ファイアウォール セキュリティとは何か：インフラストラクチャを保護する方法

ファイアウォールは、ネットワークを不要なトラフィックから保護するネットワーク セキュリティ ソリューションです。ファイアウォールは、事前にプログラムされた一連のルールに基づいて、マルウェアなどの迫り来る脅威をブロックします。最新のファイアウォールには、侵入検知システム（IPS）やURLフィルタリングなどの追加機能も含まれているため、セキュリティ チームはルールを強化して、ネットワーク内のユーザーが特定のWebサイトやアプリケーションにアクセスできないようにすることができます。

NGFWとWAFの主な違いとして、NGFWは主にアウトバウンド トラフィックとその結果として生じるリターン フローを監視して、リスクが企業内に舞い戻るのを防ぐ一方で、WAFはWebアプリケーションを迫り来る脅威から保護します。

ファイアウォールは、インターネット経由で接続されている外部ソースのような安全性の低い環境からのネットワーク トラフィックは、より安全性の高い環境に移行する前に認証および検査する必要があるというシンプルな考えに基づいています。これにより、認証されていないユーザー、デバイス、アプリケーションが、保護されたネットワーク環境やセグメントに侵入するのを防ぎます。ファイアウォールがなければ、ネットワーク内のコンピュータやデバイスはハッカーの攻撃を受けやすくなり、攻撃の標的になりやすくなります。しかし、クラウドやSaaSベースのアプリケーションの普及により、ネットワーク境界の問題の大部分は解消されました。

ほとんどの組織は、今日の複雑で絶えず変化するサイバー脅威の状況において確実に保護するために、ファイアウォールの導入とともに、追加のセキュリティ ソリューションを使用しています。しかし、ファイアウォールは依然として、適切なサイバーセキュリティ システムを構築するための土台として考えられています。

ファイアウォールは、サイバー攻撃に対する最初の防御策の一部として、送信トラフィック、アプリケーションレイヤ トラフィック、オンライン トランザクション、通信と接続（IPSecやSSL VPNなど）、動的ワークフローなど、あらゆるトラフィックに不可欠な監視とフィルタリングを提供します。デフォルトの機能ではサイバー攻撃に対する最大限の保護が得られない可能性があるため、適切なファイアウォールの構成も不可欠です。NGFWなどの最新のファイアウォールには、これらの機能が組み込まれている場合があります。

モノのインターネット（IoT）やエンド ユーザー デバイスの増加を含め、ネットワーク境界を通過するデバイス、ユーザー、アプリケーションが増えているため、今日のデジタル環境はこれまで以上に複雑になっています。また、ITチームやセキュリティ チームによる全体的な一元管理は減少しています。

これらすべての要素によって、企業はサイバー攻撃に対してより脆弱になる可能性があります。つまり、ファイアウォールの仕組み、利用可能な種類、ネットワークのさまざまな領域の保護に最適なファイアウォールについて理解することが重要です。

ファイアウォールの種類ごとに長所と短所があるため、多くの場合、組織ではこれらの種類を組み合わせて使用して、多層型のネットワーク レベルの防御戦略を立てています。ファイアウォールには主に5つの種類があり、段階的に高度な保護レベルを提供します。

1. パケット フィルタリング型ファイアウォール：これらのファイアウォールは、ネットワークを通過するデータの「パケット」を検査します。送信元IPアドレスと宛先IPアドレス、ポート、プロトコルなどのパケット ヘッダー情報を分析します。また、事前に定義されたルールに基づいて、パケットを許可またはブロックします。パケット フィルタリング型ファイアウォールは比較的シンプルで効率的ですが、パケットのコンテンツを検査する機能がありません。
   
