ファイアウォール セキュリティとは何ですか? インフラストラクチャを保護する方法

ファイアウォールは、不要なトラフィックからネットワークを保護するネットワーク セキュリティ ソリューションです。 ファイアウォールは、事前にプログラムされた一連のルールに基づいて、マルウェアなどの侵入する脅威をブロックします。 最新のファイアウォールには、侵入防止システム (IPS) や URL フィルタリングなどの追加機能も含まれており、セキュリティ チームはルールを拡張して、ネットワーク内のユーザーが特定の Web サイトやアプリケーションにアクセスできないようにすることができます。

NGFW と WAF の主な違いは、NGFW は主にアウトバウンド トラフィックとその結果生じる戻りフローを監視して、リスクが企業に戻るのを防ぐことです。 一方、WAF は Web アプリを侵入する脅威から保護します。

ファイアウォールは、インターネット経由で接続された外部ソースなど、安全性の低い環境からのネットワーク トラフィックは、より安全な環境に移動する前に認証および検査する必要があるという単純な考えに基づいています。 これにより、許可されていないユーザー、デバイス、アプリケーションが保護されたネットワーク環境またはセグメントに侵入するのを防ぎます。 ファイアウォールがないと、ネットワーク内のコンピューターやデバイスがハッカーの攻撃を受けやすくなり、攻撃の標的になりやすくなります。 しかし、クラウドや SaaS ベースのアプリが広く採用されるようになったため、ネットワーク境界はほぼ解消されました。

ほとんどの組織では、今日の複雑で絶えず変化するサイバー脅威の状況から確実に保護するために、ファイアウォールの導入に加えて追加のセキュリティ ソリューションを使用しています。 しかし、ファイアウォールは依然として、適切なサイバーセキュリティ システムを構築するための基本的な構成要素であると考えられています。

ファイアウォールは、サイバー攻撃に対する第一防衛線の一部として、送信トラフィック、アプリケーション層トラフィック、オンライン トランザクション、通信と接続 (IPSec や SSL VPN など)、動的ワークフローなど、すべてのトラフィックの重要な監視とフィルタリングを提供します。 デフォルトの機能ではサイバー攻撃に対する最大限の保護が得られない可能性があるため、適切なファイアウォール構成も不可欠です。 NGFW などの最新のファイアウォールには、これらの機能がバンドルされている場合があります。

今日のデジタル環境は、モノのインターネット (IoT) やエンドユーザー デバイスの増加など、ネットワーク境界を通過するデバイス、ユーザー、アプリケーションが増加しているため、かつてないほど複雑になっています。 また、IT チームとセキュリティ チームによる全体的な集中管理も低下しています。

これらすべてにより、企業はサイバー攻撃に対してより脆弱になる可能性があります。 つまり、ファイアウォールがどのように機能するか、どのような種類があるのか、ネットワークのさまざまな領域を保護するためにどれが最適かを理解することが重要です。 

各タイプのファイアウォールにはそれぞれ長所と短所があり、組織ではこれらのタイプを組み合わせて階層化されたネットワーク レベルの防御戦略を作成することがよくあります。 ファイアウォールには主に 5 つの種類があり、段階的に高度な保護レベルが提供されます。

1. パケットフィルタリングファイアウォール: これらのファイアウォールは、ネットワークを通過するデータの「パケット」を検査します。 送信元と宛先の IP アドレス、ポート、プロトコルなどのパケット ヘッダー情報を分析します。 事前に定義されたルールに基づいて、パケットを許可またはブロックします。 パケットフィルタリングファイアウォールは比較的シンプルで効率的だが、パケットの内容を検査する機能がない。 。
   
