ステートフルインスペクションとは？ファイアウォールの仕組みを理解しよう！

ステートフルインスペクションは、パケットフィルタリング型ファイアウォールの機能・方式の１種です。しかし、どのような特徴があるのか、あるいは、そもそもファイアウォールにどのような分類があるのかよく分からず、困っていませんか。

この記事では、パケットフィルタリング型ファイアウォールやステートフルインスペクションの基本的な特徴や仕組みを解説します。ぜひ、自社のセキュリティ環境を見直す参考にしてください。

ファイアウォール人気ランキング | 今週のランキング第1位は？

ファイアウォールのステートフルインスペクションとは

ステートフルインスペクションとはパケットフィルタリング型ファイアウォールにおいて、通信内容の通過可否を動的に判断する機能です。ステートフルパケットフィルタリング、ステートフルパケットインスペクションなどとも呼ばれます。

ファイアウォールに到達するパケットの情報を読み取り、あらかじめ設定されたルールに基づいて通過させるかどうかを動的に判断することで、不正なやり取りを排除する仕組みです。

ステートフルフェールオーバーとの違い

ファイアウォールの主要機能として、ステートフルインスペクション／ステートフルフェールオーバーがあります。

「ステートフルインスペクション」は通信可否を動的に判断する機能であるのに対し、「ステートフルフェールオーバー」はシステム障害時に別のファイアウォールへ通信を引き継ぐ機能です。

ファイアウォールが保持する通信セッションの記録を保ったまま、自動で別のファイアウォールに切り替えることができます。これにより、万が一ファイアウォールに障害が発生しても通信を継続できます。

２台のファイアウォールをフェールオーバーケーブルで接続することで、上記の自動切り換え環境を構築できます。

■ステートフルインスペクション: 通信内容の通過可否を動的に判断する機能
■ステートフルフェールオーバー: システム障害時に別のファイアウォールへ通信を引き継ぐ機能

ステートフルインスペクションの仕組み

ステートフルインスペクションの仕組みについて詳しく見ていきましょう。

通信の前後関係を把握して許可する

LANからWAN（インターネット）に向けて送信したデータを記録し、WANから戻ってきたデータと照合します。そして、送信時の情報をもとに受信データに不正がないか判断し、正常と判断された場合のみ通信の通過を許可します。

この方式のメリットは、戻りのデータに関する設定が楽なことです。文脈をもとに可否を判断するため、そうでない方式（ステートレス）よりもあらかじめ設定するルールが少なく済みます。

登録された制御情報をもとに判断するため精度が高い

ステートフルインスペクションはデータの検査精度が高いのが特長です。通信プロトコル（通信するうえでの規約）だけでなく、アプリケーションの情報までを包括的に記録するため、精度の高い検査を実現できます。

また、通信の前後関係を把握して通過可否を決めるため、送信元偽装による不正な通信を排除できます。戻り以外のWAN側からのデータは基本的に受け付けません。

ファイアウォールの製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

資料請求した製品の比較表が無料で作成できます

＼ファイアウォールの製品を調べて比較／

製品をまとめて資料請求！資料請求フォームはこちら

資料請求した製品の比較表が無料で作成できます

＼ファイアウォールの製品を調べて比較／

製品をまとめて資料請求！資料請求フォームはこちら

資料請求した製品の比較表が無料で作成できます

パケットフィルタリング型ファイアウォールの特徴

ステートフルインスペクションはパケットフィルタリング型ファイアウォールの方式の１つです。では、そもそもパケットフィルタリング型ファイアウォールとはどのようなものなのでしょうか。

メリット：検査が簡易であるため通信が速い

パケットフィルタリング型は、自身を通過しようとするパケットのヘッダ（送信元や宛先など）の情報だけを検査して通過可否を判断する方式です。通信の中身まで精査するアプリケーション型ファイアウォールに比べると、検査が簡素だといえます。

そのため、通信速度が速いのが特長です。ファイアウォール導入は通信速度の低下を招くといわれますが、パケットフィルタリング型の場合には顕著な変化は見られないでしょう。また、簡素な仕組みであるため、あまりコストがかからないのも長所です。

デメリット：読み取る情報が少ないため安全性が低い

パケットフィルタリング型には安全性が低いという短所があります。通信のヘッダ情報しか確認しないため、中身の安全性は判断できません。そのため、ヘッダが偽装された情報は見破れないでしょう。

一方、アプリケーション型は内部の情報まで確認するため、より高い安全性を実現できます。セキュリティレベルではアプリケーション型に軍配が上がるでしょう。

ステートフルインスペクション＝パケットフィルタリング型の１種

パケットフィルタリング型は主に以下の３つに大別されます。

スタティックパケットフィルタリング（静的フィルタリング）: 通信のヘッダ情報があらかじめ設定したブラックリストに該当するか確認し、該当しないもののみ通過させる方式です。
ダイナミックパケットフィルタリング（動的フィルタリング）: LANからの通信情報をもとにWANからの戻りの通信を検査する方式です。
ステートフルインスペクション: 方式自体はダイナミックパケットフィルタリングと同じです。しかし、ダイナミックパケットフィルタリングが通信プロトコルのみを参照するのに対し、ステートフルパケットインスペクション型はアプリケーション層の情報までを参照する点で異なります。

ステートフルインスペクションの仕組みを知り活用しよう

ファイアウォールは自身を通過する情報を検査し、不正なやり取りを排除します。

ステートフルインスペクションはパケットフィルタリング型ファイアウォールの機能・方式の１種で、その中でもセキュリティレベルが高いのが特徴です。やり取りの前後関係から情報を検査することで、脈絡のない不正通信を排除します。

ただし、アプリケーション型ほど安全性は高くありません。ぜひ、自社のセキュリティ環境を見直す参考にしてください。

以下の記事ではファイアウォールのおすすめ製品や、選び方を解説しています。ぜひご覧ください。

2023.01.17

【2023年版】ファイアウォールおすすめ製品比較！失敗しないポイントも解説

続きを読む ≫

ファイアウォール人気ランキング | 今週のランキング第1位は？

ファイアウォール選び方ガイド

製品を選ぶときのポイントがわかる！

どんな企業が導入すべきかがわかる！

選び方ガイドのダウンロードはこちら

このカテゴリーに関連する記事

ファイアウォールの基本知識をわかりやすく解説！

【2023年版】ファイアウォールおすすめ製品比較！失敗しないポイントも解説

ファイアウォールとルータの違いは？どちらも導入すべき？

ファイアウォールとDMZ(非武装地帯)の関係を解説！

ファイアウォールのアウトバウンド通信・インバウンド通信とは？

ファイアウォールの種類とは？違いや特徴、メリットを解説！

ファイアウォールのホワイトリスト・ブラックリストについて解説！

ファイアウォールを減価償却する際に設定すべき耐用年数は？

ファイアウォールとウイルス対策ソフトの違いとは？

ファイアウォールポリシーとは？設定項目や策定のポイントを解説！

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「ステートフルインスペクションとは？ファイアウォールの仕組みを理解しよう！」というテーマについて解説しています。ファイアウォールの製品導入を検討をしている企業様は、ぜひ参考にしてください。

カテゴリー関連製品・サービス

資料請求で
比較表が作れる！

カテゴリー資料請求ランキング

1月30日(月) 更新
	【リプレイスでお困りの方】最新FortiGateシリーズ株式会社ピーエスアイ
	クラウド型UTMでスピーディな導入と簡単運用を実現！MRB-Cloud 株式会社アンペール
	次世代ファイアーウォール月額サービススタンダード JBCC株式会社
4位以下のランキングはこちら

新規会員登録