2. ステートフル インスペクション ファイアウォール：パケット フィルタリング アプローチと追加機能を組み合わせます。ネットワーク接続の状態を記録し、この情報を使用して、パケットの許可またはブロックに関してより情報に基づいた意思決定を行います。接続の状態を追跡するため、IPスプーフィングなどの特定の種類の攻撃を特定して防御することができます。
3. アプリケーション レベル ゲートウェイ（プロキシ型ファイアウォール）：アプリケーション レベル ゲートウェイ（プロキシ型ファイアウォールとも呼ばれる）は、ネットワーク スタックのアプリケーションレイヤで動作します。クライアントとサーバ間の仲介役として機能し、アプリケーション レベルでトラフィックの検査とフィルタリングを行います。パケットのコンテンツを分析できるため、特定の種類の脅威をより効果的に検出してブロックできます。ただし、組織はプロキシ機能によって遅延が発生する場合があることに注意が必要です。
4. 次世代ファイアウォール（NGFW）：これらのソリューションは、ネットワーク ファイアウォール、IPS、URLフィルタリング/セキュアWebゲートウェイ、マルウェア対策、VPN接続などの機能をバンドルしており、Enterprise Defenseの主要ツールとして機能します。
5. Web Application Firewall（WAF）：WAFは、組織に甚大な影響を与える可能性のある重大な脆弱性を軽減するための重要な応急対策として機能します。最新のWAFは、シグネチャ、脅威インテリジェンス、動作分析を組み合わせて使用し、アプリケーション サービス拒否（L7 DoS）や個人情報（PII）などの機密データの漏洩を含むさまざまな脅威から防御できます。

ファイアウォールは、サイバー脅威に対する重要な信頼できる防御手段です。ファイアウォールがネットワークへの不正アクセスを防止する仕組みについて説明します。

ブラウジング中に不明なリンクやポップアップ広告をクリックすることの危険性は誰もが知っていますが、それだけではデバイスとネットワークを安全に保つ上で十分とは言えません。ファイアウォールがネットワークとデータを保護する最初の防御策であるのはこのためです。

ファイアウォールは、潜在的なハッカーが機密データにアクセスするのをフィルタリングしてブロックする役割を果たします。ファイアウォールには多くの種類があり、さまざまな戦略を使用して情報を安全に保ちます。ファイアウォールは、さまざまなセキュリティ問題を引き起こす可能性のある悪質なソフトウェアからもコンピュータを保護します。

ファイアウォールは、ネットワークやシステムに対するさまざまな潜在的な脅威を防ぐように設定されています。ファイアウォールが阻止するように設計されている主な脅威をいくつか紹介します。

• 不正アクセス：ファイアウォールは、バックドア、サービス拒否（DoS）攻撃、リモート ログイン、フィッシング メール、ソーシャル エンジニアリング、スパムなど、さまざまなツールを使用して侵入するハッカーによる不正アクセスからネットワークを保護します。
• サイバー脅威：ファイアウォールはゲートキーパーとして機能し、ウイルスなどの外部の脅威を軽減するように設計されています^。ネットワーク トラフィック内のすべてのデータ パケットを検査して認証してから、より安全な環境に移動できるようにします。

アプリケーション レイヤでのトラフィックのフィルタリングは、従来のパケット フィルタリングに比べて、ネットワークに出入りするものをより細かく制御できるセキュリティ対策です。パケット フィルタリングは、IPアドレスとポート番号に基づいて特定の種類のトラフィックをブロックまたは許可するために使用できますが、データの実際のコンテンツを調べることで、それ以上の防御を提供します。

ALFを使用すると、SMTP、POP3、DNS、HTTPなどのアプリケーション レイヤ プロトコルに基づいてトラフィックをフィルタリングできます。これにより、バッファ オーバーフロー、Webサーバ攻撃、SSLトンネル内に潜んでいる攻撃コードなど、これらのプロトコルの脆弱性を利用する攻撃を防ぐことができます。

アプリケーション レイヤでのトラフィックのフィルタリングにより、次のことも可能になります。

• アプリケーション レイヤ攻撃の防止：データ パケットのコンテンツを分析することで、ALFはアプリケーション レイヤ プロトコルの非準拠である、または脆弱性を悪用する悪質なトラフィックを検出してブロックできます。
• データ漏洩の防止：データ パケットのコンテンツを検査することで、ALFは機密情報を検出し、ネットワークから流出するのをブロックできます。
• 特定のアプリケーションへのアクセスの制御：ALFにより、使用される特定のアプリケーションまたはプロトコルに基づいてトラフィックを選択的に許可または拒否できます。
• セキュリティ ポリシーの実施：ALFにより、アプリケーション レイヤでセキュリティ ポリシーを定義および実施して、認可済みのトラフィックのみが許可されるようにすることができます。

