ファイアウォールは、インターネットからのサイバー脅威を防ぐ、企業ネットワークのにおける第一の防御壁です。ハードウェアまたはソフトウェアの形で提供され、いずれも社内の機密データへのアクセスを制限しながら、社内ネットワーク内で不審なアクティビティがないかどうか監視するという役割を果たします。いわば、社内ネットワークとインターネットとの境目を守る門番のようなものであり、脅威が社内ネットワークに侵入するのを防ぎながら、社員が業務で必要な Web サイトやアプリケーションに安全にアクセスできるようにします。

ファイアウォールの仕組みや、使用しない場合の危険性、ハードウェアとソフトウェアの違いについては、次世代型ファイアウォールをお読みください。

ファイアウォールについて

ファイアウォールは、あらかじめ定義したセキュリティルールに従って入出力トラフィックを監視、フィルタリング、制御するネットワークセキュリティシステムであり、信頼できる社内ネットワークと公共のインターネットの間で、バリアとしての役割を果たします。セキュリティ境界を構築することで、プライベートネットワークに対する不正アクセスを防ぎます。

ファイアウォールは、ハードウェアデバイスまたはソフトウェアアプリケーションとして提供され、両方を組み合わせて導入することも可能です。OSI (Open Systems Interconnection) モデルにおいては、ネットワークレイヤやアプリケーションレイヤなど、さまざまなレイヤで運用されます。

ファイアウォールの一般的な種類としては、以下のようなものがあります。

  • パケットフィルタリング型ファイアウォール: この種類のファイアウォールは、組織内で定義したセキュリティルールに従ってデータパケットを検査し、判断を下します。つまり、社内のセキュリティ担当者があらかじめ定義したセキュリティルールに基づいて、アクセスを許可またはブロックするという基本的判断を行います。パケットフィルタリングは通常、OSI モデルのネットワークレイヤで行われます。
  • ステートフルインスペクション型ファイアウォール: アクティブな接続のセキュリティステータスを追跡しながら、トラフィックのコンテキストに基づいて判断を下します。この方法では、接続の状態を把握しながら、詳細な情報に基づいて個々のパケットの許可/ブロックの判断を下すことが可能です。
  • プロキシ型ファイアウォール: クライアントとサーバーの間の中継点となって、ファイアウォールの内側にあるデバイスの代わりに通信処理を行います。社内ネットワークの構造を隠しながらディープパケットインスペクションを実行することで、セキュリティを強化できます。
  • アプリケーションレイヤ型ファイアウォール: この種類のファイアウォールは、OSI モデルのアプリケーションレイヤで動作します。使用するアプリケーションやサービスに基づき、上位レベルでトラフィックを検査して判断を下すのが特徴です。
  • SD-WAN ファイアウォール: SD-WAN とは Software-Defined Wide Area Network の略です。SD-WAN ファイアウォールは、SD-WAN 内で入出力ネットワークトラフィックを監視、管理することによってセキュリティを強化する、ソフトウェアベースのテクノロジーです。このファイアウォールを使えば、支社やリモートワーカーを安全かつ効果的に、コスト効率の高い方法で接続することが可能となります。SD-WAN ファイアウォールは、リモートアクセスポリシーを適用しながら脅威や侵入を阻止するという、一般的な防御システムです。

ファイアウォールが重要である理由

ファイアウォールが重要である理由は、プライベートネットワークへの不正アクセスを最前線で防御しているからです。ネットワークセキュリティを構成する要素のなかでも最も効果が高く、よく利用されているものの 1つです。サイバーセキュリティ対策は多層的になっていますが、ファイアウォールはそのなかで、入出力データのフローを制御するという重要な役割を果たしています。

現在の次世代型ファイアウォールは通常、侵入検知および防御機能を備えており、ハッキングやマルウェアなどの悪質なアクティビティやサイバー脅威を特定、ブロックできます。ファイアウォールは、プライバシーや組織の機密データを守るために欠かせません。特に、銀行、金融、医療、教育などの分野で機密性の高い顧客データやビジネスデータを取り扱う組織にとっては非常に重要です。

