ファイアウォールが防げないことを正しく知ろう

ファイアウォールの機能

まずファイアウォールがどういった仕組みと機能を備えているかを説明します。ファイアウォールは、外部のインターネットと社内ネットワークの間で出入りするデータを、事前に決めたルール（ポリシー）をもとに交通整理します。

ファイアウォールで許可されたデータ（パケット）は社内ネットワークへ入ることができますが、許可されていないパケットはそこで破棄、または不正データとして通知される仕組みになっています。社内ネットワークに悪影響を及ぼすデータを入り口で監視し、安全を確保する仕組みです。 これだけを聞くと、ファイアウォールを導入すれば外部の全ての脅威から社内ネットワークを守れるような気がしますが残念ながらそうではありません。

ファイアウォールが防ぎきれない脅威とは

１．ポリシーの設定と弱点を狙った攻撃

ファイアウォールの大まかな種類には、パケットフィルタリングとアプリケーション・ゲートウェイがあげられます。この2つのファイアウォールのそれぞれの弱点が狙われた場合、社外からの不正アクセスを防御することができません。

・パケットフィルタリング

パケットヘッダー（プロコトル、送信元、送信先アドレス、ポート番号などの情報）を参照して社内ネットワークへ通過させるかを判断する。

パケットフィルタリング型ファイアウォールでは、ヘッダー情報のみでアクセス許可・拒否を判断します。そのためヘッダー情報さえアクセス許可の定義（ポリシー）をクリアすれば、中に不正データが入っていようが社内ネットワークへ侵入することが可能です。

・アプリケーション・ゲートウェイ

通信を中継するプロキシサーバーがアプリケーションレベルでフィルタリングを行い、代理で外部ネットワークと通信して必要な情報だけを受け取り社内ネットワークへ接続させる。

アプリケーション・ゲートウェイでは、パケット情報に加えアプリケーションレベルで判断するためより細かいアクセス制御が可能です。しかし、アプリケーション・ゲートウェイ自体の脆弱性（バグ、欠点）を狙った攻撃の場合、不正アクセスを防ぐことはできません。

２．非武装地帯の存在

外部ネットワーク、ファイアウォール、公開用ウェブサイトのサーバの間（セグメント）を「DMZ(DeMilitarized Zone：非武装地帯)」といいます。ウェブサイトを外部へ公開する以上このセグメントでは、外部からのアクセスを許可せざるを得ません。

なぜなら、一般のユーザーがアクセスするために支障をきたさないレベルでしかポリシーの設定ができず、高い安全性を保つことはできないためです。

そして、このDMZと社内ネットワークはファイアウォールを介して隣り合わせにあり、DMZがなんらかのウィルスに侵された場合は社内ネットワークもその脅威にさらされてしまうのです。

ファイアウォールを使ってリスクを最小限にするためには

変化を遂げるネットビジネスにより、ファイアウォールが機能しなくなる理由があります。例えば、ECサイトがいい例です。専門知識がなくてもWebサイトのコンテンツを編集することができるCMS（Content Management System）によって構築され、このCMSに顧客データベースや在庫管理システムなどを連携させます。

複数のプログラムやデータベースが連携することで、もともとついているサポートは受けられないため、ウェブサイトの脆弱性が生まれます。その結果、Webアプリケーションの脆弱性を狙われるようになりました。これはファイアウォールでは防ぐことができないケースです。

ファイアウォールは、全ての不正アクセスを判断できるものではありません。ファイアウォールの落とし穴を狙ったサイバー攻撃がITの進化と同じレベルで進化していることも1つの要因です。ファイアウォールを使ってリスクを最小限に回避するためには、ポリシーの設定の見直しや、ファイアウォールを補完するソフト（アンチウィルスシステム、コンテンツフィルタ、侵入検知・防御システム）の導入を検討してみてください。