ファイアウォールを直訳すると、防火壁です。
万が一火が出たときに燃え広がらないようにブロックする守りの建築物ですが、これと同じようにネットワークを守る仕組みもファイアウォールと呼ばれます。
ネットワークの間にシステムを入れることで被害をブロックする仕組みであり、サイバー攻撃などからの守りとしては基本中の基本と言える手段です。
ここでは初心者でもファイアウォールが理解できるよう、詳しく解説します。
【初心者向け】ファイアウォールについてわかりやすく解説
ファイアウォールは、ネットワークとネットワークの間に構築し、外部からの攻撃や不正なアクセスから守るためのシステムです。
建物のエリアとエリアの間に燃えない壁を立て、火災を遮断するのと同じイメージと言えるでしょう。
サイバー攻撃などは外部のネットワークから企業内のネットワークへ入り込むことを常に狙っていますが、この侵入をブロックし、内部のネットワークを守る仕組みです。
現在大きく分けて2つの種類があり、単体のデバイスを守るパーソナルファイアウォール、複数のデバイスで構築されたネットワーク全体を守るファイアウォールに分けることができます。
たとえば、PCにパーソナルファイアウォールのソフトウェアを導入すれば、そのPCは外部のインターネットから不正なアクセスを防いだり、ウイルスを防いだりできるようになるのです。
これに対して、企業などが社内LANに導入すれば、外部からの不正アクセスから社内ネットワーク全体を守ることができます。
不正なパケット(データの塊)を検知して遮断したり、あらかじめ許可されたパケットのみ通過させたりすることで、怪しいアクセスをさせない仕組みがファイアウォールです。
Webサイトを堅牢性の高いセキュリティで守る: Cloudbric WAF+ (4.5) あらゆる包囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることができ、高セキュリティでありながら、リーズナブルに利用することができます。 日本国内だけでも6,550サイト以上で導入されており、確かな導入効果が期待できるサービスと言えます。 Cloudbric WAF+は、最短3プロセスで導入できる手軽さが魅力的です。 エージェントやモジュールをインストールする必要がなく、導入ヒアリングシートに必要事項を記入して提出、Cloudbric WAF+側でセキュリティプラットフォームを構築してもらい、DNSの情報を変更すれば設定は完了です。 利用開始後は、セキュリティエキスパートが検知ログの収集·分析を行い、セキュリティ運用ポリシーの提案を行ってくれるため、導入企業向けにカスタマイズされたセキュリティサービスを利用することができます。 Cloudbric WAF+では、ウェブサイトからの通信を暗号化することができるSSL証明書を無償で提供しています。 SSL証明書の登録と更新を全て任せることで、常時SSLを簡単に実現することができるため、セキュリティ強化につながります。 また、Webサーバ側のSSL証明書を持ち込む際にも、管理画面で簡単にアップロードすることが出来ます。 過剰なデータを送りつけてサーバの運用を妨害するサイバー攻撃であるDDoS攻撃に対しても、Cloudbric WAF+であれば簡単に対策することができます。 利用しているプランに関わらず、基本料金内でL3/L4のネットワークレベルとL7のアプリケーションレベルのDDoS攻撃に対応できるため、余計なコストもかかりません。 複数のセキュリティ対策がオールインワン: BLUE Sphere (4.5) WAFをはじめとしたDDoS防御やDNS監視など、複数の機能に加え、もしもの時の損害にも対応できるサイバーセキュリティ保険を付帯しているサービスで、WEBサイトのセキュリティ課題を一気に解消することができます。 BLUE Sphereであれば基本機能の章で紹介した複数の機能が一つの製品にまとまっているため、包括的にWEBサイトを防御することができます。BLUE Sphereは非常にコストパフォーマンスに優れている製品だと言えるでしょう。 WAFを提供しているサービスのほとんどが、登録するWEBサイト数(ドメイン数)に制限があります。 しかしBLUE Sphereは、複数のサイトを運営している企業でも契約の結び直しや追加料金を払うことなくドメインを追加することができます。 攻撃者がWEBサーバに不正ログインをしてWEBサイトを書き換えてしまうサイバー攻撃も軽視できない重大な問題となっています。 WEBサイトを改ざんされるとサービスが利用できなくなったり、サイト訪問者へのウイルス感染などの危険性があるため、改ざん時には早急に検知する対策が望まれます。 類似サービス: Securify (4.5) Securifyとは、株式会社スリーシェイクが運営している脆弱性診断ツールです。 