ファイアウォールは、さまざまなサイバー脅威を防ぐための重要な武器となり得ます。

ファイアウォールは、過剰なトラフィックを識別してフィルタリングすることで、DDoS攻撃を軽減するのに役立ちます。ファイアウォールは、スロットリング、ロード バランシング、IPアドレスの拒否リスト登録などの手法を使用してDDoS攻撃に対抗できますが、正当なトラフィックと悪質なトラフィックを効果的に区別できない場合があります。さらに、ファイアウォールのステートフルな特性とステートフル パケット インスペクション（SPI）への依存により、ステート枯渇攻撃に対して脆弱になります。

効果的に保護するには、ステートレスまたはセミステートレスで動作する、もしくは堅牢な接続管理およびリーピング機能を備えた、インテリジェントなDDoS軽減ソリューションを実装することをお勧めします^。これらのソリューションは主にステートレス パケット処理技術を使用し、OSIモデルのレイヤ3、4、7でのトラフィック スクラビングなどの機能を統合します。これらのソリューションは、IPアドレスからのトラフィックをすべてブロックするのではなく、各着信パケットを個別に処理することで、効果的にDDoS攻撃を軽減できます。ほとんどの場合、ボリューム型DDoS攻撃を受けた際に受信帯域幅が枯渇するのを防ぐには、クラウド スクラビングが必要です。

マルウェアやウイルスに感染したデータがネットワークに侵入するのを防ぐという点では、ファイアウォールは、事前に決められたセキュリティ ルールに基づいて受信トラフィックをフィルタリングすることで、ある程度の保護を提供できます。ファイアウォールは、既知の悪質なIPアドレスをブロックし、特定のポートへのアクセスを制限して、ネットワーク パケットに疑わしいコンテンツがないか検査できます。ただし、ファイアウォールだけでは、マルウェアやウイルスに対する包括的な保護を提供するには不十分です。

マルウェアやウイルスの脅威に効果的に対抗するために、通常、組織では次のようなセキュリティ対策を組み合わせて採用しています。

• ウイルス対策ソフトウェア：ウイルス対策ソフトウェアは、ファイルとプログラムをスキャンして既知のマルウェアの署名と動作パターンを検出し、感染したシステムから悪質なコードを検出して削除することができます。
• 侵入検知/防止システム（IDS/IPS）：IDS/IPSソリューションは、ネットワーク トラフィックを監視して悪質なアクティビティの兆候を検出し、疑わしい動作をブロックしたり、警告したりすることができます。
• メール フィルタリング：メール フィルタリング ソリューションは、マルウェアやウイルスがメールの添付ファイルやリンクを介して配信されるのを防ぐことができます。
• ユーザーの教育と意識向上：安全なブラウジング習慣、不審なダウンロードの回避、フィッシングの試みの認識についてユーザーを教育することで、マルウェア感染のリスクを大幅に軽減できます。

最新のNGFWは、ネットワーク、クラウド、エンドポイント、メールの脅威ベクトル全体にわたって統一された防御を提供できるセキュリティ アーキテクチャに拡張されています。

さらに、最新のWAFは、アプリケーション セキュリティ、API保護、ボット管理、DDoS軽減を統合するWeb App and API Protection（WAAP）プラットフォームへと進化しています。

これらのセキュリティ対策をファイアウォールと組み合わせることで、組織は新たな脅威に対する堅牢な防御を構築できます。

複雑なネットワークは通常、ネットワーク セグメント、つまり大規模なネットワークを構成する小さな物理コンポーネントまたは論理コンポーネントと考えられます。これにより、セキュリティ チームは脅威が発生した場合にネットワークのセクションを迅速に閉鎖でき、広大なエンタープライズ ネットワーク アーキテクチャの管理が合理化されます。

セグメント間を行き来する通信では、トラフィックがルーターまたはファイアウォールを通過して、他のネットワーク セグメントに渡される前に検査されます。この戦略により、システム全体にセキュリティの冗長性が追加され、ネットワーク全体のセキュリティが強化されます。

