1.そもそもファイアウォールとは？

ファイアウォールとは、端的に説明すると「インターネットを介して外部から侵入してくる不正なアクセスをブロックするためのシステム」です。英語で表記すると「Firewall」となり、直訳すると「防火壁」という意味になります。インターネットの普及にともない、多種多様な情報をスピーディに収集・発信できるようになって、多くの利便性が生まれました。反面、インターネットに接続するという環境は外部からの侵入を許すことにもつながり、情報の漏洩や改ざんなどといったサイバー攻撃を受ける危険性も高まりました。その結果、コンピューターを不正なアクセスから守るためのセキュリティシステムの構築が必要となり、ファイアウォールが開発されたのです。

ファイアウォールの具体的な機能は、外部ネットワークからのアクセスを常時監視して、不正な操作が行われないかチェックすることです。送信されてくる情報を分析し、コンピューターへのアクセスを許可するかどうか判断したのち、不正なアクセスだと判断した場合はブロックします。同時に、不正なアクセスがあったことを、コンピューターの管理者に通報します。また、ファイアウォールはより高度なセキュリティシステムを保持するため、複数の付加機能を備えているのも特徴です。ファイアウォールを使うことにより、さまざまなタイプのネットワークに適したセキュリティシステムを構築することが可能です。

インターネットに接続したコンピューターは常にサイバー攻撃のリスクにさらされることになるので、ファイアウォールの設定は必要不可欠だといえるでしょう。

2.ファイアウォールがない場合のリスク

ソフトウェアのなかには、外部のネットワークと通信することで機能を発揮するものがあります。こういったタイプのソフトウェアは、常にポートを開いた状態でインターネット経由の通信を行うという性質を持ちます。ここで問題となるのが、もしソフトウェアにセキュリティ上の欠陥となる脆弱性があった場合、サイバー攻撃を受ける可能性があるという点です。たとえば、脆弱性のあるソフトウェアが使用するポートを介して不正なアクセスを受けることで、ソフトウェアが意図しない動作を起こす場合があります。具体的な被害としては、コンピューター内に保存されている情報の漏洩・改ざん、マルウェアの感染、コンピューターの遠隔操作などが挙げられます。

ファイアウォールが設定されていないコンピューターでは、脆弱性を持つソフトウェアのポートを利用したサイバー攻撃を防ぐことは困難です。被害を抑えるためには、ファイアウォールを導入してポートへの不正なアクセスを常時チェックする必要があります。

3.ポートとは何か？設定が必要な理由

ポートがどんなものなのかよくわからないという人は、番号が割り振られたドアを思い浮かべてみるといいでしょう。通信を行う時に特定の番号のドアを開けることで、インターネットへ接続されるというようなイメージです。ポートは、コンピューターやサーバーごとに0～6万5535番まで存在し、そのうち4万9152番以降のポートは、管理者が自由に使用できるのが特徴です。ソフトウェアの起動にともなう通信を行う場合も、4万9152番以降のなかからソフトウェアごとに特定の番号のポートを開き、情報をやり取りします。

ポートは通信の出入り口なので、開いたままの状態では、悪意のあるアクセスの侵入も許してしまいます。ですから、安全性を高めるためにはファイアウォールの設定を調整し、使用していないポートを制御しなければいけません。そうすることで、サイバー攻撃をはじめとした不正なアクセスを遮断することができます。ただし、ファイアウォールの設定によっては、使いたいソフトウェアの通信がブロックされてしまうことがあります。その場合は、該当するソフトウェアの通信を許可するよう、ファイアウォールの設定を変更しましょう。

4.ファイアウォールは内部の不正も防御できる

一般的なファイアウォールは、通信の内容自体を監視しているわけではありません。ファイアウォールが通信を許可するかブロックするかの判断は、通信の発信元と宛先をチェックすることで決定されます。そして、この仕組みを利用すれば、外部からの不正なアクセスだけでなく、内部から外部へのアクセスについても監視することが可能です。たとえば、コンピューターがウイルスに感染すると、システム自体が変質・改ざんされてしまうことがあります。その結果、自分のコンピューターからウイルスを添付したメールが勝手に配信され、ウイルスの感染を拡大させてしまうというようなこともありえるでしょう。こうしたケースでもファイアウォールが正しく機能していれば、コンピューター内部で起こった不審な動作を検知し、ポートを制御して外部へのアクセスを遮断できます。

また、ファイアウォールは意図的な外部への情報発信を防ぐことも可能です。仮に、一般の企業の社員が社内の機密情報を、外部へと不正に送信しようとしていたとしましょう。情報流出を防ぐため、ファイアウォールによって社員のコンピューターが外部のネットワークにアクセスすることをあらかじめ制御しておけば、このような内部犯行を食い止めることができます。ファイアウォールを導入しても、外部からの不正アクセスばかりに気を取られ、内部からの通信の監視をおろそかにしていては、セキュリティは万全とはいえません。ファイアウォールを設定する時は、外部からの通信だけでなく、内部からの通信に対してもチェックできるようにしておきましょう。

5.ファイアウォールのさまざまな種類

ファイアウォールには、「パケットフィルタリング型」「アプリケーションゲートウェイ型」「サーキットゲートウェイ型」などの種類があります。パケットフィルタリング型はファイアウォールの主流といえるタイプであり、アプリケーションゲートウェイ型は新しいタイプのファイアウォールです。そして、サーキットゲートウェイ型は、パケットフィルタリング型に一部の機能が追加されたタイプを指します。それぞれのファイアウォールの使い方や防御方法には特徴があり、導入する環境に合致したタイプを適切に選択することで、高度なセキュリティレベルを実現することが可能です。

