IT用語集 2023/10/16

ファイアウォールとは？わかりやすく10分で解説

コラム

ファイアウォールは、ネットワークを通過する通信をルールに基づいて許可・遮断し、不正アクセスや不要な通信を減らすセキュリティ対策です。効果を得るには、守る対象、許可する通信、ログ監視、ルール変更手順、更新作業までを設計する必要があります。単体で万能な防御策ではないため、WAF、IDS/IPS、EDR、SIEM、ID管理などと組み合わせ、多層防御の一部として運用します。

ファイアウォールと情報セキュリティの理解

ファイアウォールとは何か

ファイアウォールは、企業や組織の内部ネットワークとインターネットなどの外部ネットワークの境界に配置し、通信を制御する仕組みです。あらかじめ定めたルールに沿って通信を許可・遮断し、不正アクセスやサイバー攻撃の成立条件を減らします。

基本的な動作は、内部から外部へ出ていく通信（アウトバウンド）と、外部から内部へ入ってくる通信（インバウンド）を確認し、許可条件に合う通信だけを通すことです。たとえば、公開サーバーに必要なポートだけを許可し、不要なポートは遮断します。

近年は、外部からの侵入だけでなく、侵入後の横展開や、内部から外部への不審な送信も問題になります。そのため、境界の通信制御に加え、内部ネットワークの分割、ログ監視、クラウド環境の通信制御も含めて設計します。

情報セキュリティとの関連性

情報セキュリティは、機密性・完全性・可用性を確保しながら、事業継続と情報資産保護を実現する取り組みです。ファイアウォールはその中で、ネットワークを経由した攻撃や不正通信を減らす役割を担います。

ただし、情報セキュリティはファイアウォールだけでは成立しません。メール経由のマルウェア感染、Web経由の攻撃、ID・パスワードの盗用、クラウド設定不備、端末の脆弱性など、侵入経路は複数あります。ファイアウォールは有効な防御線ですが、端末対策、認証、監視、脆弱性管理と併用します。

ファイアウォールが基礎的な対策として扱われるのは、ネットワーク境界で通信を制御できるためです。不要な通信を最初から通さないことで、攻撃面を減らし、ログを調査材料として残せます。

ファイアウォールの役割と限界

ファイアウォールの役割は、許可すべき通信を通すこと、不要・危険な通信を遮断すること、ログを残して調査や改善につなげることです。ここでの中心は、単に遮断することではありません。業務上どの通信を許可し、どの通信を禁止するかを、組織の要件として定義することです。

一方で、ファイアウォールは暗号化通信の中身、端末内部の不審な実行、盗用された正規IDによる操作、Webアプリケーションの入力内容までは十分に扱えない場合があります。ファイアウォールの役割を過大評価すると、見落としが発生します。

実務上の到達点は、リスクをゼロにすることではなく、攻撃の成立確率を下げ、被害範囲を小さくし、異常に早く気づける状態を作ることです。ファイアウォールは、攻撃面の削減とログ取得の基盤として機能します。

ファイアウォールの発展

ファイアウォールは、組織が外部ネットワークへ接続するようになった初期から、境界を保護する仕組みとして発展してきました。初期はIPアドレスやポート番号に基づく単純なフィルタリングが中心でした。

現在は、通信状態を踏まえて判断するステートフル検査、アプリケーション識別、侵入防止機能を組み合わせた次世代ファイアウォール（NGFW）も使われます。クラウド利用やリモートワークが前提になる環境では、SASEやSSEの一部として、クラウド上でファイアウォール相当の制御を提供する構成も選択肢になります。

ファイアウォールの構造と種類

ファイアウォールは、どこに配置するか、何を判断材料にするか、どの階層まで確認するかによって性格が変わります。代表的な方式を整理します。

ファイアウォールの基本構造

ファイアウォールは、内部ネットワークと外部ネットワークの間に配置され、ルールに基づいて通信を通過または遮断します。判断材料には、送信元・宛先IPアドレス、ポート番号、通信規格やプロトコル、通信方向、アプリケーション識別、コンテンツ検査結果などがあります。