ネットワークの入口と出口にファイアウォールを配置すると、トラフィック フローを監視および制御することでセキュリティが向上します。内部ネットワークでは機密データが処理されますが、これらのネットワーク間の接続は、内部トラフィックと外部トラフィック間のネットワーク接続よりも許容度が高い可能性があります。ただし、機密データはユーザー間で頻繁に転送される必要があるため、考慮すべき固有のネットワーク脅威があります。各ネットワーク セグメントでは、セキュリティ チームはさまざまなレベルのセキュリティ対策を備えた多様な境界を構築できます。

ファイアウォール（物理ファイアウォールとソフトウェア ファイアウォールの両方）は、ファイアウォール プロバイダ、ご利用のITサービス、またはファイアウォールと連携するその他のソフトウェアによって構築され有効化されたルールを使用して送受信データを分析します。このデータをフィルタリングすることで、ファイアウォールはトラフィックが正当であるかどうか、最終目的地への通過を許可するかどうかを判断できます。

アクセス コントロール リスト（ACL）は、ファイアウォールによって許可または拒否されるトラフィックを定義する権限の順序付きリストです。ファイアウォールはACLを使用して、送信元、宛先、ポート、およびその他の条件に基づいてトラフィックをフィルタリングします。ACLは、受信方向または送信方向のいずれかでファイアウォール インターフェイスに適用されます。ファイアウォールは、ネットワークの一部を通過するトラフィックを検査し、ACLに基づいて判断します。NGFWとWAFはアプリケーションを認識し、DNS、URLクエリ、Webコンテンツなどのトラフィック フローの他の側面を検査できます。

VPN接続を利用している企業は、ファイアウォールを使用してそれらの接続の保護に役立てています。ファイアウォールは、ネットワーク トラフィックのフィルタとして機能し、疑わしい送信元からの受信トラフィックを受け取る際のあらゆるインスタンスを防ぐことで、VPNを支援します。ファイアウォールは、デバイスとネットワークから移動するデータを脅威から保護します。ファイアウォールがVPNサーバの背後に設置されている場合、フィルタを使用してVPN固有のパケットのみが通過できるように構成されます。同様に、ファイアウォールがVPNの前面に設置されている場合、ファイアウォールはインターネット インターフェイス上のトンネル データのみがサーバに渡されるように構成されます。

TLSは、インターネット経由の通信に対するプライバシーとデータ セキュリティを促進するために設計された、広く採用されているセキュリティ プロトコルです。ファイアウォールは、TLSで暗号化されたトラフィックを含む、アプリケーション レイヤでネットワーク トラフィックを検査およびフィルタリングするように構成できます。ファイアウォールは、TLSで暗号化されたトラフィックを復号化して検査することで、データ パケットの内容を分析し、セキュリティ ポリシーを適用して脅威や脆弱性から保護できます。

一部のファイアウォールはTLS検査をサポートしています。これには、TLSで暗号化されたトラフィックを復号化し、潜在的な脅威やポリシー違反がないか検査し、宛先に転送する前に再暗号化することが含まれます。これにより、ファイアウォールは暗号化されたトラフィックを分析し、復号化されたコンテンツに基づいて、悪質なトラフィックや不正なトラフィックをブロックするなどのセキュリティ対策を適用できます。暗号化された通信のプライバシーと整合性を確保するには、TLS検査を慎重に実施する必要があります。

今日のビジネス環境では、必ずと言っていいほどインターネットを介して業務が行われています。顧客や従業員がどこにいても連絡を取ってほぼリアルタイムで要求に応えるには、インターネット プレゼンスが広範で信頼性が高く、安全でなければなりません。会社がインターネット経由でデータを送受信する場合、ネットワーク セキュリティ プロトコルの一部としてファイアウォールを導入することが重要です。

インターネット接続のファイアウォールは、内部ネットワークのファイアウォールとほぼ同じように動作します。インターネットからネットワークにデータが入ろうとすると、ファイアウォールがまず評価を行います。ファイアウォールがデータを安全だと判断すると、データは会社のネットワークに入ることができます。安全でないと判断されると、その場で阻止されます。

