「ファイアウォールって何?」
「ファイアウォールにはどんな種類があるの?」
など疑問をお持ちの方はいませんか?
ファイアウォールとは、外部(インターネット)からの不正なアクセスや攻撃から内部(社内ネットワーク)を保護するための防護壁の役割をするソフトウェアや機器、システムのことです。
近年サイバー攻撃などで被害を受けてしまう企業も多く、ファイアウォールという言葉が広く知れ渡るようになってきました。
しかし、ファイアウォールをはじめ、セキュリティの知識が乏しいゆえに不正アクセス対策などが万全に行えていない企業も多いです。
この記事では、
- ファイアウォールとは
- ファイアウォールの3つの種類と機能
- 不正アクセス対策を行うためにはファイアウォールだけでは不十分
などを解説していきます。
不正アクセスによる被害を未然に防ぐためにも、本記事を一読してセキュリティの知識を深めていきましょう。
また、ファイアウォールをはじめ、セキュリティ対策の必要性を知るためには以下の資料をダウンロードして読んでみてください。
目次
ファイアウォールとは
ファイアウォールとは、外部(インターネット)からの不正なアクセスや攻撃から内部(社内ネットワーク)を保護するための防護壁の役割をするソフトウェアや機器、システムのことです。
つまり、企業などの社内ネットワーク(いわゆるLAN)とインターネット(いわゆるWAN)との境界に設置され、内外(社内ネットワークからインターネット)の通信を中継・監視しているということです。
またファイアウォールは、内部や外部から送受信されるパケット(メールやPDFや画像といったデータの塊のこと)の情報から、設定された情報に基づき接続を許可するかを判断しています。
ファイアウォールの仕組み
ファイアウォールについては先程説明しましたが、実際にどのような仕組みなのかは以下の図をご覧ください。
事前に決められたルールのもとで、許可された通信のみ通過でき、許可されていない通信はファイアウォールによってブロックしています。
このように、ファイアウォールの働きにより不正アクセスやサイバー攻撃を未然に防ぐことができます。
なぜファイアウォールが不正アクセス対策で必要とされるのか
近年、ファイアウォールの重要性がささやかれていますが、ここからはファイアウォールが不正アクセス対策で必要とされる理由を紹介します。
ファイアウォールが不正アクセス対策で必要とされる理由は、
- 不正アクセスやサイバー攻撃が頻繁に発生しているから
- 万が一不正アクセスやサイバー攻撃を受けた時の被害が大きいから
などが主な理由です。
度々ニュースでも取り上げられていますが、不正アクセスやサイバー攻撃は頻繁に発生していて、その被害規模を見てみると大手企業の場合は数億円の損失を招いているケースも少なくありません。
※引用:日経XTECH
ニュース記事からも分かるように、不正アクセスやサイバー攻撃は会社だけがダメージを受けるのではなく、顧客データが流出してしまった場合は被害者も相当な数出てくるでしょう。
さらに、不正アクセスやサイバー攻撃を受けることによって、事業再開まで期間を要するとともに、そこで働く従業員への影響も大きいでしょう。
このように、不正アクセス対策を怠ることで多方面において想像以上の損失が発生するので、ファイアウォールが不正アクセス対策で必要とされているのです。
しかしファイアウォールだけでは、不正アクセスやサイバー攻撃対策を万全に行えるわけではありません。
よって、ファイアウォールでは防御しきれない攻撃手口に対応できるセキュリティシステムを併用することが望ましいと言われています。
ファイアウォールと併用するべきセキュリティシステムについては、「4. 不正アクセス対策を行うためにはファイアウォールだけでは不十分!」で解説しています。
また、サイバー攻撃の種類や自社の脆弱性をチェックする方法などについては、以下の記事で詳しく解説しています。
\不正発覚した時に企業としてどう対応しますか?/ 
ファイアウォールの3つの種類と機能
ここからは、ファイアウォールの種類とそれぞれの機能について紹介します。
ファイアウォールの種類は3つあります。
- パケットフィルタリング型
