ファイアウォールポリシーとは、インターネット通信によるリスクを最小限にするために必要なツールです。機器ごとに制限をかけられるので、外部からのアクセスはもちろん企業内のセキュリティも強化できます。
そもそもファイアウォールポリシーには、どのような設定内容があるのでしょうか。今回は、ファイアウォールポリシーを項目別に詳しく解説していきます。設定時のポイントにも触れていきますので、参考にして頂ければ幸いです。
すぐにおすすめのセキュリティ関連製品が知りたい方は下記のリンクをクリックしてください。 当サイトで選定したおすすめセキュリティ関連製品のセキュリティ関連製品をまとめています。
ファイアウォールポリシーとは、一般的にはアクセス制限に関するルールのことを指します。時には広い意味としてセキュリティに関するルール全般を指すこともあり、明確な定義はさまざまです。
ファイアウォールは自身が使うネットワークの出入口に設置し、不正なインターネットアクセスを排除します。ファイアウォールがどの程度まで排除するのかはポリシーの内容により異なるので、自身に適切な設定が必要です。
ファイアウォールポリシーには、代表的な設定項目がいくつかあります。ここからは、その設定項目について見ていきましょう。
TCP/IPプロトコルとは、Web閲覧やメール送受信で用いられる通信規格のことを指します。異なるOS端末同士でもスムーズに通信できるのは、TCP/IPプロトコルのルールが一定であるためです。
このようにTCP/IPプロトコルでは、ファイアウォールを通過する通信の内容をコントロールできます。設定項目は細分化されており、以下は具体的な内容です。
これらの項目を適用する・しないを設定することで、通信ルールをカスタマイズします。
ファイアウォールを通過しようとするデータ(パケット)を確認し、許可したアプリケーションだけを通す機能です。設定するためには、アプリケーションに使用するTCP/UDPのポート番号を使用します。
このTCP/UDPのポート番号によって、アプリケーションを許可するのかを区別しているのです。
指定したユーザーの通信だけを許可する機能です。ユーザー名やパスワード・電子証明書などを利用してアクセスの可否を設定します。企業外からのアクセスを禁止するだけでなく、ユーザーごとの制限も可能です。
個人単位でアクセス制限をかけられるので、情報漏洩リスクを未然に防止できます。
ファイアウォールポリシーではコンテンツのタイプも見分けられます。事前に設定しておくだけで、業務に必要ないコンテンツについては全てブロックしてくれるのです。業務に必要なコンテンツのみを通すので、より安全な運用が可能となります。
アクティブでない状態が一定期間経過した場合に、管理者が利用していた接続を自動でブロックする設定です。外部からの攻撃リスクを低減でき、企業内のネットワーク上で行われるデータ通信を減らせます。
続いては、ファイアウォールポリシーを設定する際に気をつけることを項目別に解説します。
ファイアウォールポリシーを設定する際の基本ですが、不要な通信は全て遮断していきましょう。設定する範囲は幅広いので、不要な通信を明確にするよりも許可する通信を洗い出した方が早く運用を開始できます。
業務に必要な通信情報をファイアウォールポリシーに設定し、それ以外は遮断するのがベストです。こうすることで、日々進化するマルウェアの被害にあうリスクを軽減できます。
静的フィルタとは、通信状況が変わっても常に決められたとおりに働くフィルタのことです。行きと戻りの通信を分けて判断するため、どちらか一方だけの通信だけではもう片方向は遮断されてしまいます。
そのため、静的フィルタを使用する場合は行きだけでなく戻りの通信も別途許可することが必要です。反対に動的フィルタであれば行きの通信を許可しておけば、自動的に戻りの通信も許可されます。
ファイアウォールテスターとは、セキュリティポリシーの試験を自動化する製品です。条件を設定するだけで、通信テストをおこなうことができます。テストにかかる工数を削減できるため、効率的な設定確認が可能です。
代表的には、以下の製品があげられます。
両製品とも多くのメーカーで利用されており、信頼のおける製品といえるでしょう。
上記の設定を活用することでさまざまなことが行えます。例をあげると、特定のパソコンでメールの送受信だけを許可したい時には以下の設定が最適です。
以上の3点で、設定は完了します。
ここでは、FortiGateのファイアウォールポリシー設定について解説していきます。デフォルトでは全ての通信を遮断するよう設定されているため、許可したい項目のみを追加していくのが通常です。
FortiGateにはステートフル・インスペクションという機能があり、利用することでスムーズに設定が行えます。ステートフル・インスペクションのメリットは、通信を許可するポリシー設定を必要最低限にできる点です。
この機能により、行きの通信を設定してしまえは戻りの通信については自動的に反映されます。通常であればひとつのポリシーでは片方向のみしか設定できないため、非常に便利な機能といえるでしょう。
ファイアウォールポリシーは多くの場合、最初に設定したままの状態で放置されていることが多いです。しかし、長期間の運用により不要なポリシーが生じていれば、その分機器に無駄な負担をかけてしまいます。
ネットワークが遅くなったり、最悪の場合はインターネットが繋がらなくなる原因にもなりかねません。このような問題を解消するために、ファイアウォールの収集・見直し・再評価は定期的に行いましょう。
ファイアウォールポリシーによりアクセス制限に関するルールを明確にすることで、さまざまなリスクを排除できます。適切な設定が行えれば、外部からのウイルス侵入だけでなく企業内のデータ漏洩リスクも防止できるのです。
必要に応じてファイアウォールテスターやFortiGateを利用することで、より簡単に運用できます。状況の変化によっては障害の妨げになるため、定期的に設定を見直しながら活用していきましょう。