ファイアウォールとは
社内のネット環境を保護する製品の一つがファイアウォールです。まずはその意味や機能について確認した後、デメリットについて確認していきましょう。
外部からの不正アクセスを防ぐもの
ファイアウォールは日本語で防火壁と訳されますが、その名の通り外部からの不正アクセスを防御するものです。具体的には外部と社内ネットワークの間に設置され、許可した通信のみアクセスを許可します。
ファイアウォールの仕組みと機能
ファイアウォールの仕組みは、許可されたデータ(パケット)を社内ネットワークへ入れ、許可されていないパケットを破棄、または不正データとして通知するというものです。
つまり社内ネットワークに悪影響を及ぼすデータを入り口で監視し、安全を確保する仕組みです。これだけを聞くと、ファイアウォールを導入すれば外部の全ての脅威から社内ネットワークを守れるような印象がありますが、そうではありません。
ファイアウォールのデメリットとは
不正アクセスを防ぎ社内のネットワーク環境を安全に保つファイアウォールですがもちろんデメリットもあります。ここからはファイアウォール製品のデメリットについて解説していきます。
ポリシーの設定と弱点を狙った攻撃が防げない
ファイアウォールの大まかな種類には、パケットフィルタリング型とアプリケーション・ゲートウェイ型があります。この2つのファイアウォールにはそれぞれの弱点があり、その弱点を狙う攻撃からは防御することができません。
まずパケットフィルタリング型はパケットヘッダー(プロコトル、送信元、送信先アドレス、ポート番号などの情報)を参照して社内ネットワークへ通過させるかを判断します。
つまりパケットフィルタリング型では、ヘッダー情報のみでアクセス許可・拒否を判断します。そのためヘッダー情報さえアクセス許可の定義(ポリシー)をクリアすれば、中に不正データが入っていようが社内ネットワークへ侵入することが可能です。
一方でアプリケーション・ゲートウェイ型は通信を中継するプロキシサーバーがアプリケーションレベルでフィルタリングを行い、代理で外部ネットワークと通信して必要な情報だけを受け取り社内ネットワークへ接続させます。
またアプリケーション・ゲートウェイ型は、パケット情報に加えアプリケーションレベルで判断するためより細かいアクセス制御ができます。しかし、アプリケーション・ゲートウェイ型自体の脆弱性(バグ、欠点)を狙った攻撃の場合、不正アクセスを防ぐことはできません。
ウェブサイトの脆弱性を狙った攻撃は防げない
またビジネスの形態によっては、ファイアウォールが機能しなくなる場合があります。例えば、ECサイトがいい例でしょう。ECサイトは、専門知識なしでWebサイトコンテンツの編集を可能にするCMS(Content Management System)によって構築されています。そしてこのCMSには顧客データベースや在庫管理システムなどを連携させているケースがほとんどです。
このように複数のプログラムやデータベースが連携すると、もともとCMSについているサポートは受けられないため、ウェブサイトの脆弱性が生まれる原因となります。その結果、Webアプリケーションの脆弱性を狙うような攻撃も多発しています。これらの攻撃はファイアウォールでは防ぐことができない良い例と言えるでしょう。
非武装地帯からのウイルス感染を防げない
外部ネットワーク、ファイアウォール、公開用ウェブサイトのサーバの間(セグメント)を「DMZ(DeMilitarized Zone:非武装地帯)」といいます。このウェブサイトを外部へ公開する以上このセグメントでは、外部からのアクセスを許可せざるを得ません。なぜなら、一般のユーザーがアクセスするために支障をきたさないレベルでしかポリシーの設定ができず、高い安全性を保つことはできないためです。
しかし、このDMZと社内ネットワークはファイアウォールを介して隣り合わせにあり、DMZがなんらかのウィルスに侵された場合は社内ネットワークもその脅威にさらされてしまうことがあります。仮にDMZが攻撃を受けた場合はファイアウォールで防ぐことは難しいでしょう。
ファイアウォールを使ってリスクを最小限にするためには
これまで確認したようにファイアウォールは、全ての不正アクセスを判断できるものではありません。これはファイアウォールの落とし穴を狙ったサイバー攻撃がITの進化と同じレベルで進化していることを意味しています。なのでファイアウォールを使ってリスクを最小限に回避するためには、ポリシーの設定の見直しや、ファイアウォールを補完するソフト(アンチウィルスシステム、コンテンツフィルタ、侵入検知・防御システム)の導入も検討するとよいでしょう。
