ファイアウォールの落とし穴

ファイアウォールのできないこと

ファイアウォールができないこと：その１「通信内容の判別」

【ウィルス・マルウェアが存在する通信を遮断】

あくまでファイアウォールでは通信が正常なものかどうか、管理者の設定したルールに基いて精査されるます。しかし、ファイルの内部にウィルスが含まれているかどうかまではチェックをすることができないのです。そのため、ウィルスなどの対策ソフトが必要です。

ではウィルス専用のセキュリティソフトがないとどうなるのでしょうか。

●ウィルス攻撃

• ・PCの誤動作
• ・PC上のファイルの崩壊
• ・その他のネットワーク上にウィルスを拡散

などが挙がります。自分の重要な情報だけではなく、その他大勢の人にも影響を与えてしまうのです。

●スパイウェア攻撃

• ・PC内情報を第三者に転送

ウィルス攻撃のように、他のPCに感染はしませんが、個人情報が流出してしまいます。

●マルウェア(悪意のあるソフトウェア)攻撃

• ・デスクトップ画面の共有
• ・パスワード情報の盗取
• ・プログラムのインストール

上記のような症状を、トロイの木馬やボットと呼びます。

それぞれの感染経路や被害状況も異なります。これらは一括してウィルス対策ソフトが必要となってきます。

ファイアウォールができないこと：その２「大量通信の遮断」

●Dos攻撃(Denial of Services attack)

• ・CPU(中央演算装置)やメモリを過剰な負荷をかけ、限界値を超えてWebサイトの閉鎖させる
• ・脆弱性のあるセキュリティを突いて、Webサイトの閉鎖させる
• ・膨大な通信をして、処理速度を遅くさせる

●Synフラッド攻撃(Syn flood attack)

• ・大量のSYNパケットを送られ、限界値を超えてWebサイトの閉鎖させる

ファイアウォールは、ユーザの定めたルールにのっとって、ネットワーク間の出入りをしているパケットを監査しているセキュリティシステムです。そのため、Dos攻撃やSynフラッド攻撃のように、送信元のIPアドレスが詐称された場合、攻撃を検知することができません。この場合のセキュリティシステムは、IPSやIDSになります。

セキュリティシステムIPS/IDSの働きは、アクセスしてきた内容の監査です。例えると、ファイアウォールでは外部ネットワークと内部ネットワークの関所のようなものですが、IPS/IDSは門番もしくは監視カメラのようなものになります。関所を通る手形・資格をもっていても、身元を詐称しているのかチェックし、侵入を防ぐことができるのです。

ファイアウォールができないこと：その３「Webサーバへの不正な通信の遮断」

●SQLインジェクション攻撃

• ・Webサイト上のアプリケーションの改ざん
• ・改ざんされたコンテンツの閲覧者がマルウェア感染(2次被害)

●クロスサイトスクリプティング攻撃

• ・閲覧者が意図せず悪意のあるテキストを実行され、個人情報の漏洩

Webアプリケーションの脆弱性を突いた攻撃がSQLインジェクション攻撃やクロスサイトスクリプティング攻撃です。この場合の対応セキュリティシステムはWAFになります。ちなみにこれらの攻撃は、セキュリティシステムIPS/IDSでも検知が難しいと言われています。

そんな時はWAFが必要です。WAFとは、通信を一度リバースプロキシ(サーバの代理として通信を中継するプロキシサーバ)を介し、中身をすべて解読し複数の検知セキュリティシステムにより、攻撃を防御するシステムになります。

セキュリティシステムの適材適所

ファイアウォールに関して、理解が深まりましたでしょうか。ファイアウォールではできない点を羅列しましたが、決して必要のないものではありません。ネットワークからの不正な通信を最初に守る砦になることは間違いありません。それぞれのセキュリティには適した防御範囲があります。ファイアウォールでは補えない箇所を補っていくことで、強固なセキュリティを築いていきましょう。