ファイアウォールで不正アクセス防止(UTMの機能②) | セキュリティ対策関連コラム

セキュリティ対策
~ポイント解説・導入事例・コラム~

[UTMの機能②]ファイアウォールで不正アクセス防止

UTMは複数のセキュリティ対策機能で構成されていますが、まず、ファイアウォールの機能から解説いたします。ファイアウォールは「防火壁」という意味。社内ネットワークに入ろうとする不正通信を防御するシステムです。ファイアウォールはUTMの母体となったシステムであり、ここではその必要性や防御する仕組みなどについて紹介します。

目次

ファイアウォールとは?その必要性

インターネット上で流通しているデータは途方もないほど膨大な量になりますが、それらは一定のルールに従って形作られています。すべてのデータは「パケット」という単位で流通しています。パケットという言葉は「小包」という意味です。
パケットはヘッダー部分とデータ部分に分かれています。ヘッダーには差出人が誰で宛先はどこで、どのポートを通るかなど、パケットを識別する情報が書き込まれています。一般的に「荷札」と解説されることが多くありますが、「入館証」ともいわれます。
この荷札(入館証)を確認して、社内ネットワークの入り口(ゲートウェイ)で行き先別に振り分けているのです。行き先別に振り分ける機器を「ルータ」と呼びます。これも聞いたことがある方は多いと思います。ルーティング(振り分け)がルータの仕事です。

1990年代になってインターネットが大きな潮流となっていき、企業でインターネットの仕組みを使ったネットワークシステムの構築が一般的になってきました。そうなると、その企業ネットワークに忍び込み、有益な企業情報を盗み取ろうとする犯罪組織が現れます。ここで必要になったのが「セキュリティ」の概念です。
それまでセキュリティ意識については希薄で、ルータもひたすらパケットを振り分けるだけで、不正なアクセスを防御する機能は用意されていませんでした。ここで必要になったのが「ファイアウォール」という防火壁なのです。

ファイアウォールの仕組みとは?

企業においてルータは「案内係」、ファイアウォールは「門番」あるいはガードマンといってもいいでしょう。案内係は行き先を指示するだけですが、ファイアウォールは不正な侵入者が存在する前提で監視しています。
このファイアウォールがチェックするのが行き先アドレスと使用するポートなどです。これを見て、不正なパケットを見つけると侵入を許しません。
具体的にはファイアウォールは許されていないポートをすべて閉じてしまいます。システムには多くのポートが用意されています。ポートとは門のことで、パケットには通るべきポートが記されています。
不正パケットは空いているポートを見つけて入り込もうとするので、狙っているポートを閉じてしまいます。
もしファイアウォールがなかったら不正パケットが企業内システムにどんどん入ってきて、無法地帯になってしまいます。これを壁際で守る、まさに門番の役割をしています。

ファイアウォールのポリシーと設定

ファイアウォールを構築する場合は、ファイアウォールポリシーの設定が必要になります。ポリシーとはアクセスを制限するルールのことであり、ファイアウォールを運用する方針です。
まず求められるのが特定のIPアドレスとプロトコル。どのIPアドレスを許可するのか、どの種類の通信タイプを許可するのか設定します。
引き続き「アプリケーション」「コンテンツのタイプ」「ユーザー識別情報」「ネットワークアクティビティ」などがあります。詳細な解説は省略しますが、この設定が極めて重要であることをご理解ください。

ファイアウォールは、玄関の門番の役割をしますから、ファイアウォールが厳しすぎると必要なパケットまではねつけ、ネットワークが機能しなくなります。かといっていって緩慢な設定にすると不正パケットが社内で横行し、企業秘密が持ち出されてしまいます。

UTMへと進化するファイアウォール

1990年代になってファイアウォールが登場したと説明しましたが、当初はソフトウェアで提供されていました。利用しているサーバーにインストールし、ポリシーを設定して稼働させていたわけです。
ところが、企業の内部と外部のパケットの流通量が加速的に増加していきます。それらすべてのパケットをファイアウォールはチェックしなければなりませんが、次第にこれが困難になってしまいました。ソフト的な処理では限界を超えてしまったのです。
そこで、登場したのがアプライアンス型ファイアウォールというファイアウォール機能をインストールした専用のハードウェアが提供されるようになったのです。それまでサーバーのアプリケーションとして働いていたファイアウォールが専用のハードウェアでフル回転するようになりました。

やがて2000年代になってファイアウォールによるパケットのヘッダーだけのチェックでは防ぎきれない攻撃が現れIDS /IPSが必要となり、ここにおいて多層防御の考え方が登場し、この多層防御を実現するソリューションとしてUTMが開発されます。

参考:セキュリティ脅威の拡大 セキュリティ対策の進歩と歴史

ポイントまとめ

門番としてパケットを監視するファイアウォール

インターネットが一般的になり、ファイアウォールが発明されました。画期的な発明であったファイアウォールですが、年々サイバー攻撃は巧妙化し、新たな対策が必要なり、UTMが開発され、複数の対策を一台で対応していくことになります。それらのセキュリティ機能・対策を次回コラムから順次ご紹介いたします。

関連リンク