外部セキュリティベンダーでは難しかったスピーディーかつ手軽な脆弱性診断を実現し、セキュリティレベルを可視化、DevSecOpsへの取り組みを支援します。 Securifyの脆弱性診断は、簡単かつ短いステップで実現できます。 まずはプロジェクト名と内容を入力してプロジェクトを作成、診断対象のドメインまたはサブドメインを入力、最後に診断対象のURLを登録するだけで脆弱性の診断を始めることが可能です。 Securifyは、シンプルで直感的に操作ができるユーザーインターフェースで設計されています。 現在の診断状況や危険度は、ダッシュボードから一目で確認することができ、セキュリティに関する専門的な知識がない場合でも、脆弱性診断を実施、管理することができます。 Securifyの診断結果画面では、発見された脆弱性の危険度をスコアによって可視化することができ、その脆弱性によって起こりうる問題や修正方法の例を日本語で丁寧に解説してくれます。 脆弱性と判断した根拠となるリクエストや概要解説、修正方法の提案など、トリアージに必要な情報を提示してもらえるため、自社で修正が必要な情報を調査する手間が発生しません。おすすめの類似WAF・サイバー攻撃対策システム
月額料金 28,000円〜 無料お試し あり 初期費用 要問い合わせ 導入実績 6,550サイト以上 簡単に導入できる
常時SSLを実現
DDoS対策も可能
月額費用 45,000円〜 無料お試し あり 初期費用 要問い合わせ 最短導入期間 要問い合わせ 複数のセキュリティ対策をオールインワンで提供
登録ドメイン数が無制限
改ざん検知も可能
月額費用 要お問合せ 無料お試し 2週間 初期費用 要お問合せ 最低導入期間 要問い合わせ 最短3ステップで診断開始
シンプルで使いやすいインターフェース
わかりやすい診断結果で改善をサポート
ファイアウォールを導入するメリット
ファイアウォールを導入するのは、もはやインターネットに繋がなければ業務が立ち行かない現代において、企業内のネットワークをリスクから守るためにほかなりません。
たとえば、悪意ある人物から不正にアクセスされ、内部データを盗まれたり、改ざんされたり、破壊されたりといった被害に遭うリスクを排除し、重要な企業の財産を守る手立てを持つことが一番のメリットです。
建築物のファイアウォールは物理的な壁ですが、ネットワークにおけるファイアウォールは高度な監視も行います。
ファイアウォールは外部から送られてくるパケットの情報を読み取り、そこから先に接続を許可するか弾くかを判断します。
もし不正なアクセスが試みられていると判断すれば、ネットワーク管理者に即座に通報し、技術者による適切な対応でさらなる被害も未然に防ぐことが可能です。
現在ではさまざまなネットワークに柔軟に対応できる仕組みが整っているため、自社環境にマッチするシステムを選べるようになったこともメリットと言えるでしょう。
ファイアウォールの種類について
現在ファイアウォールにはいくつか種類があります。
それぞれ特徴が異なりますので、簡単にまとめてみましょう。
パケットフィルタリング型
パケットというのは前述した通り、データの塊です。
スマホもPCも、あらゆるネットワークの中で行き来しているデータは、パケットという極小の単位に分割されて流れています。
このパケットにはそれぞれ送信元のIPアドレスやポート、送信先のIPアドレスやポートの情報が含まれています。
IPアドレスというのは、ネットワークに接続しているスマホやPCなどの機器すべてに割り当てられる住所のようなものです。
これがないとインターネットで情報を見ることも、メッセージやメールなどを送受信することもできません。
ポートというのはネットワークに出入りするためのドアのようなもので、どこから入ってどこへ出ようとしているかがわかります。
パケットフィルタリング型では、これらの情報をチェックし、そのアクセスを通すか通さないかを判断する仕組みになっているのです。
最もシンプルで高速処理が可能ですが、設定が複雑になり設定ミスによるセキュリティホール(抜け穴)が出てしまうリスクがデメリットと言えます。
アプリケーションゲートウェイ型
アプリケーションゲートウェイ型は、パケットではなくアプリケーションごとに制御するのが特徴です。
プロキシサーバがこれにあたりますが、プロキシは「代理」という意味で、プロキシサーバがアクセスを代わって中継する仕組みになっています。
サービスごとに認証を行うためセキュリティレベルが高く、パケットフィルタリング型より詳細な制御ができるため、不正アクセスのブロック力が強力になるのが特徴です。
ただしサービスごとにしか設定できず、細かい制御が難しいのがデメリットです。
サーキットレベルゲートウェイ型
サーキットレベルゲートウェイ型は、パケットフィルタリング型に加えて通信を許可するポート指定や制御も実施できるタイプです。
