ファイアウォールの種類と仕組みを解説

更新日 2023.04.25
投稿者:横山 洋介

ファイアウォールとは、簡単にいうと、外部からのサイバー攻撃や不正アクセスを防ぐセキュリティシステムです。何となく単語は知っているが、どのような仕組みでどのような機能があるのか、具体的には分からないという方も多いのではないでしょうか。

そこでこの記事では、ファイアウォールの概要や機能、そして具体的な仕組みについて、図を用いてわかりやすく解説します。

セキュリティ関連製品選びの専門知識・時間がない方

コンシェルジュが代わりに探してご案内します!

業界に精通したコンシェルジュが、希望条件をお伺いし、ピッタリなメーカー・製品をご案内。時短&手間ナシで情報収集が可能です。相場観や補助金情報などのご質問にもお答えします。

ファイアウォールのセキュリティの仕組み

ファイアウォールとは外部ネットワークからの不正な侵入と、外部ネットワークへの不正なアクセスを防ぐシステムのことです。「防火壁」と訳されるように、ファイアウォールは外部からもたらされる悪意ある攻撃から、ネットワークを守る役割を担います。ネットワークが危険にさらされないよう、信頼できる通信以外を遮断するのが、ファイアウォールの基本的な仕組みです。そして、不正な通信のブロックは、コンピュータのポートを制御することで行います。

ポートとは、簡単に言えばネットワークの出入り口のことです。この出入り口をコントロールすることによって、ファイアウォールは信頼できる通信のみを許可し、それ以外の悪意ある通信を排除するのです。

それから、外部からの通信が信頼できるかどうかは、ファイアウォールポリシーによって判断されます。ファイアウォールポリシーとは、アクセス制限の基準について定めたルールのことを指します。ファイアウォールポリシーが許可した通信のみを通すことで、ネットワークのセキュリティが守られるのです。

ファイアウォールの仕組み

ファイアウォールには種類がある!

ファイアウォールの種類はパケットフィルタリング型、ゲートウェイ型、サーキットゲートウェイ型の3つに分けられます。それぞれの特徴について、詳しくは以下をご覧ください。

パケットフィルタリング型

パケットフィルタリングの「パケット」とは、通信を行う際に分割されたデータのことを指します。このパケットを監視(フィルタリング)して悪意ある攻撃を防ごうとするのが、パケットフィルタリング型のファイアウォールです。多くのファイアウォールは、このパケットフィルタリング型に該当します。パケットフィルタリング型はさらに「スタティックパケットフィルタリング」、「ダイナミックパケットフィルタリング」、「ステートフルパケットインスペクション」の3つに分けられます。

スタティックパケットフィルタリング

パケットのヘッダを参照することで、通信を許可して良いか判断するのが、スタティックパケットフィルタリングです。パケットなどのデータの先頭にはそのデータに関する情報が記されており、これをヘッダと言います。スタティックパケットフィルタリングでヘッダを監視する際には、送信元と宛先のアドレスや通信プロトコル、ポート番号といった情報を調べます。

ヘッダの情報に問題がなければ通信を許可し、それ以外を遮断するのが基本的な仕組みです。ただし、スタティックパケットフィルタリングではヘッダしか監視せず、パケットの中身が調べられることはありません。そのため、偽装されたパケットをそのまま通してしまうこともあるため、注意が必要です。

ダイナミックパケットフィルタリング

ダイナミックパケットフィルタリングは、フィルタリングルールを動的に作成するタイプのファイアウォールです。ダイナミックパケットフィルタリングを利用すれば、通信のやり取りが記憶され、それに合わせた通信のルールが作成されます。たとえば内部のクライアントから通信を行って、とある外部のWebサーバへアクセスすると、これとは逆方向の通信も許可されます。すなわち、Webサーバからクライアントへの通信を許可するフィルタリングルールが作成されるのです。このフィルタリングルールは一時的なもので、通信が終わると破棄されます。

ステートフルパケットインスペクション

スタティックパケットフィルタリングがパケットのヘッダを監視する仕組みであるのに対して、ステートフルパケットインスペクションはパケットのコンテキストを参照します。コンテキストは文脈を意味する用語で、パケットの状況や条件のことを指します。このコンテキストを調べ、過去の通信履歴と照らし合わせながら不正なアクセスを検知するのが、ステートフルパケットインスペクションです。DoS攻撃に弱いという欠点はあるものの、これまでの通信履歴と照合して信頼できる通信のみを許可するため、セキュリティ性は高いです。