2. ステートフル インスペクション ファイアウォール: パケット フィルタリング アプローチと追加機能を組み合わせます。 ネットワーク接続の状態を記録し、この情報を使用して、パケットの許可またはブロックに関するより情報に基づいた決定を下します。 接続の状態を追跡するため、 IP スプーフィングなどの特定の種類の攻撃を識別して防御することができます。
3. アプリケーションレベルゲートウェイ（プロキシファイアウォール） : アプリケーション レベル ゲートウェイ (プロキシ ファイアウォールとも呼ばれます) は、ネットワーク スタックのアプリケーション層で動作します。 これらはクライアントとサーバーの間の仲介役として機能し、アプリケーション レベルでトラフィックを検査およびフィルタリングします。 パケットの内容を分析できるため、特定の種類の脅威をより効果的に検出してブロックできます。 ただし、プロキシ機能によって遅延が発生する可能性があることに組織が気付く場合もあります。
4. 次世代ファイアウォール (NGFW) : これらのソリューションは、ネットワーク ファイアウォール、IPS、URL フィルタリング/セキュア Web ゲートウェイ、マルウェア防止、VPN 接続などの機能をバンドルしており、企業防御の主要ツールとして機能します。
5. Web アプリケーション ファイアウォール (WAF): WAF は、組織に壊滅的な影響を及ぼす可能性のある重大な脆弱性を軽減するための重要な一時しのぎとして機能します。 最新の WAF は、シグネチャ、脅威インテリジェンス、行動分析を組み合わせて使用し、アプリケーション サービス拒否 (L7 DoS) や個人識別情報 (PII) などの機密データの漏洩など、さまざまな脅威から防御できます。

ファイアウォールは、サイバー脅威に対する適切かつ信頼性の高い防御手段であり続けます。 ネットワークへの不正アクセスを防ぐために、これらがどのように機能するかを説明します。

ブラウジング中に不明なリンクやポップアップ広告をクリックすることの危険性については誰もが知っていますが、それだけではデバイスとネットワークを安全に保つのに十分ではありません。 そのため、ファイアウォールはネットワークとデータを保護するための最初の防御線となります。

ファイアウォールは、潜在的なハッカーが機密データにアクセスするのをフィルタリングしてブロックすることで機能します。  情報を安全に保つためにさまざまな戦略を使用するファイアウォールには多くの種類があります。 ファイアウォールは、さまざまなセキュリティ問題を引き起こす可能性のある悪意のあるソフトウェアからもコンピューターを保護します。

ファイアウォールは、ネットワークとシステムに対するさまざまな潜在的な脅威から防御するために設定されます。 以下は、阻止するように設計された主な脅威の一部です。

• 不正アクセス: ファイアウォールは、バックドア、サービス拒否 (DoS) 攻撃、リモート ログイン、フィッシング メール、ソーシャル エンジニアリング、スパムなど、さまざまなツールを使用して侵入するハッカーによる不正アクセスからネットワークを保護します。
• サイバー脅威: ファイアウォールはゲートキーパーとして機能し、ウイルスなどの外部の脅威を軽減するように設計されています^。 ネットワーク トラフィック内のすべてのデータ パケットを検査して認証してから、より安全な環境に移動できるようにします。

アプリケーション層でのトラフィック フィルタリングは、従来のパケット フィルタリングと比較して、ネットワークに出入りする内容をより詳細なレベルで制御できるセキュリティ対策です。 パケット フィルタリングは、IP アドレスとポート番号に基づいて特定の種類のトラフィックをブロックまたは許可するために使用できますが、データの実際の内容を調べることでそれ以上のことが可能になります。

ALF を使用すると、SMTP、POP3、DNS、HTTP などのアプリケーション層プロトコルに基づいてトラフィックをフィルタリングできます。 そうすることで、バッファ オーバーフロー、Web サーバー攻撃、SSL トンネル内に隠された攻撃コードなど、これらのプロトコルの脆弱性を利用する攻撃を防ぐことができます。

アプリケーション層でのトラフィック フィルタリングにより、次のことも可能になります。

• アプリケーション層攻撃を防ぐ: ALF は、データ パケットの内容を分析することで、準拠していない、またはアプリケーション層プロトコルの脆弱性を悪用する悪意のあるトラフィックを検出してブロックできます。
• データ漏洩を防ぐ: ALF はデータ パケットの内容を検査することで、機密情報を検出し、ネットワークから流出するのをブロックできます。
• 特定のアプリケーションへのアクセスを制御する: ALF を使用すると、使用される特定のアプリケーションまたはプロトコルに基づいてトラフィックを選択的に許可または拒否できます。
• セキュリティポリシーの適用: ALF を使用すると、アプリケーション層でセキュリティ ポリシーを定義および適用して、許可されたトラフィックのみが許可されるようにすることができます。

