ステートフルインスペクションとは？ファイアウォールの仕組みを理解しよう！

ステートフルインスペクションは、パケットフィルタリング型ファイアウォールの機能・方式の１種です。しかし、どのような特徴があるのか、あるいは、そもそもファイアウォールにどのような分類があるのかよく分からず、困っていませんか。

この記事では、パケットフィルタリング型ファイアウォールやステートフルインスペクションの基本的な特徴や仕組みを解説します。ぜひ、自社のセキュリティ環境を見直す参考にしてください。

ファイアウォールのステートフルインスペクションとは

ステートフルインスペクションとはパケットフィルタリング型ファイアウォールにおいて、通信内容の通過可否を動的に判断する機能です。ステートフルパケットフィルタリング、ステートフルパケットインスペクションなどとも呼ばれます。

ファイアウォールに到達するパケットの情報を読み取り、あらかじめ設定されたルールに基づいて通過させるかどうかを動的に判断することで、不正なやり取りを排除する仕組みです。

ファイアウォールの主要機能として、ステートフルインスペクション／ステートフルフェールオーバーがあります。

「ステートフルインスペクション」は通信可否を動的に判断する機能であるのに対し、「ステートフルフェールオーバー」はシステム障害時に別のファイアウォールへ通信を引き継ぐ機能です。

ファイアウォールが保持する通信セッションの記録を保ったまま、自動で別のファイアウォールに切り替えることができます。これにより、万が一ファイアウォールに障害が発生しても通信を継続できます。

２台のファイアウォールをフェールオーバーケーブルで接続することで、上記の自動切り換え環境を構築できます。

ステートフルインスペクションの仕組みについて詳しく見ていきましょう。

LANからWAN（インターネット）に向けて送信したデータを記録し、WANから戻ってきたデータと照合します。そして、送信時の情報をもとに受信データに不正がないか判断し、正常と判断された場合のみ通信の通過を許可します。

この方式のメリットは、戻りのデータに関する設定が楽なことです。文脈をもとに可否を判断するため、そうでない方式（ステートレス）よりもあらかじめ設定するルールが少なく済みます。

ステートフルインスペクションはデータの検査精度が高いのが特長です。通信プロトコル（通信するうえでの規約）だけでなく、アプリケーションの情報までを包括的に記録するため、精度の高い検査を実現できます。

また、通信の前後関係を把握して通過可否を決めるため、送信元偽装による不正な通信を排除できます。戻り以外のWAN側からのデータは基本的に受け付けません。

ステートフルインスペクションはパケットフィルタリング型ファイアウォールの方式の１つです。では、そもそもパケットフィルタリング型ファイアウォールとはどのようなものなのでしょうか。

パケットフィルタリング型は、自身を通過しようとするパケットのヘッダ（送信元や宛先など）の情報だけを検査して通過可否を判断する方式です。通信の中身まで精査するアプリケーション型ファイアウォールに比べると、検査が簡素だといえます。

そのため、通信速度が速いのが特長です。ファイアウォール導入は通信速度の低下を招くといわれますが、パケットフィルタリング型の場合には顕著な変化は見られないでしょう。また、簡素な仕組みであるため、あまりコストがかからないのも長所です。

パケットフィルタリング型には安全性が低いという短所があります。通信のヘッダ情報しか確認しないため、中身の安全性は判断できません。そのため、ヘッダが偽装された情報は見破れないでしょう。

一方、アプリケーション型は内部の情報まで確認するため、より高い安全性を実現できます。セキュリティレベルではアプリケーション型に軍配が上がるでしょう。

パケットフィルタリング型は主に以下の３つに大別されます。

スタティックパケットフィルタリング（静的フィルタリング）: 通信のヘッダ情報があらかじめ設定したブラックリストに該当するか確認し、該当しないもののみ通過させる方式です。
ダイナミックパケットフィルタリング（動的フィルタリング）: LANからの通信情報をもとにWANからの戻りの通信を検査する方式です。
ステートフルインスペクション: 方式自体はダイナミックパケットフィルタリングと同じです。しかし、ダイナミックパケットフィルタリングが通信プロトコルのみを参照するのに対し、ステートフルパケットインスペクション型はアプリケーション層の情報までを参照する点で異なります。