ファイアウォールの中には、VPN 機能を持つものもあり、ネットワークへの安全なリモートアクセスを可能にしています。これによって、データを暗号化してインターネット上で安全に送信できるため、特に、リモート勤務する従業員や支社を抱える組織では必要不可欠です。

さらに、ファイアウォールを使えばネットワーク上のアクティビティのログを保持できます。こうしたログは、セキュリティコンプライアンスの監査や、インシデント対応のフォレンジック分析の際に貴重な記録となります。管理者は、ファイアウォールのアクティビティログを監視することで、セキュリティインシデントの可能性を特定して対応することが可能となります。

ファイアウォールの仕組み

ファイアウォールはネットワークレベルで動作し、あらかじめ定義されたセキュリティルールに基づいてネットワークトラフィックを検査、制御します。

具体的には、以下のような処理を行います。

  • パケットフィルタリング: あらかじめ定義されたルールに基づき、個々のデータパケットを検査します。個々のパケットには、送信元、宛先、プロトコル、その他の属性などの情報が含まれています。ファイアウォールは、これらの情報をルールセットと比較して、パケットを許可またはブロックするかを判断します。
  • ステートフルインスペクション (ダイナミックパケットフィルタリング): 基本的なパケットフィルタリングと異なり、アクティブな接続の状態を追跡します。具体的には、ステートテーブルを保持することによって、確立済みの接続の状態を追跡します。個々のパケットの特性だけでなく、通信セッション全体のコンテキストに基づいて、パケットを許可またはブロックするのが特徴です。
  • プロキシサービス: 内部および外部システムの間の中継点 (プロキシ) として機能します。内部ネットワークのユーザーがサービスをリクエストすると、ファイアウォールがユーザーに代わってリクエストを転送します。プロキシとなって通信の内容に基づいてフィルタリングや修正を行って、追加のセキュリティレイヤを提供します。
  • ネットワーク アドレス変換 (NAT): ファイアウォールでは、NAT を使ってプライベート IP アドレスを単一のパブリック IP アドレスにマッピングするのが一般的です。この方法によって、内部ネットワークの構造を隠しながら社内デバイスへの直接アクセスを防ぎ、セキュリティを強化できます。
  • アプリケーションレイヤフィルタリング: アプリケーションレイヤ (OSI モデルのレイヤ 7) でデータを分析します。アプリケーションやプロトコルに応じてトラフィックのブロックや許可を行えるので、ネットワークアクティビティのきめ細かな制御が可能となります。
  • ロギングとモニタリング: 多くのファイアウォールは、ネットワークトラフィックの情報を記録するログ機能を備えています。システム管理者はこれらのログを確認して、セキュリティインシデントやポリシー違反を特定して対応できます。
  • セキュリティポリシー: 管理者がセキュリティポリシーを定義して、各種トラフィックの処理方法を指定できます。たとえば、特定のポート、プロトコル、IP アドレス、アプリケーションを許可またはブロックするルールを含めることができます。
  • 侵入検知と防御: 一部の高度なファイアウォールは、侵入検知および防御機能を備えており、悪質なアクティビティをリアルタイムで特定、ブロックできるものもあります。

ファイアウォールを使えば、組織の安全な境界を確立し、社内ネットワークに出入りするトラフィックのフローを制御できるため、ネットワークセキュリティが全体的に向上します。

ハードウェア型とソフトウェア型の違い

ハードウェアとソフトウェアのファイアウォールはどちらも、ネットワークセキュリティにおいて重要な要素ですが、形態、実装、機能の面で違いがあります。以下で詳しく説明します(英語)。

