ファイアウォールポリシーとは？設定時のポイントや設定項目を解説

すぐにおすすめのセキュリティ関連製品が知りたい方は下記のリンクをクリックしてください。 当サイトで選定したおすすめセキュリティ関連製品のセキュリティ関連製品をまとめています。

ファイアウォールポリシーとは？

ファイアウォールポリシーとは、一般的にはアクセス制限に関するルールのことを指します。時には広い意味としてセキュリティに関するルール全般を指すこともあり、明確な定義はさまざまです。

ファイアウォールは自身が使うネットワークの出入口に設置し、不正なインターネットアクセスを排除します。ファイアウォールがどの程度まで排除するのかはポリシーの内容により異なるので、自身に適切な設定が必要です。

ファイアウォールポリシーの設定項目

ファイアウォールポリシーには、代表的な設定項目がいくつかあります。ここからは、その設定項目について見ていきましょう。

TCP／IPプロトコル

TCP／IPプロトコルとは、Web閲覧やメール送受信で用いられる通信規格のことを指します。異なるOS端末同士でもスムーズに通信できるのは、TCP／IPプロトコルのルールが一定であるためです。

このようにTCP／IPプロトコルでは、ファイアウォールを通過する通信の内容をコントロールできます。設定項目は細分化されており、以下は具体的な内容です。

• HTTP
• SSL
• POP3/SMTP
• FTP
• SMB
• DHCP
• NTP
• TCP/UDP
• IP
• IPsec
• Ethernet
• PPPoE

これらの項目を適用する・しないを設定することで、通信ルールをカスタマイズします。

アプリケーションの許可

ファイアウォールを通過しようとするデータ（パケット）を確認し、許可したアプリケーションだけを通す機能です。設定するためには、アプリケーションに使用するTCP／UDPのポート番号を使用します。

このTCP／UDPのポート番号によって、アプリケーションを許可するのかを区別しているのです。

ユーザー識別

指定したユーザーの通信だけを許可する機能です。ユーザー名やパスワード・電子証明書などを利用してアクセスの可否を設定します。企業外からのアクセスを禁止するだけでなく、ユーザーごとの制限も可能です。

個人単位でアクセス制限をかけられるので、情報漏洩リスクを未然に防止できます。

コンテンツのタイプ

ファイアウォールポリシーではコンテンツのタイプも見分けられます。事前に設定しておくだけで、業務に必要ないコンテンツについては全てブロックしてくれるのです。業務に必要なコンテンツのみを通すので、より安全な運用が可能となります。

ネットワークアクティビティ

アクティブでない状態が一定期間経過した場合に、管理者が利用していた接続を自動でブロックする設定です。外部からの攻撃リスクを低減でき、企業内のネットワーク上で行われるデータ通信を減らせます。

ファイアウォールポリシー設定時のポイント

続いては、ファイアウォールポリシーを設定する際に気をつけることを項目別に解説します。

必要のない通信は基本すべて遮断する

ファイアウォールポリシーを設定する際の基本ですが、不要な通信は全て遮断していきましょう。設定する範囲は幅広いので、不要な通信を明確にするよりも許可する通信を洗い出した方が早く運用を開始できます。

業務に必要な通信情報をファイアウォールポリシーに設定し、それ以外は遮断するのがベストです。こうすることで、日々進化するマルウェアの被害にあうリスクを軽減できます。

静的フィルタの場合は戻りの記述をする

静的フィルタとは、通信状況が変わっても常に決められたとおりに働くフィルタのことです。行きと戻りの通信を分けて判断するため、どちらか一方だけの通信だけではもう片方向は遮断されてしまいます。

そのため、静的フィルタを使用する場合は行きだけでなく戻りの通信も別途許可することが必要です。反対に動的フィルタであれば行きの通信を許可しておけば、自動的に戻りの通信も許可されます。

ファイアウォールテスターでポリシーテストを実施する

ファイアウォールテスターとは、セキュリティポリシーの試験を自動化する製品です。条件を設定するだけで、通信テストをおこなうことができます。テストにかかる工数を削減できるため、効率的な設定確認が可能です。

代表的には、以下の製品があげられます。

• ネットチャート株式会社の「ファイアウォールテスター」
• 株式会社エーピーコミュニケーションズの「NEEDLEWORK」

両製品とも多くのメーカーで利用されており、信頼のおける製品といえるでしょう。

特定のパソコンでメールの送受信だけを許可したい場合の例

上記の設定を活用することでさまざまなことが行えます。例をあげると、特定のパソコンでメールの送受信だけを許可したい時には以下の設定が最適です。

• 事前にIPアドレスを確認しておく
• パソコンのIPアドレスを指定し、送受信メールサーバとの行きと戻りの通信を許可する
• パソコンのIPアドレスを指定し、DNSサーバとの行きと戻りの通信を許可する
• 上記以外は全て遮断する

以上の3点で、設定は完了します。

FortiGateのポリシー設定

ここでは、FortiGateのファイアウォールポリシー設定について解説していきます。デフォルトでは全ての通信を遮断するよう設定されているため、許可したい項目のみを追加していくのが通常です。

FortiGateにはステートフル・インスペクションという機能があり、利用することでスムーズに設定が行えます。ステートフル・インスペクションのメリットは、通信を許可するポリシー設定を必要最低限にできる点です。

この機能により、行きの通信を設定してしまえは戻りの通信については自動的に反映されます。通常であればひとつのポリシーでは片方向のみしか設定できないため、非常に便利な機能といえるでしょう。

ファイアウォールポリシーの管理

ファイアウォールポリシーは多くの場合、最初に設定したままの状態で放置されていることが多いです。しかし、長期間の運用により不要なポリシーが生じていれば、その分機器に無駄な負担をかけてしまいます。

ネットワークが遅くなったり、最悪の場合はインターネットが繋がらなくなる原因にもなりかねません。このような問題を解消するために、ファイアウォールの収集・見直し・再評価は定期的に行いましょう。

まとめ

ファイアウォールポリシーによりアクセス制限に関するルールを明確にすることで、さまざまなリスクを排除できます。適切な設定が行えれば、外部からのウイルス侵入だけでなく企業内のデータ漏洩リスクも防止できるのです。

必要に応じてファイアウォールテスターやFortiGateを利用することで、より簡単に運用できます。状況の変化によっては障害の妨げになるため、定期的に設定を見直しながら活用していきましょう。