ファイアウォールとは？その仕組み

ファイアウォールの定義

ファイアウォールとは、ファームウェアまたはソフトウェアで、不正なアクセスを防ぐ仕組みです。多くのルールを用いてネットワークのトラフィックを監視し、危険を阻止します。

ファイアウォールは個人用でも企業用でも使用され、Mac、Windows、Linuxなどさまざまなデバイスに対応しています。一般にネットワークセキュリティの中核とされています。

ファイアウォールの歴史 

ファイアウォールの起源は1980年にさかのぼります。当時はパケットフィルタとして使用され、その効果から今日まで利用されています。登場以来、大きく進化し、各バージョンで改善が進んできました。バージョン履歴をご覧ください。

• Gen 1 Virus

Gen 1はウイルス対策を目的に1980年代後半に登場しました。当時はインターネットが発展途上で、単体PCが狙われやすい時代でした。これがアンチウイルスソフトの発展を促しました。

• Gen 2 Networks

Gen 2ネットワーク（またはGeneration 2）は1990年代中頃に登場し、インターネット攻撃を防ぎました。これが本格的なファイアウォールであり、現行の先進版です。

• Gen 3 Applications

新千年紀初頭のバージョンで、重要なアプリの隠れた脆弱性を見つける能力に優れていました。これがIPSの開発の道を切り拓きました。

• Gen 4 Payload

このバージョンはGen 3ファイアウォールの機能を拡張し、特定の侵入的で追跡困難な攻撃を防ぐことができました。2009～2010年に増加したこうした攻撃により、企業や個人の多くの問題を解決しました。

• Gen 5 Mega

Generation 5 Megaは2017年に登場しました。大規模な攻撃や膨大なデータを狙う攻撃が背景にあり、多様な脅威への対策を提供し、世界的に受け入れられる性能を実現しました。

ファイアウォールの利点は何か？

ファイアウォールは現代のセキュリティ手法に大きな影響を与え、現在も広く利用されています。インターネット普及初期に、ネットワークの複雑化に対応するための新たなセキュリティ手法として登場しました。それ以降、個人や企業のネットワークセキュリティの基本となり、ほとんどのデバイスでトラフィックを監視して危険を軽減しています。

機能

ファイアウォールは企業用、個人用の両方で使用されます。現代のネットワークでは、他のセキュリティ対策と共に、セキュリティ情報およびイベント管理（SIEM）の仕組みに組み込まれています。ネットワークの境界に配置して外部のリスクに備えたり、内部でセグメント分けして内部リスクから守ることが可能です。

いずれの場合も、ファイアウォールは大量のログと監視機能を持っています。これにより、イベントの履歴を基に規制当局が傾向を把握し、ガイドライン作りの参考にできます。セキュリティリスクが急速に進化する中、ルールは定期的に更新される必要があり、ベンダーは新たな脅威を発見すると、できるだけ早くパッチを提供しています。

家庭用ネットワークでは、ファイアウォールがトラフィックを制御し、干渉を検知して通知します。特に、DSLや接続モデムなど静的IPアドレスを利用するネットワークでは重要な役割を果たし、アンチウイルスソフトと併用されることが多いです。個人用ファイアウォールは一般に単体装置として提供され、ソフトウェア単体のものや、ファイアウォール機能を組み込んだ機器があります。ハードウェア／ファームウェア型は、家庭内デバイス間の障壁として利用されます。

‍

ファイアウォールはどのように動作するか？

ファイアウォールは、外部ネットワークと監視対象ネットワークの間に境界を設けます。ネットワーク内に配置され、送受信されるすべてのパケットを検査します。検査時には、あらかじめ定められたルールを用いて、無害なものと悪意あるものを判断します。

「パケット」とは、通信のためにまとめられたデータの塊を意味し、送信元などの情報も含みます。ファイアウォールはこの情報を用いて、パケットがルールに沿っているか判断し、違反する場合は監視対象ネットワークへの進入を拒否します。

