ファイアウォールとは？無効・有効・ポート開放方法から、選定ポイントまで

DX(デジタルトランスフォーメーション)の推進があらゆる企業にとって緊急の課題になっている昨今、自社のシステムを外部から脅かすサイバー攻撃に対する備えも「同時進行」させるべきでしょう。本記事では、ネットセキュリティでまず検討すべき、ファイアウォールの役割、機能、選定のポイントをわかりやすく解説しています。ぜひ参考にしてください。

ファイアウォールとは？役割と仕組み・機能について解説

ファイアウォールとは、コンピュータへの外部からの攻撃・侵入を防ぎ、コンピュータ内にある情報が外部に流出するのを防ぐソフトウェアです。Firewallを訳すと「防火壁」ですが、自然発生的ではない作為的な被害を防ぐシステムなので、「門番」あるいは「防犯扉」というほうが、その役割をよく表しています。

ファイアウォールの仕組み

ファイアウォールを「防犯扉」と説明しましたが、ネットワークからパソコンに入る扉は1つではありません。それどころか、パソコンには65,536個もの扉(ドア)があり、それぞれに0番から65535番までの番号がついています。このドアを「ポート」と呼びます。ネットワークとパソコンを出入りする通信(データ)は、どのポートから出入りしてもよいわけではなく、データの種類によって何番のポートを通るかが決まっています。たとえば、ファイルを送信するときは20番のポートを通り、インターネットのデータは80番のポートを通ります。ファイアウォールは、すべてのポートの門番をするわけではなく、重要と思われる特定のポートで、データの出入を監視してフィルタリング(通過or遮断)します。フィルタリングした結果は、パソコンの管理者に「不正なアクセスをブロックしました」と報告されます。各ポートでは、パケット(一連のデータを細かく切り分けた「データの部品」)の特徴から、接続を許可するかどうか判断されます。ファイアウォールは、個人では個々のパソコンに導入されますが、数多くのパソコンを使う企業ではインターネットと社内のLANの間に設置されます。

従来のファイアウォール

不正アクセスしようとする犯罪者は、「門番」のガードスキルが向上すると、さらにその上をいく巧妙な手口を考えます。ネットセキュリティの世界では、このような「イタチごっこ」が日常的に繰り返されています。第1世代、第2世代と呼ばれる従来のファイアウォールは、パケットフィルタリング、ネネットワークアドレス変換などの機能でサイバー攻撃からシステムを守ってきました。しかし、攻撃側の手口の巧妙化によって、それだけではガードしきれなくなりました。とくに、従来のファイアウォールでは、さまざまなアプリケーションの脆弱性をついた攻撃を回避しきれない場合もあります。

次世代ファイアウォール

最近のマルウェア(ウィルスを侵入させる悪意あるソフトウェア)の大半は、アプリケーションの弱点をつくタイプだと言われています。次世代ファイアウォールは、従来のファイアウォールでは防げなかったこのタイプの攻撃からシステムを守る機能を備えています。次世代型ファイアウォールは、従来型の機能をさらに高性能化するとともに、アプリの使用者を厳密に設定できるので、より徹底したセキュリティ管理が行えるのです。

ファイアウォールの種類

ファイアウォールは大別すると「パケットフィルタリング型」と「アプリケーションゲートウェイ型」の２種類です。

パケットフィルタリング型

パケットフィルタリング型は、 通信をパケット単位で解析し、定められたルールに基づいて通過の許可・不許可を判断します。通信を許可される扉(ポート番号)もあらかじめ設定されます。各パケットには「ヘッダ」と呼ばれるパケットの特徴を示す部分があり、パケットフィルタリング型ファイアウォールはこれを解析して判断します。パケットごとにフィルタリングルールを設定できる柔軟性がありますが、設定ミスによるセキュリティホールが生じる可能性があります。パケットフィルタリング型には次の3種類があります。

スタティックパケットフィルタリング

事前に通過を拒否するパケットをリスト化して、該当するポートでフィルタリングします。

ダイナミックパケットフィルタリング

決められたポートを利用しつづけると不正アクセスされる可能性が高まるので、必要に応じポートを開閉して、利用するポートを動的に割り当てます。

ステートフルパケットインスペクション

不正なパケット通信かどうかを、パケットのヘッダだけでなく、過去に送信された通信を記録しておき、そのコンテキスト（文脈）から判断します。

アプリケーションゲートウェイ型

外部ネットワークとコンピュータの間にプロキシサーバ(代理サーバ)を置いて、内部ネットワークが直接外部と接触しないようする仕組みです。外部サーバーから内部のシステムは見えなくなり、パケットすべてを監視できるので「なりすまし型」の不正アクセスを防御できます。その反面、データ処理が多くなるデメリットがあります。最近は、パケットフィルタリング型とアプリケーションゲートウェイ型を組み合わせた製品も発売されています。

ファイアウォールを無効・有効にする設定方法

特定のソフトをインストールしたいときにファイアウォールがブロックをしてしまうことがあります。そんな場合は一時的にファイアウォールを無効にすることで問題が解決します。無効にしたファイアウォールは、インストールが完了したらすぐに有効に戻しておきましょう。

Windows10での設定方法

Windows10でファイアウォールを無効にするのは次の手順で行います。

1. 画面左下のWindowsマークをクリックする
2. メニューをスクロールして「Windowsシステムツール」をクリック
3. 「コントロールパネル」を選択
4. 「システムとセキュリティ」をクリック
5. 「Windowsファイアウォールの状態の確認」をクリック
6. 「Windows ファイアウォールの有効化または無効化」をクリック
7. 「Windows ファイアウォールを無効にする（推奨されません）」にチェックを入れる
8. 「OK」をクリック

