ステートフルインスペクションとは
ステートフルインスペクションとはパケットフィルタリング型ファイアウォールにおいて、通信内容の通過可否を動的に判断する機能です。ステートフルパケットフィルタリング、ステートフルパケットインスペクションなどとも呼ばれます。
ファイアウォールに到達するパケットの情報を読み取り、あらかじめ設定されたルールに基づいて通過させるかどうかを動的に判断することで、不正なやり取りを排除する仕組みです。
ステートフルフェールオーバーとの違い
ファイアウォールの主要機能として、ステートフルインスペクション/ステートフルフェールオーバーがあります。
「ステートフルインスペクション」は通信可否を動的に判断する機能であるのに対し、「ステートフルフェールオーバー」はシステム障害時に別のファイアウォールへ通信を引き継ぐ機能です。
ファイアウォールが保持する通信セッションの記録を保ったまま、自動で別のファイアウォールに切り替えることができます。これにより、万が一ファイアウォールに障害が発生しても通信を継続できます。
2台のファイアウォールをフェールオーバーケーブルで接続することで、上記の自動切り換え環境を構築できます。
- ■ステートフルインスペクション
- 通信内容の通過可否を動的に判断する機能
- ■ステートフルフェールオーバー
- システム障害時に別のファイアウォールへ通信を引き継ぐ機能
ステートフルインスペクションの仕組み
ステートフルインスペクションの仕組みについて詳しく見ていきましょう。
通信の前後関係を把握して許可する
LANからWAN(インターネット)に向けて送信したデータを記録し、WANから戻ってきたデータと照合します。そして、送信時の情報をもとに受信データに不正がないか判断し、正常と判断された場合のみ通信の通過を許可します。
この方式のメリットは、戻りのデータに関する設定が楽なことです。文脈をもとに可否を判断するため、そうでない方式(ステートレス)よりもあらかじめ設定するルールが少なく済みます。
登録された制御情報をもとに判断するため精度が高い
ステートフルインスペクションはデータの検査精度が高いのが特長です。通信プロトコル(通信するうえでの規約)だけでなく、アプリケーションの情報までを包括的に記録するため、精度の高い検査を実現できます。
また、通信の前後関係を把握して通過可否を決めるため、送信元偽装による不正な通信を排除できます。戻り以外のWAN側からのデータは基本的に受け付けません。
ファイアウォールの製品をお探しの方は以下のページから人気の製品に一括資料請求が可能です。
パケットフィルタリング型ファイアウォールの特徴
ステートフルインスペクションはパケットフィルタリング型ファイアウォールの方式の1つです。では、そもそもパケットフィルタリング型ファイアウォールとはどのようなものなのでしょうか。
メリット:検査が簡易であるため通信が速い
パケットフィルタリング型は、自身を通過しようとするパケットのヘッダ(送信元や宛先など)の情報だけを検査して通過可否を判断する方式です。通信の中身まで精査するアプリケーション型ファイアウォールに比べると、検査が簡素だといえます。
そのため、通信速度が速いのが特長です。ファイアウォール導入は通信速度の低下を招くといわれますが、パケットフィルタリング型の場合には顕著な変化は見られないでしょう。また、簡素な仕組みであるため、あまりコストがかからないのも長所です。
デメリット:読み取る情報が少ないため安全性が低い
パケットフィルタリング型には安全性が低いという短所があります。通信のヘッダ情報しか確認しないため、中身の安全性は判断できません。そのため、ヘッダが偽装された情報は見破れないでしょう。
一方、アプリケーション型は内部の情報まで確認するため、より高い安全性を実現できます。セキュリティレベルではアプリケーション型に軍配が上がるでしょう。
ステートフルインスペクション=パケットフィルタリング型の1種
パケットフィルタリング型は主に以下の3つに大別されます。
- スタティックパケットフィルタリング(静的フィルタリング)
- 通信のヘッダ情報があらかじめ設定したブラックリストに該当するか確認し、該当しないもののみ通過させる方式です。
- ダイナミックパケットフィルタリング(動的フィルタリング)
- LANからの通信情報をもとにWANからの戻りの通信を検査する方式です。
- ステートフルインスペクション
- 方式自体はダイナミックパケットフィルタリングと同じです。しかし、ダイナミックパケットフィルタリングが通信プロトコルのみを参照するのに対し、ステートフルパケットインスペクション型はアプリケーション層の情報までを参照する点で異なります。
以下の記事ではファイアウォールのおすすめ製品や、選び方、導入した企業のクチコミ評価をまとめて解説しています。ぜひご覧ください。
ステートフルインスペクションの仕組みを知り活用しよう
ファイアウォールは自身を通過する情報を検査し、不正なやり取りを排除します。
ステートフルインスペクションはパケットフィルタリング型ファイアウォールの機能・方式の1種で、その中でもセキュリティレベルが高いのが特徴です。やり取りの前後関係から情報を検査することで、脈絡のない不正通信を排除します。
ただし、アプリケーション型ほど安全性は高くありません。ぜひ、自社のセキュリティ環境を見直す参考にしてください。