5-1.ファイアウォールの種類1：パケットフィルタリング型

パケットフィルタリング型は、複数の種類があるファイアウォールのなかで基本的なタイプであり、多くのコンピューターに標準装備されています。設定したサービスやソフトウェアのIPアドレスからの通信を許可し、未登録のIPアドレスからのアクセスは遮断します。パケットと呼ばれる情報の集合体をチェックし、通信を許可するかブロックするかを判断するのが特徴です。インターネットを使った通信では、情報の全容量をまとめて送受信するのではなく、一定のサイズに分割してから送受信する方式が一般的となっています。この極小のサイズに切り分けられた情報がパケットです。

すべてのパケットには送信元のIPアドレスやポート、さらに送信先のIPアドレスやポートなど、通信に関する情報が付随しています。この部分の情報はヘッダと呼ばれ、パケットフィルタリング型のファイアウォールはヘッダをチェックすることで、通信を許可するか否かを判断します。システム自体は単純であり、高速処理できるのが大きなメリットです。ただし、パケットの中身については一切チェックしないので、サイバー攻撃の内容によっては対応できない場合もあります。加えて、高いセキュリティレベルを維持するために、ファイアウォールの設定が複雑になりやすいという点もデメリットだといえるでしょう。

ちなみに、フィルタリングという言葉は、パケットの通信を許可するかブロックするかの判断を行う工程を指します。「スタティックパケットフィルタリング（静的フィルタリング）」「ダイナミックパケットフィルタリング（動的フィルタリング）」「ステートフルパケットフィルタリング（SPI）」などといった方式があります。

5-2.ファイアウォールの種類2：アプリケーションゲートウェイ型

アプリケーションゲートウェイ型は新しいタイプのファイアウォールで、パケットフィルタリング型よりも精密なアクセスチェックが可能です。パケットではなく、それぞれのアプリケーションを制御することで、不正なアクセスをブロックします。具体的には、コンピューターの内部ネットワークと外部が通信する際に、プロキシサーバーとほぼ同じ役割を果たすプロキシプログラムが一時的な中継点となって、アクセスが実行されるという仕組みです。その性質上、アプリケーションゲートウェイ型はプロキシ型と呼ばれることもあります。

仮に、管理者が「Aという外部サイトを閲覧したい」と考え、コンピューターを操作したとしましょう。その操作によって発生した要求は、コンピューターの内部からプロキシプログラムへと送られます。そして、要求を受けたプロキシプログラムは、目的の外部サイトAにアクセスし、情報を受信します。その後、外部サイトAの情報を取得したプロキシプログラムから、コンピューター内部へと情報が送られてくるというわけです。これが、アプリケーションゲートウェイ型のシステムの一般的な流れです。

つまり、アプリケーションゲートウェイ型のファイアウォールが導入されたコンピューターでは、内部の機器と外部のサーバーなどのあいだで、直接的な通信は行われないということになります。たとえ外部から悪意のあるアクセスを受けたとしても、プロキシプログラムがあいだに入ってコンピューターの内部を守るので、高い安全性が保たれます。また、問題のある外部ネットワークにアクセスできないよう設定することも可能です。加えて、アプリケーションゲートウェイ型のファイアウォールは、送受信される情報の中身まで監視できるのが特徴です。ただ、詳細なチェックによって「なりすまし型」の不正アクセスにも効果を発揮する反面、処理速度が遅くなってしまう場合があるといわれています。

5-3.ファイアウォールの種類3：サーキットレベルゲートウェイ型

サーキットレベルゲートウェイ型は、従来のパケットフィルタリング型にポートの指定・制御機能を付加したファイアウォールです。トランスポート層（TCP／UDP）のセッション単位で、任意のポートの通信を制御できます。使用するアプリケーションごとに設定を変更できるので、指定したソフトウェアやシステムの通信のみを制御することも可能です。

6.ファイアウォール設定のポイントを押さえて活用しよう

より安全な環境でインターネットを利用したい場合、ファイアウォールの許可設定をソフトウェアごとに変更するのがポイントです。信頼できないソフトウェアは、動作できないように設定しておきましょう。また、正常なアクセスに見せかけた「なりすまし型」の不正アクセスへの対策も重要です。なりすまし型に効果があるアプリケーションゲートウェイ型と、通常のパケットフィルタリング型のファイアウォールを組み合わせて使用するといいでしょう。

特定のシステムやソフトウェアを重点的に利用するような環境であれば、サーキットレベルゲートウェイ型のファイアウォールが有効です。ポート番号別に制御したり、セキュリティレベルを調節したりすることで、安全性を高めることができます。

7.ファイアウォールのリスク対策を怠らない！

サイバー攻撃の手口はどんどん巧妙になり、マルウェアの種類も増え続けています。ですから、ファイアウォールは一度設定すれば終わりというものではありません。インターネット上にどんなリスクが潜んでいるか常にアンテナを張り巡らせ、その都度ファイアウォールの設定を更新するように心がけましょう。また、安全だと思われていたソフトウェアに、あとから脆弱性が見つかるというケースもあります。そのため、許可設定したソフトウェアはこまめにバージョンアップを試み、常に最新の状態を保ちましょう。もしも、自分の知識だけでは不安だという場合は、専門家のサポートを受けることがおすすめです。

8.ファイアウォールの基本を押さえて企業のセキュリティを強化！

ファイアウォールは個人のコンピューターはもちろんのこと、企業のネットワークのセキュリティ強化に欠かせないものです。特に、企業のネットワークは悪意のあるアクセスや不正な操作を受けると、大きな被害が発生しやすいので注意しなければいけません。ですから、企業の経営者やセキュリティ担当者は、ファイアウォールの特徴や仕組みをしっかりと理解し、効果的な運用を目指しましょう。