- アプリケーションゲートウェイ型
- サーキットレベルゲートウェイ型
それぞれ詳しく解説していきます。
【種類1】パケットフィルタリング型
パケットフィルタリング型は、通信されるデータを「パケット」と呼ばれる小さな単位ごとに解析する方式です。
パケットフィルタリング型の機能については、以下の図をご覧ください。
パケットフィルタリング型は、柔軟な設定ができる反面、設定ミスによるセキュリティホールが生まれる可能性があります。
しかし、このパケットフィルタリング型がファイアウォールの種類の中でも一般的なセキュリティ対策法として知られています。
【種類2】アプリケーションゲートウェイ型
アプリケーションゲートウェイ型は、HTTPやFTPなどアプリケーションプロトコルごとに解析する方式です。
アプリケーションゲートウェイ型の機能については、以下の図をご覧ください。
前述で紹介したパケットフィルタリング型よりも詳細に通信を制御できるメリットはありますが、データの中身も解析するので処理に時間がかかる傾向があります。
データの中身までも解析するので、なりすまし型の不正アクセスに強いファイアウォールだと言われています。
【種類3】サーキットレベルゲートウェイ型
サーキットレベルゲートウェイ型は、パケットフィルタリング型の進化版でポート設定や制御もできます。
サーキットレベルゲートウェイ型の機能については、以下の図をご覧ください。
アプリケーションやシステムごとの設定が行えるので、特定のアプリケーションやシステムを制御したい場合、ファイアウォールの中でも最も有効的に効果を発揮します。
サーキットレベルゲートウェイ型は、このような機能を持っているので送信元IPアドレスの偽装を防ぐこともできます。
ファイアウォールを無効化しないといけないケースもある
不正アクセス対策として、ファイアウォールはずっと有効にしておくべきですが、無効化しないといけないケースもあるでしょう。
ファイアウォールを無効化しないといけないケースとは、ファイアウォールから拒絶してしまうソフトウェアをインストールする時です。
このような場合は、インストールする時だけ無効化にして、インストール完了後はすぐにファイアウォールを有効に戻しておくようにしましょう。
ファイアウォールを無効化することで起こりうるリスク3つ
ソフトウェアのインストールなどでファイアウォールを少しの間無効化にする分には特に問題ないでしょう。
しかし、有効に戻すのを忘れてファイアウォールを無効化のままでいると様々なリスクが高まります。
ファイアウォールを無効化することで起こりうるリスクは3つです。
- 不正アクセスの可能性が高まる
- サーバーを乗っ取られる恐れがある
- 情報が改ざんされる恐れがある
それぞれ詳しく解説していきます。
【リスク1】不正アクセスの可能性が高まる
ファイアウォールが無効化されていると、外部通信を脅威かどうか問わず内部コンピュータに送ってしまうので、不正アクセスを受ける確率が高まります。
不正アクセスを受けると、パソコン内部にある機密情報や個人情報が筒抜けになるので、相当な被害が予測されるでしょう。
不正アクセスやサイバー攻撃の脅威については、「1.2 なぜファイアウォールが不正アクセス対策で必要とされるのか」でも詳しく説明しています。
【リスク2】サーバーを乗っ取られる恐れがある
不正アクセスによってIDやパスワードなどを窃取されると、第三者によってサーバーを乗っ取られてしまう可能性が高いでしょう。
サーバーが乗っ取られることで不正な活動や詐欺に悪用されるだけでなく、カメラやマイクをオンにされたらリアルな社内の情報が漏れてしまうことになります。
【リスク3】情報が改ざんされる恐れがある
不正アクセスによって個人情報が窃取されると、情報の改ざんが容易となり様々な悪用が行われることでしょう。
例えば顧客のクレジットカード情報を窃取されることで、クレジットカードの不正利用が発生し、多大な補償や信用性の低下が考えられます。
不正アクセスによる情報改ざんは、自社への損失だけにはとどまらないので、やむを得ない理由がない限りファイアウォールを無効化するのはやめましょう。
不正アクセス対策を行うためにはファイアウォールだけでは不十分!