有効にする場合は、手順７で「Windows ファイアウォールを有効にする」にチェックを入れて「OK」をクリックします。

Macでの設定方法

Macでファイアウォールを無効にするのは、次の手順で行います。

1. アップルメニューから「システム環境設定」を起動する
2. 「セキュリティとプライバシー」アイコンをクリック
3. 上部タブメニューで「ファイアウォール」をクリック
4. 左下のロックマーク(南京錠)をクリック
5. 表示されたポップアップにパスワードを入力し「ロックを解除」をクリックする
6. 「ファイアウォールをオフにする」をクリック

ファイアウォールを有効に戻すには、手順６で「ファイアウォールをオンにする」をクリックして、左下のロックマークをクリックして施錠しておきます。

ファイアウォール以外のセキュリティ対策方法

企業のインターネットセキュリティを確保するには、ファイアウォールだけでは十分ではありません。ファイアウォール以外に下記のような対策方法があるので、自社が求めるセキュリティレベルに応じたシステムを導入することが必要です。

IDS(侵入検知システム)

IDSはIntrusion Detection Systemの略語で「侵入検知システム」と訳されます。コンピュータ内部やネットワークを監視するシステムで、不正侵入や異常を発見したら管理者に報告します。IDSの仕事は「検知と報告」で「防御」までは行いません。IDSには、ネットワークを監視する「ネットワーク型IDS」と、コンピュータを監視する「ホスト型IDS」があります。「ネットワーク型IDS」は、ネットワークを流れる通信パケットを監視して、ポートスキャン(鍵のかかっていない入り口を探す)やDoS攻撃を検知して報告します。ウィルスに感染した後の異常も検知できます。「ホスト型IDS」は、サーバ上の受信データやログを監視して、不正侵入を検知します。ファイルの改ざんも発見可能です。

IPS (侵入防止システム)

IPSはIntrusion Prevention Systemの略語で、「侵入防止システム」と訳されます。IPSは不正や異常を管理者へ通知するだけでなく、その通信をブロックするのが仕事です。IDSでは不正を検知しても対応にある程度の時間がかかりますが、IPSは疑わしいアクセスを検知するとともに、それを自動的に遮断します。

WAF

WAFはWeb Application Firewallの略語で、Webアプリケーションの脆弱性を突いた攻撃からシステムを防御します。上記のIDS、IPSでは、アプリケーションレベルの通信内容までは見られないので、それをカバーするのがWAFです。ECビジネスやクレジットカード、ネットバンキングなど、重要な顧客情報を扱う企業では必須のシステムです。

UTM (統合脅威管理)

UTMはUnified Threat Managementの略で「統合脅威管理」と訳されます。「統合」の言葉通りUTMは、１つの機器の中にファイアウォール、IDS/IPS、Webフィルタリング、アンチウィルス、アンチスパムの機能が集約・統合されています。複数の機器やシステムでセキュリティ対策を行うのと比較して、ネットワークリスクの一元管理が可能です。

ルーター

インターネットに接続するために必須の機器であるルーターには、通信を暗号化して通信内容を隠すセキュリティ機能が備わっています。Wi-Fiの暗号化方式は「WEP」「WPA」「WPA2」「WPA3」の4つありますが、最もセキュリティが弱い「WEP」は現在ではほとんど使われません。

ファイアウォールを選定するときの3つのポイント

ファイアウォールを選定するときは、①自社に必要なセキュリティ強度、②導入・運用のしやすさ、③自社の業務内容や規模から見た妥当な価格、の3つを検討しましょう。

ポイント1．自社に必要なセキュリティ強度を満たしているか

ファイアウォールを選ぶときは、自社にとって重要なセキュリティ(サイバー攻撃からの保護、ウィルス汚染されたデータファイルの拒否など)がなにかを意識して、必要な機能を備えているものを選ぶことが大切です。また、ファイアウォール以外のセキュリティ対策の特徴を理解して、さまざまな脅威に対応できる「対策ソフトの組み合わせ」も考慮する必要があります。

ポイント2．導入や運用時のサポートはあるか

目に見えないサイバー攻撃やウィルスの脅威から自社システムを守り続けるには、対策機器やソフトを提供するベンダーからの適切なサポートが欠かせません。導入時やその後の運用で、ベンダーからどのようなサポートがあるかは、必ず確認したいポイントです。

ポイント3．使い続けられる価格か

求めるセキュリティレベルや保護するパソコンの台数などによって、セキュリティ機器やクラウドソフトのサブスク価格が異なります。必要以上のセキュリティレベルを備えたシステムに高額な代金を払うのは無駄だし、費用を惜しんで十分な対策をしないのはリスキーです。難しい兼ね合いですが、使い続けられる価格かどうかを目安に適切な選択をしましょう。

ファイアウォールを始め必要なセキュリティ対策を行おう

インターネット上での「悪意ある攻撃」は、不意打ちやそっと忍び込むのが特徴なので、企業の管理者にとっては「分かりにくく厄介な問題」です。その手口が日々巧妙化(悪い意味で専門家)しているのも、担当者にとって頭の痛い点です。問題が起きる前に、どのような問題が起こりうるかを予測して対策をするのは簡単ではありませんが、自社に似た業態の企業の被害事例などを参考にしながら、ファイアーウォールをはじめとする必要なセキュリティ対策を行いましょう。

あわせて読みたい