ファイアウォールのデメリットとは？防げない攻撃も解説

ファイアウォールとは

社内のネット環境を保護する製品の一つがファイアウォールです。まずはその意味や機能について確認した後、デメリットについて確認していきましょう。

外部からの不正アクセスを防ぐもの

ファイアウォールは日本語で防火壁と訳されますが、その名の通り外部からの不正アクセスを防御するものです。具体的には外部と社内ネットワークの間に設置され、許可した通信のみアクセスを許可します。

ファイアウォールの仕組みと機能

ファイアウォールの仕組みは、許可されたデータ（パケット）を社内ネットワークへ入れ、許可されていないパケットを破棄、または不正データとして通知するというものです。

つまり社内ネットワークに悪影響を及ぼすデータを入り口で監視し、安全を確保する仕組みです。これだけを聞くと、ファイアウォールを導入すれば外部の全ての脅威から社内ネットワークを守れるような印象がありますが、そうではありません。

ファイアウォールのデメリットとは

不正アクセスを防ぎ社内のネットワーク環境を安全に保つファイアウォールですがもちろんデメリットもあります。ここからはファイアウォール製品のデメリットについて解説していきます。

ポリシーの設定と弱点を狙った攻撃が防げない

ファイアウォールの大まかな種類には、パケットフィルタリング型とアプリケーション・ゲートウェイ型があります。この2つのファイアウォールにはそれぞれの弱点があり、その弱点を狙う攻撃からは防御することができません。

まずパケットフィルタリング型はパケットヘッダー（プロコトル、送信元、送信先アドレス、ポート番号などの情報）を参照して社内ネットワークへ通過させるかを判断します。

つまりパケットフィルタリング型では、ヘッダー情報のみでアクセス許可・拒否を判断します。そのためヘッダー情報さえアクセス許可の定義（ポリシー）をクリアすれば、中に不正データが入っていようが社内ネットワークへ侵入することが可能です。

一方でアプリケーション・ゲートウェイ型は通信を中継するプロキシサーバーがアプリケーションレベルでフィルタリングを行い、代理で外部ネットワークと通信して必要な情報だけを受け取り社内ネットワークへ接続させます。

またアプリケーション・ゲートウェイ型は、パケット情報に加えアプリケーションレベルで判断するためより細かいアクセス制御ができます。しかし、アプリケーション・ゲートウェイ型自体の脆弱性（バグ、欠点）を狙った攻撃の場合、不正アクセスを防ぐことはできません。

ウェブサイトの脆弱性を狙った攻撃は防げない

またビジネスの形態によっては、ファイアウォールが機能しなくなる場合があります。例えば、ECサイトがいい例でしょう。ECサイトは、専門知識なしでWebサイトコンテンツの編集を可能にするCMS（Content Management System）によって構築されています。そしてこのCMSには顧客データベースや在庫管理システムなどを連携させているケースがほとんどです。

このように複数のプログラムやデータベースが連携すると、もともとCMSについているサポートは受けられないため、ウェブサイトの脆弱性が生まれる原因となります。その結果、Webアプリケーションの脆弱性を狙うような攻撃も多発しています。これらの攻撃はファイアウォールでは防ぐことができない良い例と言えるでしょう。

非武装地帯からのウイルス感染を防げない

外部ネットワーク、ファイアウォール、公開用ウェブサイトのサーバの間（セグメント）を「DMZ(DeMilitarized Zone：非武装地帯)」といいます。このウェブサイトを外部へ公開する以上このセグメントでは、外部からのアクセスを許可せざるを得ません。なぜなら、一般のユーザーがアクセスするために支障をきたさないレベルでしかポリシーの設定ができず、高い安全性を保つことはできないためです。

しかし、このDMZと社内ネットワークはファイアウォールを介して隣り合わせにあり、DMZがなんらかのウィルスに侵された場合は社内ネットワークもその脅威にさらされてしまうことがあります。仮にDMZが攻撃を受けた場合はファイアウォールで防ぐことは難しいでしょう。

ファイアウォールを使ってリスクを最小限にするためには

これまで確認したようにファイアウォールは、全ての不正アクセスを判断できるものではありません。これはファイアウォールの落とし穴を狙ったサイバー攻撃がITの進化と同じレベルで進化していることを意味しています。なのでファイアウォールを使ってリスクを最小限に回避するためには、ポリシーの設定の見直しや、ファイアウォールを補完するソフト（アンチウィルスシステム、コンテンツフィルタ、侵入検知・防御システム）の導入も検討するとよいでしょう。