ハードウェアファイアウォールは、内部ネットワークと外部ネットワーク (通常はインターネット) との間に設置する、専用の物理デバイスです。スタンドアロンのアプライアンスとして導入されるほか、ルーターなどのネットワーキングデバイスにファイアウォール機能が組み込まれている場合もあります。ハードウェアファイアウォールは通常、ネットワークレイヤ (レイヤ 3) で動作し、IP アドレス、ポート、プロトコルに基づいてトラフィックをフィルタリングします。ハードウェアファイアウォールでは、トラフィックが個々のユーザーデバイスに到達する前にフィルタリングできるため、ネットワーク全体をより効果的に保護することが可能です。ハードウェアファイアウォールの設定および管理は、通常、Web インターフェースまたはコマンドラインインターフェースで行います。これらのインターフェースを使って、ネットワーク全体のセキュリティ設定を一元的に管理、設定することが可能です。ハードウェアファイアウォールは、内部ネットワークおよび外部ネットワークの間の物理的なバリアとなります。追加の保護レイヤとして、特に大規模ネットワークにおいて効果を発揮します。

ソフトウェアファイアウォールはアプリケーションです。簡単に言うと、個々のコンピュータやサーバー上で実行されるプログラムやアプリケーションです。OS にファイアウォール機能が組み込まれていることもあれば、スタンドアロンアプリケーションとして別途インストールする場合もあります。ソフトウェアファイアウォールは、OSI モデルのアプリケーションレイヤ (レイヤ 7) またはトランスポートレイヤ (レイヤ 4) で動作します。ソフトウェアファイアウォールは通常、サーバー、デスクトップ、ノート PC、スマートフォンなど、個々のデバイスで入出力ネットワークトラフィックを監視、制御します。ソフトウェアファイアウォールの設定や管理は、保護対象デバイス上のユーザーインターフェースから行うのが一般的で、ユーザーは個々のデバイスのルールや設定を定義できます。

ソフトウェアファイアウォールは、個々のデバイスの仮想的なバリアとなってそれぞれを保護します。私物のデバイスや小規模ネットワークにおいてトラフィックを保護するのに適しています。

エンタープライズネットワークでは、ネットワーク全体や大規模環境を保護するためにはハードウェアファイアウォールが、個々のデバイスで詳細かつ柔軟な制御を行うためにはソフトウェアファイウォールが使用されるのが一般的です。包括的なセキュリティ戦略としては、両方のファイアウォールを含めて、ネットワークセキュリティの異なる側面に対処する場合があります。

Sophos Firewall

今日の最新型ファイアウォール (ハードウェアまたはソフトウェア) に必要とされているのは、リモートワーカーやハイドブリッドワーカーがインターネットやその他の接続システムにどこからでも安全にアクセスできるような堅牢性です。

Sophos Firewall は、世界最高レベルのネットワークセキュリティプラットフォームの中核となる製品です。一元型のクラウド管理コンソールやエージェントに対応しており、社内のネットワークセキュリティを統合、簡素化するために役立ちます。

Sophos Firewall には、他社のどのファイアウォールよりも多くの機能が含まれています。

  • 最新の暗号化されたインターネットに最適化された最高の保護機能とパフォーマンスを備えた完全な次世代ファイアウォール機能
  • Sophos MDRSophos XDR との統合により、自動化された脅威対応および Synchronized Security を提供し、深刻な問題を引き起こす前に脅威を阻止
  • 充実した SD-WAN 機能により、複数のオフィスやロケーションを簡単かつ安全に相互接続、管理
  • ソフォスの SSE および SASE ポートフォリオをサポート。ZTNA、SWG DNS Protection など、クラウド配信型ネットワークセキュリティソリューションに対応
  • リモートワーカーの安全かつ簡単なアクセスを可能にする内蔵 ZTNA
  • Sophos Central のクラウド管理およびレポート機能により、ワイヤレスネットワーク、スイッチ、ZTNA、エンドポイント、モバイルデバイス、サーバー、メール保護などと併せてファイアウォールを管理可能

ご不明点は、Sophos Firewall の担当者までご連絡ください。

お問い合わせ 

関連するセキュリティトピック: AI 倫理とは

 

サイバーセキュリティニュースを確認