可する。
ファイアウォールは、特定のWebサイトやオンラインサービスへのエンドユーザーのアクセスを遮断する。例えば従業員がインターネットを閲覧する際、その接続先が好ましくないWebサイトなのであれば、ファイアウォールはそのアクセスを遮断する。
ファイアウォールはエンドユーザーがVPN(仮想プライベートネットワーク)やその他のリモートアクセス技術を利用する際、ネットワーク接続の安全性を確保するために機能する。
主なファイアウォール製品を紹介する。ファイアウォールには、以下の製品以外にも、さまざまな製品が存在する。
Barracuda CloudGen Firewallは、ハイブリッドクラウドインフラ向けに設計された防御機能が特徴だ。
Cisco Firepowerはマルウェア検知やIPS、URLフィルタリングといったオプション機能を搭載する。
FortiGateは大企業のデータセンターだけでなく、小規模な組織向けに設計された防御機能を搭載している点が特徴だ。同社のAI(人工知能)技術を活用したセキュリティサービス「FortiGuard セキュリティサービス」と組み合わせて利用することもできる。
PA-Seriesは、機械学習ベースの脅威検出と侵入防止機能を提供するファイアウォール製品群だ。中小企業と大企業、マネージドサービスプロバイダー(MSP)向けのオプション機能やサービスを提供している。
クラウドサービスやソフトウェア定義ネットワーク(SDN)などを利用するユーザー企業向けに、脅威インテリジェンスや侵入防御機能、Web アプリケーションファイアウォール(WAF)を使った保護を提供する。
ITmediaはアイティメディア株式会社の登録商標です。