ルールは、パケットに示される送信元、宛先、内容などに基づいて設定されます。

• 送信元
• 宛先
• 内容

これらの属性は、ネットワークの各層で個別に管理されます。パケットは送信先を示すために何度も書き換えられ、ファイアウォールは異なる層で検査を行うものも存在します。

‍

ファイアウォールの機能 – 何ができるか？

本来の目的は、攻撃を防ぐことにあります。すべてのトラフィックをフィルタリングし、詳細に検査することで実現します。また、許可されていないトラフィックだけを遮断する使い方も可能です。

このツールを利用すれば、ネットワークや接続要求を監査し、安全な接続かどうかを判断できます。

通常、不正侵入を防ぐために、トラフィックの状態を監視し、疑わしい場合は即時にブロックします。APTや盗聴の防止にも非常に有用です。

ファイアウォールを用いて自宅Wi‑Fiにペアレンタルコントロールを実施することもでき、ブロックするURLやサイトのリストを作成して、子供のアクセスを制限できます。

同様のインターネット制限は職場でも有効です。勤務時間中にソーシャルメディアの使用が過剰になるため、ファイアウォールで利用を制限することができます。

また、中国などの国では、全国規模のインターネット検閲を実施するためにファイアウォールが活用されています。特定のソーシャルメディアやウェブサイト、ページへのアクセスを制限することができ、中国では常時グレートファイアウォールが用いられ、他国では緊急時や国家的懸念がある場合に利用されることが多いです。

‍

ファイアウォールで実現できないこと

ファイアウォールは多くの機能を備えていますが、すべてをカバーできるわけではありません。以下のような機能は期待しても効果がありません。

• 接続が正当かを見極める

ファイアウォールはネットワークのデジタルな要素を監視するもので、人の意図を判断することはできません。したがって、接続要求の背後にある意図を評価する機能はありません。同様の理由で、IPスプーフィングを防ぐこともできません。

• ファイアウォール経由でない接続の管理

ファイアウォールは、その通過するトラフィックのみを監視できます。通過しないトラフィックに対しては対応できず、実際にファイアウォールを回避する方法も存在します。

• 完全なアンチウイルス機能の提供

ファイアウォールは、不審な要求を防ぐことはできますが、一見正当なコードや接続が巧妙に隠されている場合、検出できません。脅威がシステムに到達するのを防ぐ仕組みはなく、こうしたケースはアンチウイルスで対処する必要があります。そのため、ファイアウォールは別のアンチウイルス対策と併せて使用すべきです。

‍

ファイアウォールの7種類

1. 状態検査型ファイアウォール

状態検査型ファイアウォール（動的パケット検査ファイアウォールとも呼ばれる）は、パケットを時系列で監視し、送受信の両方を確認します。

このタイプは、すべての確立済み接続を監視するテーブルを保持しています。新しいパケットが到着すると、パケットヘッダーの情報を状態テーブルと照合し、既存の接続に属するかどうかを判断します。既存の接続であれば、追加検査なしに通過を許可し、そうでなければ新たな接続としてルールに従って評価されます。

状態検査型ファイアウォールは高い効果を発揮しますが、DoS攻撃など確立済み接続を悪用する攻撃には弱い場合があります。

2. パケットフィルタリング

パケットフィルタリングファイアウォールでは、パケットの送信元・宛先、プロトコル、ポート番号がチェックされます。ルールに合致しない場合、パケットは目的地へ送られず破棄されます。たとえば、Telnetアクセスをブロックする設定の場合、TCPポート23宛のパケットが破棄されます。

パケットフィルタリングは、基本的にOSI参照モデルのネットワーク層で動作しますが、送信元・宛先のポート番号はトランスポート層から取得され、各パケットを個別に検査するため、既存の通信への所属は判断しません。

3. 次世代ファイアウォール（NGFW）

次世代ファイアウォールは、複数の手法を組み合わせ、追加のセキュリティソフトウェアや機能を搭載しています。それぞれの手法には独自の特徴と欠点があり、OSI参照モデルの異なる層を守ります。NGFWは、各手法の長所を融合し、一つの装置で複数の機能を提供することが多いです。

