ステートフルインスペクションとは？ファイアウォールの仕組みを理解しよう！

2019年03月19日最終更新
ファイアウォールの製品一覧

ステートフルインスペクションは、パケットフィルタリング型ファイアウォールの機能・方式の１種です。しかし、どのような特徴があるのか、あるいは、そもそもファイアウォールにどのような分類があるのかよく分からず、困っていませんか。

この記事では、パケットフィルタリング型ファイアウォールやステートフルインスペクションの基本的な特徴や仕組みを解説します。ぜひ、自社のセキュリティ環境を見直す参考にしてください。

ファイアウォールの製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

ファイアウォールの資料請求ランキングで製品を比較！今週のランキング第1位は？

ファイアウォールのステートフルインスペクションとは

ステートフルインスペクションとはパケットフィルタリング型ファイアウォールにおいて、通信内容の通過可否を動的に判断する機能です。ステートフルパケットフィルタリング、ステートフルパケットインスペクションなどとも呼ばれます。

ファイアウォールに到達するパケットの情報を読み取り、あらかじめ設定されたルールに基づいて通過させるかどうかを動的に判断することで、不正なやり取りを排除する仕組みです。

ステートフルフェールオーバーとの違い

ファイアウォールの主要機能として、ステートフルインスペクション／ステートフルフェールオーバーがあります。

「ステートフルインスペクション」は通信可否を動的に判断する機能であるのに対し、「ステートフルフェールオーバー」はシステム障害時に別のファイアウォールへ通信を引き継ぐ機能です。

ファイアウォールが保持する通信セッションの記録を保ったまま、自動で別のファイアウォールに切り替えることができます。これにより、万が一ファイアウォールに障害が発生しても通信を継続できます。

２台のファイアウォールをフェールオーバーケーブルで接続することで、上記の自動切り換え環境を構築できます。

ステートフルインスペクションの仕組み

ステートフルインスペクションの仕組みについて詳しく見ていきましょう。

通信の前後関係を把握して許可する

LANからWAN（インターネット）に向けて送信したデータを記録し、WANから戻ってきたデータと照合します。そして、送信時の情報をもとに受信データに不正がないか判断し、正常と判断された場合のみ通信の通過を許可します。

この方式のメリットは、戻りのデータに関する設定が楽なことです。文脈をもとに可否を判断するため、そうでない方式（ステートレス）よりもあらかじめ設定するルールが少なく済みます。

登録された制御情報をもとに判断するため精度が高い

ステートフルインスペクションはデータの検査精度が高いのが特長です。通信プロトコル（通信するうえでの規約）だけでなく、アプリケーションの情報までを包括的に記録するため、精度の高い検査を実現できます。

また、通信の前後関係を把握して通過可否を決めるため、送信元偽装による不正な通信を排除できます。戻り以外のWAN側からのデータは基本的に受け付けません。

パケットフィルタリング型ファイアウォールの特徴

ステートフルインスペクションはパケットフィルタリング型ファイアウォールの方式の１つです。では、そもそもパケットフィルタリング型ファイアウォールとはどのようなものなのでしょうか。

メリット：検査が簡易であるため通信が速い

パケットフィルタリング型は、自身を通過しようとするパケットのヘッダ（送信元や宛先など）の情報だけを検査して通過可否を判断する方式です。通信の中身まで精査するアプリケーション型ファイアウォールに比べると、検査が簡素だといえます。

そのため、通信速度が速いのが特長です。ファイアウォール導入は通信速度の低下を招くといわれますが、パケットフィルタリング型の場合には顕著な変化は見られないでしょう。また、簡素な仕組みであるため、あまりコストがかからないのも長所です。

デメリット：読み取る情報が少ないため安全性が低い

パケットフィルタリング型には安全性が低いという短所があります。通信のヘッダ情報しか確認しないため、中身の安全性は判断できません。そのため、ヘッダが偽装された情報は見破れないでしょう。

一方、アプリケーション型は内部の情報まで確認するため、より高い安全性を実現できます。セキュリティレベルではアプリケーション型に軍配が上がるでしょう。

ステートフルインスペクション＝パケットフィルタリング型の１種

パケットフィルタリング型は主に以下の３つに大別されます。

スタティックパケットフィルタリング（静的フィルタリング）: 通信のヘッダ情報があらかじめ設定したブラックリストに該当するか確認し、該当しないもののみ通過させる方式です。
ダイナミックパケットフィルタリング（動的フィルタリング）: LANからの通信情報をもとにWANからの戻りの通信を検査する方式です。
ステートフルインスペクション: 方式自体はダイナミックパケットフィルタリングと同じです。しかし、ダイナミックパケットフィルタリングが通信プロトコルのみを参照するのに対し、ステートフルパケットインスペクション型はアプリケーション層の情報までを参照する点で異なります。

ステートフルインスペクションの仕組みを知り活用しよう

ファイアウォールは自身を通過する情報を検査し、不正なやり取りを排除します。

ステートフルインスペクションはパケットフィルタリング型ファイアウォールの機能・方式の１種で、その中でもセキュリティレベルが高いのが特徴です。やり取りの前後関係から情報を検査することで、脈絡のない不正通信を排除します。

ただし、アプリケーション型ほど安全性は高くありません。ぜひ、自社のセキュリティ環境を見直す参考にしてください。

ファイアウォールの製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

ファイアウォールの資料請求ランキングで製品を比較！今週のランキング第1位は？

ファイアウォールの基本的な機能や仕組みとは？

ファイアウォールの役割とは？機能や種類、未導入リスクも解説！

ファイアウォールの選び方とは？他のセキュリティ製品との違いも解説！

ファイアウォールとウイルス対策ソフトの違いとは？

ファイアウォールとルータの違いは？どちらも導入すべき？

ファイアウォールのデメリットとは？防げない攻撃も解説！

ファイアウォールを減価償却する際に設定すべき耐用年数は？

OSI参照モデルとは｜ファイアウォールの種類をわかりやすく解説

ファイアウォールで解決できる課題と導入メリット

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「ステートフルインスペクションとは？ファイアウォールの仕組みを理解しよう！」というテーマについて解説しています。ファイアウォールの製品導入を検討をしている企業様は、ぜひ参考にしてください。

4月15日(月) 更新
	次世代ファイアウォールアプライアンスFortiGate キヤノンシステムアンドサポート株式会社
	次世代ファイアウォールFortiGate 株式会社ピーエスアイ
	【無料サイバー攻撃診断30日】クラウドファイアウォール(IPS+WAF)イージス株式会社ロケットワークス
一覧を見る