ファイアウォールとは
ファイアウォールとは、外部からの不正アクセスや不正通信を遮断し、社内ネットワークを保護するセキュリティ対策の基本的な仕組みです。インターネットと社内ネットワークの間に設置され、通信の送信元やポート番号などの情報をもとに、許可された通信のみを通過させます。
これにより不正侵入のリスクを低減できる点がメリットです。一方で、通信内容の中身までは完全に検知できず、Webアプリの脆弱性を狙った攻撃やマルウェア感染には対応しきれない場合があります。そのため、WAFやIPSなどと併用することが重要です。
ファイアウォールのメリットとは
不正アクセスを防ぎ社内ネットワークの安全性を高めるファイアウォールには、多くのメリットがあります。ここからはファイアウォール製品の主なメリットについて解説していきます。
外部からの不正アクセスを遮断できる
ファイアウォールは外部ネットワークと社内ネットワークの間に設置され、通信の送信元やポート番号などの情報をもとにアクセスの可否を判断します。これにより、許可されていない通信や不正アクセスを遮断し、社内ネットワークへの侵入リスクを低減できます。
通信ルール(ポリシー)に基づいた制御が可能
ファイアウォールでは、あらかじめ設定したポリシーに基づいて通信の許可・拒否を制御できます。特定のIPアドレスやポート番号、プロトコルごとに細かくルールを設定できるため、企業のセキュリティポリシーに応じた柔軟な運用が可能です。
ネットワーク全体の安全性を向上できる
ファイアウォールはネットワークの入口で通信を監視・制御するため、社内全体のセキュリティレベルを底上げする役割を担います。個別の端末ごとに対策を行うのではなく、ネットワーク単位で一括管理できる点も大きなメリットです。
比較的導入しやすく基本対策として有効
ファイアウォールは多くの企業で導入されている基本的なセキュリティ対策であり、専用機器やクラウドサービスとして提供されています。比較的導入しやすく、初期のセキュリティ対策として有効である点もメリットといえるでしょう。
ファイアウォールのデメリットとは
不正アクセスを防ぎ社内のネットワーク環境を安全に保つファイアウォールですがもちろんデメリットもあります。ここからはファイアウォール製品のデメリットについて解説していきます。
ポリシーの設定と弱点を狙った攻撃が防げない
ファイアウォールの大まかな種類には、パケットフィルタリング型とアプリケーション・ゲートウェイ型があります。この2つのファイアウォールにはそれぞれの弱点があり、その弱点を狙う攻撃からは防御することができません。
まずパケットフィルタリング型はパケットヘッダー(プロコトル、送信元、送信先アドレス、ポート番号などの情報)を参照して社内ネットワークへ通過させるかを判断します。
つまりパケットフィルタリング型では、ヘッダー情報のみでアクセス許可・拒否を判断します。そのためヘッダー情報さえアクセス許可の定義(ポリシー)をクリアすれば、中に不正データが入っていようが社内ネットワークへ侵入することが可能です。
一方でアプリケーション・ゲートウェイ型は通信を中継するプロキシサーバーがアプリケーションレベルでフィルタリングを行い、代理で外部ネットワークと通信して必要な情報だけを受け取り社内ネットワークへ接続させます。
またアプリケーション・ゲートウェイ型は、パケット情報に加えアプリケーションレベルで判断するためより細かいアクセス制御ができます。しかし、アプリケーション・ゲートウェイ型自体の脆弱性(バグ、欠点)を狙った攻撃の場合、不正アクセスを防ぐことはできません。
ウェブサイトの脆弱性を狙った攻撃は防げない
またビジネスの形態によっては、ファイアウォールが機能しなくなる場合があります。例えば、ECサイトがいい例でしょう。ECサイトは、専門知識なしでWebサイトコンテンツの編集を可能にするCMS(Content Management System)によって構築されています。そしてこのCMSには顧客データベースや在庫管理システムなどを連携させているケースがほとんどです。
このように複数のプログラムやデータベースが連携すると、もともとCMSについているサポートは受けられないため、ウェブサイトの脆弱性が生まれる原因となります。その結果、Webアプリケーションの脆弱性を狙うような攻撃も多発しています。これらの攻撃はファイアウォールでは防ぐことができない良い例と言えるでしょう。
非武装地帯からのウイルス感染を防げない
外部ネットワーク、ファイアウォール、公開用ウェブサイトのサーバの間(セグメント)を「DMZ(DeMilitarized Zone:非武装地帯)」といいます。このウェブサイトを外部へ公開する以上このセグメントでは、外部からのアクセスを許可せざるを得ません。なぜなら、一般のユーザーがアクセスするために支障をきたさないレベルでしかポリシーの設定ができず、高い安全性を保つことはできないためです。
しかし、このDMZと社内ネットワークはファイアウォールを介して隣り合わせにあり、DMZがなんらかのウィルスに侵された場合は社内ネットワークもその脅威にさらされてしまうことがあります。仮にDMZが攻撃を受けた場合はファイアウォールで防ぐことは難しいでしょう。
まとめ
これまで確認したようにファイアウォールは、全ての不正アクセスを判断できるものではありません。これはファイアウォールの落とし穴を狙ったサイバー攻撃がITの進化と同じレベルで進化していることを意味しています。なのでファイアウォールを使ってリスクを最小限に回避するためには、ポリシーの設定の見直しや、ファイアウォールを補完するソフト(アンチウィルスシステム、コンテンツフィルタ、侵入検知・防御システム)の導入も検討するとよいでしょう。