ファイアウォールは、さまざまなサイバー脅威を防ぐための重要な武器です。

ファイアウォールは、過剰なトラフィックを識別してフィルタリングすることで、DDoS 攻撃を軽減するのに役立ちます。 ファイアウォールは、スロットリング、負荷分散、IP アドレスのブラックリスト化などの技術を使用して DDoS 攻撃に対抗できますが、正当なトラフィックと悪意のあるトラフィックを効果的に区別できない可能性があります。 さらに、ファイアウォールのステートフルな性質とステートフル パケット インスペクション (SPI) への依存により、ファイアウォールはステート枯渇攻撃に対して脆弱になります。

から効果的に保護するには、ステートレスまたはセミステートレスで動作するか、堅牢な接続管理およびリーピング機能を備えたインテリジェントな DDoS 緩和ソリューションを実装することをお勧めします^。 これらのソリューションは主にステートレス パケット処理テクノロジを使用し、OSI モデルのレイヤー 3、4、7 でのトラフィック スクラブなどの機能を統合します。 これらのソリューションは、IP アドレスからのすべてのトラフィックをブロックすることなく、各着信パケットを個別に処理することで、 DDoS 攻撃を効果的に軽減できます。 ほとんどの場合、ボリューム型 DDoS 攻撃中に入力帯域幅が使い果たされるのを防ぐために、クラウド スクラビングが必要です。

マルウェアやウイルスに感染したデータがネットワークに侵入するのをブロックすることに関しては、ファイアウォールは、事前に定義されたセキュリティ ルールに基づいて受信トラフィックをフィルタリングすることで、ある程度の保護を提供できます。 既知の悪意のある IP アドレスをブロックし、特定のポートへのアクセスを制限し、ネットワーク パケット内の疑わしいコンテンツを検査できます。 ただし、ファイアウォールだけでは、マルウェアやウイルスに対する包括的な保護を提供するには不十分です。

マルウェアやウイルスの脅威に効果的に対抗するために、組織は通常、次のようなセキュリティ対策を組み合わせて採用します。

• ウイルス対策ソフトウェア: ウイルス対策ソフトウェアは、ファイルとプログラムをスキャンして既知のマルウェアのシグネチャと動作パターンを検出し、感染したシステムから悪意のあるコードを検出して削除するのに役立ちます。
• 侵入検知/防止システム（IDS/IPS） ： IDS/IPS ソリューションは、ネットワーク トラフィックを監視して悪意のあるアクティビティの兆候を検出し、疑わしい動作をブロックしたり警告したりすることができます。
• メールフィルタリング: 電子メール フィルタリング ソリューションは、電子メールの添付ファイルやリンクを介してマルウェアやウイルスが配信されるのを防ぐのに役立ちます。
• ユーザーの教育と意識向上: 安全なブラウジング習慣についてユーザーを教育し、疑わしいダウンロードを避け、フィッシングの試みを認識することで、マルウェア感染のリスクを大幅に減らすことができます。

最新の NGFW は、ネットワーク、クラウド、エンドポイント、電子メールの脅威ベクトル全体にわたって統合された防御を提供できるセキュリティ アーキテクチャに拡張されています。

さらに、最新の WAF は、アプリケーション セキュリティ、API 保護、ボット管理、DDoS 緩和を統合する Web アプリおよび API 保護 (WAAP) プラットフォームへと進化しています。

これらのセキュリティ対策をファイアウォールと組み合わせることで、組織は新たな脅威に対するより強力な防御を構築できます。

複雑なネットワークは通常、大規模なネットワークを構成する小さな物理コンポーネントまたは論理コンポーネントであるネットワーク セグメントとして考えられます。 これにより、セキュリティ チームは脅威が発生した場合にネットワークの一部を迅速に閉鎖し、広範囲に広がるエンタープライズ ネットワーク アーキテクチャの管理を効率化できます。

セグメント間で通信が流れるようにするには、トラフィックがルーターまたはファイアウォールを通過して、他のネットワーク セグメントに渡される前に検査されるようにします。 この戦略により、システム全体にセキュリティの冗長性が追加され、ネットワーク全体のセキュリティが強化されます。 

