目次
ファイアウォールの主な種類を3つ紹介
①パケットフィルタリング|管理と設定が簡単にできる
②アプリケーションゲートウェイ | パソコンとインターネットを中継する
③サーキットレベルゲートウェイ | なりすまし型の不正アクセスに強い
ファイアウォールの種類
Webアプリケーションファイアウォール
統合脅威管理ファイアウォール
ネットワークアドレス変換ファイアウォール
内部セグメンテーションファイアウォール
次世代ファイアウォール(NGFW)
「ファイアウォール」という言葉は、本来はインターネット用語ではなく、火災などから建物を守るための「防火壁」のことを指す言葉です。例えば、火災が発生すると火は一気に建物に燃え広がります。しかし、ファイアウォールによって火の燃え広がりを防ぎ、火災による被害を最小限に抑えられるのです。
このように、「防火壁」を示す言葉であるファイアウォールにネットワークがつくと、企業や家庭のネットワーク全体を防御するファイアウォール(防火壁)となります。ここでのファイアウォールとは、当然PCを火災から守るものではなく、トラフィックからの被害を防ぐ壁を意味します。
ネットワークファイアウォールが重要とされている理由は、ネットワークファイアウォールがないとネットワークのセキュリティが損なわれてデータの窃盗や漏洩被害に遭う恐れがあるからです。
ネットワークのセキュリティが弱すぎると、端末自体がウイルスに感染したり何者かにハッキングされてデータを閲覧される、あるいは窃盗、漏洩されたりする危険があります。しかし、ネットワークファイアウォールがあれば受信または送信時に許可あるいはブロックする操作がオーナーに求められるため、情報の閲覧、窃盗、漏洩を未然に防ぎやすくなります。
日常生活においても、ビジネスシーンにおいてもインターネットが必要不可欠になった今日、ネットワークが複雑になったことを受けてITチームやセキュリティチームの集中的な管理が困難になってきています。そんな中、ITチームやセキュリティチームの管理に頼らずにセキュリティ対策をする方法がファイアウォールです。
そんなファイアウォールは主に3種類に分けられます。ここからは、ファイアウォール3種類の概要をご紹介します。
まずご紹介するのは「パケットフィルタリング」です。パケットフィルタリングとは、通信を許可するサービスやソフトウェアのIPを事前に設定しておくファイアウォールのことです。その仕組みから、登録されていないIPからの通信はシャットアウトされる他、送信元IPアドレスの偽装も防げるなど、セキュリティ性の高さから多くの端末に搭載されています。
また、ポート指定や制御も可能です。
次に、「アプリケーションゲートウェイ」とは、アクセスの詳細をチェックしてなりすましを防ぐファイアウォールのことです。新たなファイアウォールとして近年登場し、なりすまし型の不正アクセスの防止として活用されています。
通信をパケット単位で解析するため、他のファイアウォールに比べると速度が低下しますが、なりすまし被害を防ぎたい場合は有効です。
最後に、「サーキットレベルゲートウェイ」とは、パケットフィルタリングに通信を許可するポート指定と制御操作を加えたファイアウォールのことです。パケットフィルタリングの動作に、ポート指定と制御操作を加えているため、パケットフィルタリングより詳細な通信の制御が可能になります。
ただし、データの中身を解析する必要があるため、パケットフィルタリングに比べて処理が遅いというデメリットもあります。
ネットワークファイアウォールやホストベースのファイアウォールの他にも知っておくべき種類がいくつかあります。次のファイアウォールが含まれます。
Webアプリケーションファイアウォールとは、開放型システム間相互接続(OSI)レイヤー5〜7プロトコルそれぞれの受信トラフィックを調べるファイアウォールです。ネットワークファイアウォールとは別のレベルで稼働するため、セキュリティ対策をする箇所が異なります。
Webアプリケーションファイアウォールを使うメリットは、受信トラフィックのネットワークアドレスやポート番号を検証するだけではなく、アプリケーションプロトコル(HTTPまたはFTP)からもたらされる脅威を深く査定することです。また、セキュリティチームがセキュリティ障害を調査するために必要不可欠なログ機能も搭載されています。
総合脅威(UTM)ファイアウォールとは、1つのダッシュボードに複数の重要なセキュリティ機能を組み込むことでセキュリティに近代的なアプローチをするファイアウォールのことです。複数のセキュリティ機能を組み込むことで、セキュリティの完全な保護とサイバー脅威に対する防御を確かなものにすることができます。
そんな総合脅威ファイアウォールのメリットは、複数のセキュリティ機能を一つのセキュリティチームで管理できることです。通常、複数のセキュリティ機能を使う場合はそれぞれにセキュリティチームを設けなければなりません。しかし、総合脅威ファイアウォールは、1つのダッシュボードに複数のセキュリティ機能を組み込めるため、セキュリティチーム1つのみで高いセキュリティ性が保たれます。
ネットワークアドレス変換(NAT)ファイアウォールとは、デバイスのトラフィックを単一のゲートウェイを経由してインターネットに送ることで、限られたIPアドレスを維持するファイアウォールです。一般的にトラフィックの検査は行いませんが、内部ネットワークを外部のデバイスから隠すことでセキュリティを保護します。Wi-Fiルータ上で展開されることが多いですが、VPNサービス経由で展開されることもあります。
内部セグメンテーションファイアウォール(ISFW)とは、内部ネットワークの戦略的なポイントに設置することで、ネットワークの所定のエリアに出入りするトラフィックを「見える化」するファイアウォールのことです。また、ネットワークアクセスコントロール(NAC)などのソリューションと連携することで、新しいデバイスやワークフローを条件に基づいて特定のセグメントに自動的に割り当てる機能もあります。
次世代ファイアウォール(NGFW)とは、前世代のファイアウォール機能に、継続的に進化する脅威に対応する技能やテクノロジーを組み合わせたファイアウォールです。
ネットワークの脅威は日々精度を上げてきており、デバイスのリスクのレベルも上がっています。精度を上げる脅威に対応するためには、次世代ファイアウォールの導入は必須です。