ネットワーク構成によっては、NAT（アドレス変換）機能を併せ持つことがあります。ただし、NATそのものをセキュリティ対策とみなすのは不正確です。重要なのは、通信を明示的な許可ルールで制御し、例外を最小化し、ログで追跡できる状態にすることです。

パケットフィルタリング型

パケットフィルタリング型は、通信をパケット単位で確認し、条件に合うかどうかで通過・遮断を決める方式です。典型的な条件は、送信元IP、宛先IP、プロトコル、ポート番号です。

ステートレス	通信の状態を追跡せず、個々のパケットの条件で判断します。構造は単純ですが、戻り通信やセッションの文脈を踏まえた判断には限界があります。
ステートフル	通信の開始から終了までの状態を追跡し、セッションの文脈を踏まえて判断します。現在の企業ネットワークでは、この方式が広く使われます。

パケットフィルタリングは比較的高速で、ネットワーク性能への影響を抑えやすい方式です。一方で、URL、入力値、HTTPヘッダー、アプリケーション固有の攻撃などを細かく確認する用途には限界があります。

アプリケーションゲートウェイ型（プロキシ型）

アプリケーションゲートウェイ型は、プロキシとして通信を中継し、アプリケーション層の内容も踏まえて制御する方式です。内部端末が外部と直接通信するのではなく、プロキシが仲介することで、詳細なポリシー適用やログ取得を行いやすくなります。

通信内容を深く確認できる反面、処理負荷が大きくなり、設定や証明書管理も複雑になりやすい方式です。適用対象は、業務上どのアプリケーションを、どの条件で許可するかを整理したうえで決めます。

サーキットレベルゲートウェイ型

サーキットレベルゲートウェイ型は、TCPなどのセッション確立を基点に、通信の成立を制御する方式です。代表例としてSOCKSがあります。通信内容を詳細に検査するよりも、セッションの中継と制御に重点があります。

現在の実務では、この方式だけを単独で採用するより、他方式や統合製品の一機能として扱うケースが多くなります。方式名だけで判断せず、どの通信をどの粒度で制御したいかを要件化します。

次世代ファイアウォール（NGFW）

次世代ファイアウォール（NGFW）は、従来型のパケット制御に加え、アプリケーション識別、ユーザー識別、侵入防止、URL制御、脅威インテリジェンス連携などを組み合わせた製品群を指します。

NGFWは多機能ですが、導入すれば自動的に安全性が高まるわけではありません。アプリケーション識別をどの範囲で使うか、暗号化通信をどこまで確認するか、ログを誰が見るか、誤検知時にどう対応するかまで決めて初めて機能します。

ファイアウォールの活用と配備

ファイアウォールは、設置だけでは効果が限定されます。守る資産と通信要件を整理し、適切に配置し、運用でルールとログの品質を維持します。

企業におけるファイアウォールの配置

企業ネットワークでは、インターネット接続点にファイアウォールを配置し、外部から内部への侵入と、内部から外部への不審な通信を制御します。典型的には、ルーター直下やDMZと社内ネットワークの間に配置し、公開系と業務系を分離します。

クラウド利用やリモートワークが前提になると、通信経路は拠点境界だけに収まりません。その場合は、拠点のファイアウォールに加え、クラウド側のセキュリティグループ、クラウドファイアウォール、端末制御、IDを基点にしたアクセス制御を組み合わせます。

ファイアウォールの選定基準

ファイアウォールの選定は、守る対象と許可すべき通信を起点にします。製品機能の多さではなく、自社の通信経路、業務要件、運用体制に合うかで判断します。

必要なスループット、同時セッション数、VPN利用数
アプリケーション識別、URL制御、IPS連携などの要否
ログ検索、レポート、アラート、SIEM連携の扱いやすさ
冗長構成、保守、更新、切り戻しのしやすさ
管理画面の操作性、権限分離、変更履歴の記録
導入費、保守費、運用工数、教育コスト