ネットワークの入口と出口にファイアウォールを配置すると、トラフィック フローを監視および制御してセキュリティが向上します。 内部ネットワークは機密データを処理しますが、これらのネットワーク間の接続は、内部トラフィックと外部トラフィック間のネットワーク接続よりも許容度が高くなる可能性があります。 それでも、機密データはユーザー間で頻繁に送信される必要があるため、考慮すべき固有のネットワーク脅威が存在します。 各ネットワーク セグメントでは、セキュリティ チームはさまざまなレベルのセキュリティ保護を備えたさまざまな境界を作成できます。 

ファイアウォール（物理ファイアウォールとソフトウェアファイアウォールの両方）は、ファイアウォール プロバイダー、IT サービス、またはファイアウォールと連携するその他のソフトウェアによって作成され有効化されたルールを使用して、受信データと送信データを分析します。 このデータをフィルタリングすることで、ファイアウォールはトラフィックが正当であるかどうか、また最終目的地への通過を許可するかどうかを判断できます。

アクセス制御リスト (ACL) は、ファイアウォールによって許可または拒否されるトラフィックを定義する権限の順序付きリストです。 ファイアウォールは ACL を使用して、送信元、宛先、ポート、その他の基準に基づいてトラフィックをフィルタリングします。 ACL は、受信方向または送信方向のいずれかのファイアウォール インターフェイスに適用されます。 ファイアウォールは、ネットワークの一部を通過するトラフィックを検査し、ACL に基づいて決定を下します。 NGFW と WAF はアプリケーションを認識し、DNS、URL クエリ、Web コンテンツなどのトラフィック フローの他の側面を検査できます。

VPN 接続に依存する企業は、それらの接続を保護するためにファイアウォールを使用します。 ファイアウォールは、ネットワーク トラフィックのフィルターとして機能し、疑わしいソースからの着信トラフィックを受信するのを防ぐことで、VPN を促進します。 ファイアウォールは、デバイスやネットワークから移動するデータを脅威から保護します。 ファイアウォールが VPN サーバーの背後にインストールされている場合、VPN 固有のパケットのみが通過できるようにフィルターが構成されます。 同様に、ファイアウォールが VPN の前面にインストールされている場合、ファイアウォールは、インターネット インターフェイス上のトンネル データのみがサーバーに渡されるように構成されます。

TLS は、インターネット経由の通信におけるプライバシーとデータ セキュリティを促進するために設計された、広く採用されているセキュリティ プロトコルです。 ファイアウォールは、 TLSで暗号化されたトラフィックを含む、アプリケーション層でネットワーク トラフィックを検査およびフィルタリングするように構成できます。 ファイアウォールは、TLS で暗号化されたトラフィックを復号化して検査することにより、データ パケットの内容を分析し、セキュリティ ポリシーを適用して脅威や脆弱性から保護できます。

一部のファイアウォールはTLS 検査をサポートしています。これは、 TLS で暗号化されたトラフィックを復号化し、潜在的な脅威やポリシー違反がないか検査し、宛先に転送する前に再暗号化する処理です。 これにより、ファイアウォールは暗号化されたトラフィックを分析し、悪意のあるトラフィックや許可されていないトラフィックをブロックするなど、復号化されたコンテンツに基づいてセキュリティ対策を適用できます。 暗号化された通信のプライバシーと整合性を確保するには、TLS 検査を慎重に実装する必要があります。 

今日のビジネス環境では、インターネット経由でビジネスを行うことは実際には選択肢ではありません。 顧客や従業員がどこにいても連絡を取り、ほぼリアルタイムでリクエストに応えるには、インターネット プレゼンスが広範で信頼性が高く、安全でなければなりません。 会社がインターネットとの間でデータを送受信する場合、ネットワーク セキュリティ プロトコルの一部としてファイアウォールを導入することが重要です。

インターネット接続用のファイアウォールは、内部ネットワーク用のファイアウォールとほぼ同じように動作します。 データがインターネットからネットワークに侵入しようとする場合、ファイアウォールが最初の評価を行います。 ファイアウォールがデータを安全であると判断すると、データは会社のネットワークに進むことができます。 そうでなければ、その時点で停止します。