不正アクセス対策にはファイアウォールが必要だと言ってきましたが、実は万全な対策をするためにはファイアウォールだけでは不十分です。
なぜならば、ファイアウォールのみで全ての攻撃を防ぐことはできないからです。
上図からも分かるように、ファイアウォールは比較的簡易的な不正アクセス対策なので、「脆弱性をついた攻撃」や「DDoS攻撃」、「BOTによるパスワードの総当たりログイン」などを完全に防ぐことは難しいでしょう。
ファイアウォールよりも一段階上の対策として、
- IDS/IPS
- WAF
- O-MOTION
などがあります。
ファイアウォールはこれらと併用することで、不正アクセス対策をさらに強固なものにすることができるでしょう。
ファイアウォールはIDS/IPS・WAFと併用すべき
先程もファイアウォールは他のセキュリティシステムと併用すべきだとお伝えしましたが、その理由について詳しく説明していきます。
ネットワークでの通信機能を7階層に分けて定義した「OSI参照モデル」のうち、ファイアウォールで防ぐことができるのは、「データリンク層」「ネットワーク層」「トランスポート層」の3階層のみです。
つまり、ファイアウォールで防御できる第3層以上の階層まで防御しようとするならば、「IDS/IPS」「WAF」との併用が必要であるということです。
しかし、IDS/IPS・WAFと併用しても防ぎきれない可能性が高い「BOTによるパスワードの総当たりログイン」や「「パスワード盗用などなりすまし」などは、あらゆる不正アクセスを高精度に検知できる「O-MOTION」を導入することで解決できるでしょう。
「O-MOTION」については、「6. 不正アクセス対策を万全にするには「O-MOTION」がおすすめ」で詳しく紹介しています。
なお、不正アクセスやサイバー攻撃の脅威については、「1.2 なぜファイアウォールが不正アクセス対策で必要とされるのか」で詳しく解説しています。
IDS/IPS・WAFとの違い
さらに理解を深めるために、ファイアウォールとIDS/IPS・WAFの違いについて説明します。
詳しくは以下の表にまとめたのでご覧ください。
| セキュリティシステム | それぞれの特徴 |
|---|---|
| ファイアウォール | ファイアウォールは、外部(インターネット)からの不正なアクセスや攻撃から内部(社内ネットワーク)を保護するための防護壁の役割をするソフトウェアや機器、システム |
| IDS/IPS | IDS(=不正侵入検知システム)・IPS(=不正システム防止システム)は、ファイアウォールと同様にネットワーク上の通信を監視して通信の可否を判断するセキュリティシステムですが、OS/Webサーバーの脆弱性を突いた攻撃を防ぐことに特化しているセキュリティシステム |
| WAF | WAFは、Webアプリケーションの脆弱性を突いた攻撃からの防御に特化していて、「SQLインジェクション」「クロスサイトスクリプティング」「OSコマンドインジェクション」などのファイアウォールでは検知することのできない攻撃手法を防ぐことができるシステム ▼SQLインジェクション Webアプリケーションの脆弱性を利用して断片的なSQL文をアプリケーションに不正に注入し実行させる攻撃手法 ▼クロスサイトスクリプティング 攻撃者が送り込んだ悪意あるコードをそのページを閲覧したユーザーに、スクリプト(簡易的なプログラム)として実行させる可能性があること ▼OSコマンドインジェクション データ入力が必要なWebサイトで、入力時にシェル機能を操作する文字列を混入させることで、攻撃先サイトのOSを不正に操作すること ※いずれもWebサイトの脆弱性を利用した攻撃手法 |
このように、IDS/IPS・WAFはファイアウォールでは防御できない攻撃に特化したシステムです。
日々考え抜かれた巧妙な不正を仕掛けてくる不正者が後を絶たない中、ファイアウォールのみの簡易的な不正アクセス対策だけでは自社も顧客も守れないということです。
不正アクセス対策を万全にするには「O-MOTION」がおすすめ
不正アクセス対策を万全にするためには、ぜひ不正アクセス検知システム「O-MOTION」を検討してみましょう。
O-MOTIONは、当サイトを運営するかっこ株式会社が開発・提供している不正アクセス検知システムです。
先程も見ていただいたように、「機械による総当たりログイン」「パスワード盗用などなりすまし」など、ファイアウォールやIDS/IPS・WAFで防御できない攻撃もO-MOTIONなら瞬時に検知して防ぐことができます。
※参考:かっこ株式会社|O-MOTION
O-MOTIONは独自の端末特定技術と操作情報を活用した審査で、高精度に不正ログインをリアルタイム検知しています。
また、検知した不正ログインにのみ2要素認証を実施することも可能で、正常なユーザの使い勝手を損なうことなく不正ログイン対策を行えます。
※参考:かっこ株式会社|O-MOTION
O-MOTIONについて、もっと詳しく知りたい企業様は以下をクリックしてお問合せください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
まとめ
ファイアウォールは、外部(インターネット)からの不正なアクセスや攻撃から内部(社内ネットワーク)を保護するための防護壁の役割をするソフトウェアや機器、システムです。
ファイアウォールにもそれぞれ種類があり、
- ケットフィルタリング型
- アプリケーションゲートウェイ型
- サーキットレベルゲートウェイ型
などがあります。
しかし、「ファイアウォールを有効にしているから、もう不正アクセス対策はばっちり!」と安心してはいけません。
ファイアウォールだけでは防ぐことができない不正アクセスの攻撃手法がいくつもあるので、より多くの不正アクセスを防御するためにはIDS/IPS・WAFを併用するべきです。
また、ファイアウォールやIDS/IPS・WAFをも突破するような不正アクセス手口もあるので、その全てを防御するためには不正アクセス検知システム「O-MOTION」の導入を検討するのがおすすめです。
「O-MOTION」は、ファイアウォールやIDS/IPS・WAFでも防ぐことが難しいとされている、
- 機械による総当たりログイン
- パスワード盗用などなりすまし
なども防ぐことができます。
不正アクセスやサイバー攻撃から自社や大事な顧客を守るためにも、セキュリティシステムを強固なものにしておくようにしましょう。