Webアプリケーションを公開している場合は、WAFも検討対象になります。ファイアウォールはネットワーク境界の通信制御が中心で、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーション層の攻撃はWAFの守備範囲に入ります。

ファイアウォールの設定と管理

ファイアウォールの品質は、ルール設計と運用管理で決まります。基本は、業務に必要な通信だけを許可し、それ以外は原則として遮断することです。例外ルールが増えるほど、誤設定や把握漏れのリスクは高まります。

ルールごとに目的、対象システム、責任者、期限を記録する
追加・変更は申請、承認、作業、確認の手順を通す
期限付きの例外ルールを設定し、定期的に棚卸しする
送信元・宛先を広く取りすぎたルールを見直す
ログを点検し、想定外の通信や遮断理由を確認する

アウトバウンド通信の制御も欠かせません。侵入を完全に防げない前提では、内部から外部への不審な通信を減らし、検知材料を増やすことが、被害拡大の抑制につながります。

ファイアウォールの更新とメンテナンス

ファイアウォールは、機器やソフトウェアとしての脆弱性対策と、ルールの品質維持の両方が必要です。ベンダーからの更新プログラムを適用し、業務変更に伴って増えたルールが不要になっていないか、過剰な許可になっていないかを確認します。

更新作業は通信停止や業務影響を伴う場合があります。冗長構成、保守時間、切り戻し手順、更新後の疎通確認、ログ監視まで手順化すると、更新時のリスクを抑えやすくなります。

他のセキュリティ対策との組み合わせ

ファイアウォールは重要な基盤ですが、攻撃手法が多様化した現在では、複数の対策を組み合わせる前提で設計します。多層防御は、単一の防御策へ依存せず、攻撃を通しにくくし、通った場合でも被害を限定し、検知と対応を早める考え方です。

IDSやIPSとの関連性

IDS（侵入検知システム）は、ネットワークやシステムの不審な挙動・攻撃パターンを検知し、アラートを上げる仕組みです。IPS（侵入防止システム）は、検知に加えて遮断まで行います。

ファイアウォールが許可・遮断の境界制御を主に担うのに対し、IDS/IPSは攻撃の兆候を検知・遮断する役割を持ちます。両者を組み合わせることで、ポート制御だけでは見逃しやすい攻撃への対応力を高められます。

WAFとファイアウォールの違いと共通点

WAFは、Webアプリケーションに対する攻撃を検知・遮断する仕組みです。OWASPでは、WAFをHTTPアプリケーション向けのアプリケーションファイアウォールとして説明しており、XSSやSQLインジェクションなどへの対策に使われます。

ファイアウォールは、主にネットワーク境界でどの通信を通すかを制御します。WAFは、HTTPリクエストやレスポンスの内容を確認し、Webアプリケーション層の攻撃を扱います。対象レイヤーが異なるため、公開Webサービスでは両者を併用する構成が一般的です。

EDR、SIEM、ID管理との役割分担

ファイアウォール以外にも、EDR、SIEM、メールセキュリティ、ID管理、多要素認証、脆弱性管理などの対策があります。これらは競合ではなく、役割が異なります。

ファイアウォール	ネットワーク通信を許可・遮断し、境界やセグメント間の通信を制御します。
EDR	端末上の不審な実行、挙動、侵害の兆候を検知し、調査と対処を支援します。
SIEM	複数システムのログを集約し、相関分析やインシデント調査に活用します。
ID管理	利用者、権限、認証方式を管理し、正規IDの悪用による被害を抑えます。

例えば、ファイアウォールで不要な通信を減らし、EDRで端末の異常を検知し、SIEMでログを横断分析し、ID管理で利用者権限を制限する、といった役割分担が考えられます。