細かい設定が可能なため、使用するアプリケーションごとに個別設定が行えます。
単体でも複数台でも、特定のシステムやソフトウェアだけにでも通信制御が可能であり、とてもフレキシブルなタイプと言えます。
ファイアウォールの機能について
ファイアウォールの機能を一言でいえばセキュリティですが、もう少し詳しく基本的な機能を見ていきましょう。
どんなことができるのか、どんなことをしているのかというイメージで理解してみてください。
ルールに即して通過や遮断
ファイアウォールは門番のようなもので、ネットワークに繋がろうとする相手がどのような相手で、問題がないかどうかをチェックするのが仕事です。
通信の発信元や宛先をIPアドレスなどから判断し、通信を許可するか遮断するかを決めています。
あらかじめルールを決めておいて、そのルールに従って通過や遮断を判断する機能を持っているのです。
設定は運営者側で行えるため、ルールに合致するもの以外すべて遮断することもできれば、逆にルールに引っ掛からない限りすべて通すこともできます。
セキュリティを高めるなら、最小限の通信以外は通さないようにしておけば良いでしょう。
通信プロトコルに応じて通過や遮断
通信プロトコルというのは、通信に関する規格です。
ネットワークに繋がるドアがポートだと前述しましたが、ポートを通るのが通信プロトコルサービスです。
ポートには0から65535まで番号が割り振られていて、Webページの表示などは80、メール送信は25などよく使われるサービスには代表的な番号があります。
ファイアウォールはこうした通信プロトコルサービスごとにどの番号のポートを使うか決め、通常使用しないポートは閉じることでセキュリティを高める働きをしています。
通信の監視と管理
ファイアウォールはただの壁ではなく、通過する通信を監視する役割も果たしています。
通過したものも遮断したものもログとして記録し、通信記録を管理することでアクセスの実態調査や追跡ができるようにするのも仕事です。
通信ログはリアルタイムで監視しているので、もしサイバー攻撃を仕掛けるためにポートスキャン(ポートの事前調査)が行われたような場合には、すぐに検知することができます。
少しでも疑わしいアクセスがあれば検知し、管理者にアラートするとともに遮断対策をする機能を持っています。
ファイアウォールが集めた通信の情報を分析することで、宛先などの傾向や推移などを管理者が分析し、事前に脆弱性対策を実施することも可能です。
何より重要なのはトラブルが起こってから対処するのではなく、トラブルが起こらないように予防することですから、ファイアウォールはまさに適した機能と言えるでしょう。
無料で使えるファイアウォールを紹介
個人といわず企業といわず頼りになるファイアウォールですが、実は無料で利用できるものもあります。
ただし、無料の中には提供元の信頼性が低いものも混ざっているため、選ぶ場合は信頼性の高いものを慎重に選んでください。
ここでは信頼性が高いファイアウォールを紹介します。
Privatefirewall
信号機のようなアイコンで、手軽にオンオフを切り替えることができるソフトウェアです。
個別のアプリケーションやプロセス、IPアドレスごとにフィルタルールを設定可能で、最小限の通信以外すべて遮断することも可能です。
電子メールのフィルタリングや危険性の高いサイトへのアクセスブロックなどさまざまな機能があります。
COMODO Firewall
COMODO製品は、アンチウイルスやインターネットセキュリティ製品などをいくつか組み合わせることができます。
COMODO Firewallでは通信発生ごとに許可か拒否を選べたり、接続先のアドレスやポートを設定できたりときめ細かな機能が特徴です。
また、万が一悪質なプログラムが作動した場合、リアルタイムで制御するため被害を受ける前に対処が可能です。
情報漏えいや改ざんなどを避けるのに役立つでしょう。
Firewall App blocker
指定したアプリケーションの通信をフルオートでブロックできます。
操作がドラッグ&ドロップなのでかなり手軽にできるうえ、オンオフもいつでも手軽に切り替えることができます。
通信ブロッカーとしての役割が強く、外部と通信させたくないソフトウェアを簡単に登録できるのが魅力です。
マウスだけで設定できるため、IPやポートなど通信の知識も一切不要です。
ファイアウォールでネットワークのセキュリティ強化を
ファイアウォールはネットワークとネットワークの間に設置できる関所であり、そこを通過させて良いアクセスか、遮断すべきアクセスかを判断してくれる門番の役割も果たしてくれます。
サイバー攻撃に対する予防は各デバイス側で対応しなければならない時代に、個人でも企業でもネットワークごと守ることができるのは、有用なセキュリティと言えるでしょう。