ファイアウォールに強力な制御を適用して、内部ネットワークを外部接続（インターネット）から保護することは非常に重要です。外部ソースからの悪質な攻撃が発生する可能性だけでなく、データ漏洩も重大な懸念事項です。ファイアウォールは、不要なコンテンツや不正なユーザーがネットワークやアプリケーションにアクセスするのを防ぐことができます。また、プロトコル設定とIPアドレスに基づいてセキュリティを保証するのにも役立ちます。ファイアウォールは、さまざまな面でデータと操作を保護するように設計されています。ただし、APIベースのシステムへの進化によってもたらされた最新のアプリケーションの複雑さや、脆弱性、不正使用、構成ミス、アクセス制御バイパスによるリスク対象の拡大により、WAFおよびWAAPプラットフォームに見られるさらに専門的な防御策が必要になります。

より細かなレベルでは、ファイアウォールは、コンピュータまたはネットワークとインターネットの間のゲートキーパーとして機能します。また、ファイアウォールを通過させるトラフィックの種類を決定するための定義済みの分類やその他の仕様を使用して、Webトラフィックをブロックするように構成することもできます。例えば、「ゲーム」または「ソーシャル ネットワーキング」に分類されるあらゆるWebサイトをブロックするように、コンテンツ フィルタリングを設定できます。

URLフィルタリングは、特定のURLが会社のネットワークに読み込まれないようにブロックする方法です。手動でURLを入力するか、ブロックするURLのカテゴリを選択することで、特定のURLをブロックするようにファイアウォールを設定できます。従業員がブロックされたURLにアクセスしようとすると、そのコンテンツがブロックされていることを通知するページにリダイレクトされます。

そうすることで、これらのファイアウォールは、ユーザーが必要とするすべてのものにアクセスでき、必要のないものには一切アクセスできない、一貫した信頼性の高いユーザー エクスペリエンスを提供します。

インターネットでは基準が絶え間なく変化するため、インターネット向けファイアウォールは、その有効性に影響を及ぼすさまざまな課題に直面する可能性があります。一般的な課題をいくつか紹介します。

• ソフトウェアの脆弱性：他のソフトウェアと同様に、ファイアウォールにも攻撃者が悪用できる脆弱性が存在する可能性があります。ファームウェアの脆弱性はリスクをもたらし、セキュリティ侵害につながる可能性もあります。既知の脆弱性に対処し、ネットワークを保護するには、ファイアウォールのソフトウェアとファームウェアを定期的に更新することが重要です。
  
• 構成ミス：構成ミスはファイアウォール侵害の主な原因となっています。ユーザー エラーや不十分な調査が原因でファイアウォールの設定が正しくない場合に発生します。構成ミスにより、組織は不正アクセス、データ侵害、計画外のサービス停止に対して脆弱になる可能性があります。
• 独自の脅威インテリジェンスへの依存：一部のファイアウォールは、脅威を検出してブロックするために独自の閉鎖的な脅威インテリジェンスに依存しているため、常に変化する脅威の状況に合わせて進化する能力が制限されます。ネットワークを効果的に保護するには、ファイアウォールが最新の脅威インテリジェンスにアクセスできるようにすることが重要です。
• アプリケーション レベルの攻撃：従来のネットワーク ファイアウォールは、クロスサイト スクリプティング、SQLインジェクション、強制ブラウジング、Cookieポイズニングなどの脆弱性を悪用するアプリケーション レベルの攻撃を阻止する上で効果的でない場合があります。これらの攻撃は特にアプリケーションを標的としており、リスクを軽減するにはWeb Application Firewall（WAF）などの専門的な保護メカニズムが必要です。
• 広範なSSL/TLS接続：インターネット トラフィックは大部分が暗号化されており、従来のファイアウォールやNGFWファイアウォールの多くは大規模な復号化を実行するように設計されていません。さらに、ほとんどのセキュリティ エコシステムではさまざまなツールによる検査が必要であるため、セキュリティとユーザーのプライバシーのバランスを取るには、一元管理型の復号化および暗号化ブローカーが必要になります。