ゲートウェイ型

ゲートウェイ型の場合、内部コンピュータの代わりにファイアウォールが外部へアクセスします。ファイアウォールは外部サイトへアクセスしたのち、通信の内容を内部コンピュータへ送ってくれるため、クライアントから直接外部へ接触することはありません。また、通信の最中、外部サイトからは内部コンピュータの存在を確認できません。このようにファイアウォールが代理で外部にアクセスしてくれることから、ゲートウェイ型はプロキシ型とも呼ばれます。パケットの中身を詳細に確認するのもゲートウェイ型の特徴で、それゆえセキュリティ性は高めです。ただし、通信中の処理内容が多いため、動作が遅くなる点には注意する必要があります。

サーキットゲートウェイ型

パケットフィルタリング型のファイアウォールにポート制御機能を加えたものが、サーキットゲートウェイ型です。サーキットゲートウェイ型では、トランスポート層のレベルで通信を監視します。また、通信を許可して良いかコネクション単位で判断する点も、サーキットゲートウェイ型の特徴です。これらの特徴により、サーキットゲートウェイ型はパケットフィルタリング型よりもセキュリティが優れており、送信元IPアドレスのなりすましにも対応できます。

ファイアウォールの3つの機能とは?

ファイアウォールの主な機能は、フィルタリング機能・NAT機能・リモート管理機能の3つです。それぞれの機能について以下で解説していきます。

フィルタリング機能

ファイアウォールは不正なアクセスを遮断し、信頼できる通信のみを許可しますが、この機能をフィルタリングと呼びます。このフィルタリング機能によって不正な通信を選別することで、コンピュータのセキュリティが守られます。主なフィルタリングの手法3種類とその特徴を、以下にまとめました。

  • 静的・動的フィルタリング:パケットのヘッダ情報をもとに、通信の可否を判断する
  • ステートフル・インスペクション:パケットのヘッダ情報に加えて、コンテキストも参照する
  • プロキシ型フィルタリング:通信の中身を詳細に確認する、セキュリティ性の高いフィルタリング機能

前述した通り、ファイアウォールにはさまざまな種類が存在します。どの手法でフィルタリングが行われるかは、ファイアウォールの種類によって異なります。

NAT機能(IPアドレス変換機能)

NAT機能、つまりIPアドレス変換機能も、ファイアウォールが持つ役割の1つです。内部ネットワークでは、それぞれの端末に固有のプライベートIPアドレスが割り当てられています。

また、内部ネットワークから外に出たインターネットの世界では、グローバルIPアドレスが使用されます。このプライベートIPアドレスとグローバルIPアドレスを1対1で変換するのが、ファイアウォールの機能です。IPアドレス変換機能を利用することで、複数の端末でインターネットに接続できるようになるほか、任意の通信を特定のコンピュータに誘導することも可能になります。この仕組みを活用すれば、重要な情報をアクセス制限の厳しいセクションに置くなどして、ネットワークのセキュリティレベルを分割できます。

リモート管理機能

ファイアウォールにはリモート管理機能もあります。この機能を利用すれば、コンピュータのそばにいなくても、ログの取得やソフトウェアのアップデートを行うことが可能です。設定変更や設定情報のバックアップ・リストアも、遠隔地から行えます。リモート管理機能を利用することでコンピュータの異変に気付きやすくなるため、対応速度の向上につながるでしょう。

まとめ

不正な通信を遮断し、信頼できるもののみを許可するのが、ファイアウォールの基本的な仕組みです。パケットフィルタリング型、ゲートウェイ型、サーキットゲートウェイ型といった3種類のファイアウォールが存在し、フィルタリングの手法はそれぞれで異なります。ファイアウォールの特徴をタイプごとに理解し、自身のネットワーク環境に応じて適切な種類のものを選ぶことが大切です。本記事を参考にして、ネットワークのセキュリティを見直してみてはいかがでしょうか。

セキュリティ関連製品選びの専門知識・時間がない方

コンシェルジュが代わりに探してご案内します!

業界に精通したコンシェルジュが、希望条件をお伺いし、ピッタリなメーカー・製品をご案内。時短&手間ナシで情報収集が可能です。相場観や補助金情報などのご質問にもお答えします。


セカンドラボ株式会社 PR Solution Div.

URL:https://twitter.com/yoko_2ndLabo/

セカンドラボ株式会社の社員。マスコミ業界から転職しました。医療福祉業界の人手不足を知り、大きく業務効率化できる可能性を感じています。医療福祉の業務効率化につながるツールを研究しています。


フリーランスWEBライター

URL:https://twitter.com/kakeru5152

元高校国語教師。3年ほど教育現場で働き、フリーランスWEBライターとして独立。様々なメディアで記事を制作。ディレクターとしても活動。個人でブログも運営しており、情報発信も行なっています。

関連記事