内部ネットワークを外部接続 (インターネット) から保護するファイアウォールに強力な制御を配置することが非常に重要です。 外部からの悪意のある攻撃が発生するだけでなく、データ漏洩も重大な懸念事項となります。 ファイアウォールは、不要なコンテンツや権限のないユーザーがネットワークやアプリケーションにアクセスするのを防ぐことができます。 また、プロトコル設定と IP アドレスに基づいてセキュリティを保証するのにも役立ちます。 ファイアウォールは、さまざまな面でデータと操作を保護するように設計されています。 しかし、API ベースのシステムへの進化によってもたらされた最新のアプリケーションの複雑さ、および脆弱性、不正使用、構成ミス、アクセス制御のバイパスによるリスク表面の拡大により、WAF および WAAP プラットフォームに見られるより専門的な防御が必要になります。

より詳細なレベルでは、ファイアウォールは、コンピューターまたはネットワークとインターネットの間のゲートキーパーとして機能することで役立ちます。 また、ファイアウォールを通過できるトラフィックの種類を決定するための定義済みの分類やその他の仕様を使用して、Web トラフィックをブロックするように構成することもできます。 たとえば、コンテンツ フィルタリングを設定して、「ゲーム」または「ソーシャル ネットワーキング」として分類されるすべての Web サイトをブロックすることができます。

URL フィルタリングは、特定の URL が企業ネットワークに読み込まれないようにブロックする方法です。 ファイアウォールは、特定の URL を手動で入力するか、ブロックする URL のカテゴリを選択することで、その URL をブロックするように設定できます。 従業員がブロックされた URL にアクセスしようとすると、そのコンテンツがブロックされていることを通知するページにリダイレクトされます。

そうすることで、これらのファイアウォールは、ユーザーが必要とするすべてのものにアクセスでき、必要のないものには一切アクセスできない、一貫性のある信頼性の高いユーザー エクスペリエンスを実現します。

インターネットでは絶え間ない変化が当たり前となっているため、インターネットに面したファイアウォールは、その有効性に影響を及ぼす可能性のあるさまざまな課題に直面する可能性があります。 一般的なものをいくつか挙げます:

• ソフトウェアの脆弱性: 他のソフトウェアと同様に、ファイアウォールにも攻撃者が悪用できる脆弱性が存在する可能性があります。 ファームウェアの脆弱性もリスクをもたらし、セキュリティ侵害につながる可能性があります。 既知の脆弱性に対処し、ネットワークを保護するには、ファイアウォールのソフトウェアとファームウェアを定期的に更新することが重要です。
  
• 誤った構成: ファイアウォール侵害の主な原因です。  これは、ユーザーエラーまたは調査不足によりファイアウォールの設定が不正確な場合に発生します。 誤った構成により、組織は不正アクセス、データ侵害、計画外の停止に対して脆弱になる可能性があります。
• 独自の脅威インテリジェンスへの依存: 一部のファイアウォールは、脅威を検出してブロックするために独自のクローズドな脅威インテリジェンスに依存しているため、常に変化する脅威の状況に合わせて進化する能力が制限されます。 ネットワークを効果的に保護するには、ファイアウォールが最新の脅威インテリジェンスにアクセスできることを確認することが重要です。
• アプリケーションレベルの攻撃: 従来のネットワーク ファイアウォールは、クロスサイト スクリプティング、SQL インジェクション、強制ブラウジング、Cookie ポイズニングなどの脆弱性を悪用するアプリケーション レベルの攻撃を阻止するのに効果的でない可能性があります。 これらの攻撃は特にアプリケーションを標的としており、リスクを軽減するにはWeb アプリケーション ファイアウォール (WAF)などの特殊な保護メカニズムが必要です。
• 広範な SSL/TLS 接続: インターネット トラフィックは大部分が暗号化されており、従来のファイアウォールや NGFW ファイアウォールの多くは大規模な復号化を実行するように設計されていません。 さらに、ほとんどのセキュリティ エコシステムではさまざまなツールによる検査が必要であり、セキュリティとユーザーのプライバシーのバランスを取るために集中型の復号化および暗号化ブローカーが必要になります。