現代のネットワーク境界は多数のエントリーポイントや多様なデバイスが存在するため、より堅牢なアクセス制御とホストレベルのセキュリティが求められています。この多層アプローチの必要性がNGFWの発展を促しました。

NGFWは従来のファイアウォール機能、アプリケーション管理、IPSの3機能を兼ね備えており、状態検査型ファイアウォールと同様に動的な通信制御を強化しています。

NGFWは、従来のファイアウォール機能（NAT、URLブロッキング、VPNなど）に加え、QoSサポートや他では見られない機能を統合しています。SSLやSSH検査、評判に基づくマルウェア対策、さらに深層パケット検査（DPI）でパケット内容を詳細に確認し、マルウェアを防ぎます。

NGFWやその他のファイアウォールが複数の機能と連携して使用される場合、統合脅威管理（UTM）と呼ばれます。

4. NATファイアウォール

ネットワークアドレス変換とも呼ばれるNATファイアウォールは、複数の装置に内部IPアドレスを割り当て、単一のIPアドレスでインターネットに接続できるようにして、個々のIPアドレスを隠します。そのため、攻撃者がネットワーク内の詳細な情報を把握しにくくなり、追加の防御となります。内部のPC群と外部トラフィックの間で仲介的な役割を果たします。

5. プロキシファイアウォール

このタイプは逆プロキシファイアウォールとも呼ばれ、アプリ層での隔離機能を提供し、パケットのペイロードを解析して正当な要求と悪意あるコードを識別します。ウェブ利用者への攻撃が増加する中、アプリ層での保護が求められ、従来のパケットフィルタリングや状態検査型ファイアウォールでは対応できない対策として登場しました。

ペイロードの内容を細かく解析することで、ネットワークトラフィックに対してより詳細な制御が可能となります。例えば、特定のクライアントからのTelnet要求だけを許可または拒否することが可能です。

このタイプがプロキシサーバ上で動作する場合、逆プロキシとなり、攻撃者が本当のサーバの場所を特定しにくくするとともに、追加のセキュリティ層を提供します。クライアントとサーバは、一度仲介サーバを経由して通信を開始し、ファイアウォールルールに沿えば接続が確立されます。

6. WAF

従来のファイアウォールがネットワークを悪意ある攻撃から守るのに対し、Webアプリケーションファイアウォール（WAF）はWebアプリを悪質な利用者から守ります。WAFは、Webアプリとインターネット間のHTTPトラフィックを分離・監視し、XSS、ディレクティブインジェクション、SQLインジェクションなどの攻撃から保護します。

Webアプリの前にWAFを配置することで、アプリとインターネットの間に防御層が形成され、クライアントはWAFを経由してサーバと通信するため、直接攻撃を防ぎます。

7. SMLIファイアウォール

SMLIファイアウォールは、状態を維持しつつ、ネットワーク、トランスポート、アプリケーション層でパケットを検査し、既知の信頼できる接続と照合します。NGFWと同様に、パケット全体をチェックし、各層を問題なく通過している場合にのみ許可します。これにより、開始された通信がすべて信頼できるものであることを保証します。

なぜファイアウォールが必要なのか？

ファイアウォール、特に次世代ファイアウォールは、マルウェアやアプリ層への攻撃を防ぐことに重点を置いています。統合されたIPSと連携することで、ネットワーク全体の攻撃を迅速かつ確実に検知・対処することが可能です。ファイアウォールを導入することで、通信の許可・遮断のための明確なポリシーが整備されます。

‍

ファイアウォールの弱点は何か？

パケットフィルタリング型などの基本的なファイアウォールは、DPIを用いないため、より高度な攻撃に対しては脆弱です。NGFWはその欠点を補っていますが、ゼロデイのような新たな脅威には対応が難しい場合があります。そのため、ネットワークにはIDSやIPSなど他のセキュリティ対策との併用が求められます。現代の脅威として、以下のものが挙げられます。

1. 内部攻撃

企業は境界用のファイアウォールに加え、内部ファイアウォールを設置して攻撃元を特定し、内部からの脅威を防ぐことができます。攻撃が疑われる際は、NGFWの機能で厳格に監査し、ネットワーク利用のベストプラクティスに基づいた内部文書を参照することでリスクを把握できます。例として、

• 機密データの平文送信
• 業務時間外での資産アクセス
• 機密リソースへの不適切なアクセス
• 外部利用者によるネットワークリソースへのアクセス

2. DDoS攻撃

DDoS攻撃は、大量のトラフィックを送り付けることで、特定のネットワークの通常通信を妨げる危険な手法です。攻撃は、複数の感染したPCやその他のデバイスを利用して行われ、通常通信が目的地に到達できなくなるため、攻撃通信と通常通信をいかに分離するかが鍵となります。

3. マルウェア

マルウェアの脅威は、洗練され複雑で、セキュリティ技術の進展に伴い常に進化しています。IoTの普及でネットワークが複雑化する現代において、ファイアウォールだけで守るのは難しくなっています。

‍

ファイアウォールの事例

その影響力と実用性から、ファイアウォールはサイバーセキュリティの主流な技術となっています。ただし、適切に使用された場合にのみ効果を発揮します。以下は現実世界での有名なファイアウォールの事例です。 

• 大規模なインターネット検閲のための中国のグレートファイアウォール

中国はインターネットに対して開かれた国ではなく、利用者に対して多数の検閲が行われています。これらの検閲を実施するため、中国は1998年からファイアウォールを活用しており、海外で一般的に利用されているサイトへのアクセスは制限されています。

その代わり、ファイアウォールによって完全に監視されたイントラネットが構築され、政府が認めたウェブサイトやアプリのみが利用可能となっています。政府の意向により、中国国民が何を、どのように、またどのくらいインターネットを利用できるかが定められる仕組みとなっています。つまり、全国規模の監視とウェブ検閲を実施するためのツールとして機能しています。

• 米国連邦機関における不適切なファイアウォール設定

2020年のパンデミック時、多くの組織が在宅勤務や隔離への対応に不備があり、米国連邦機関もその例外ではありませんでした。

急遽採用されたリモートワークモデルに存在する複数の脆弱性を熟練のハッカーが突いたため、ファイアウォールの設定不備が原因でセキュリティ侵害が発生しました。調査では、ファイアウォールが多数のアウトバウンドポートを開放しており、十分に保護されていなかったことが判明しました。これらの弱点により、攻撃者が容易に悪用する状況となっていました。

• 米国電力網の未更新ファイアウォール

米国のサイバーセキュリティ体制には多くの穴があるとされ、未更新のファイアウォールが原因で2019年に米国電力網がDDoS攻撃の標的となりました。

主な原因は、アップデートが行われず、ファイアウォールが連続して10時間以上再起動状態に陥っていたため、効果を発揮できなかったことにあります。調査では、アップデートが実施されなかったため未更新の状態が続いていたことが明らかになり、攻撃自体は深刻な侵入に至らなかったものの、当時は大きな懸念材料でした。

APIファイアウォールとは？

APIファイアウォールとは、APIを守るために別途対策を講じたり、AIで通信の正当性を判定する必要がなくなることを意味します。もしOpenAPI定義がAPIセキュリティ監査で高評価を得ているのであれば、APIを守るための必要な対策が十分に施されていると判断できます。さらに、APIに対する保護が強化されます。

APIファイアウォールは、API定義に基づいて正当な操作やデータの許可リストを作成し、そのポリシーをすべてのリクエストおよびレスポンスに適用します。API定義に記載されていない内容を含むリクエストは、以下のように遮断されます：

• JSONスキーマに準拠しないメッセージ
• 未定義のメソッド（POST、PUT、PATCHなど）
• 未定義のステータスコード
• 未定義のヘッダー
• 未定義のリクエストまたはルート制限

APIファイアウォールは、通常、API定義に記された契約に基づいて動作します。不正なリクエストをフィルタリングし、OpenAPI仕様に沿ったリクエストのみを通します。同様に、未定義または仕様に沿わないレスポンスを遮断します。