ファイアウォールとは何か？簡潔に説明します

ファイアウォールの主な目的は、内部ネットワークやデバイスとインターネットの外部トラフィックとの間にバリアを作ることです。しかし、なぜバリアが必要なのでしょうか？

それは、インターネット上には、システムやデバイスを危険にさらそうとする、ウイルスやマルウェア、ハッキングなどを含む悪意のあるトラフィックがたくさんあるからです。ファイアウォールは、そのような脅威をブロックし、不正アクセスを防ぐことで、ネットワーク保護の役割を果たします。

外部トラフィックは、デバイスのエントリポイントであるポートを介してのみプライベートネットワークに到達することができます。これは通常、ファイアウォールがトラフィックをガードする場所です。

ポートはパソコンやサーバーのすべての通信の出入り口で、サイバー攻撃者やハッカーは、このポートから侵入を試みます。ソフトウェアによっては常にポートが開きっぱなしになっていることもあるので制御が必要です。

この状況で、ファイアウォールが一役買って出るのです。ファイアウォールの仕組みは、アクセス制御リストと呼ばれるルールに従って、データパケットを許可またはブロックしてくれます。これらのルールは、IP アドレス、ドメイン名、ポート、プロトコル、プログラム、またはキーワードに基づきます。

ファイアウォールにはさまざまなタイプがあります。それぞれのメリット・デメリットとともに以下で紹介します。

ソフトウェア型ファイアウォール

ソフトウェア型ファイアウォールは、その名の通り、デバイスにインストールされているファイアウォールのこと。ネットワーク全体ではなく、個々のデバイスを保護するシステムなので、個々のネットワークエンドポイントを分離したい場合に最適です。

そのため、個人利用には適していますが、企業のネットワークには適していないファイアウォールです。個別のファイアウォールをたくさん維持するのは難しく、時間がかかります。また、すべてのデバイスが選択したファイアウォールソフトウェアと互換性があるとは限りません。

ハードウェア型ファイアウォール

ハードウェア型ファイアウォールは、ルータに似た物理的な機器です。このファイアウォールはネットワークに到達する前にデータパケットを検査するため、企業のネットワークに向いています。

しかし、ハードウェア型ファイアウォールには欠点もあります。システム内の攻撃の影響を受けやすいこと、また中には複数の同時接続に対応できないものがあることです。

クラウド型ファイアウォール

クラウド型ファイアウォールはクラウドサーバーを使用しており、プロキシサーバーとして設定されていることが多いです。プロキシファイアウォールと呼ばれることもあります。

より多くの容量を追加し、トラフィック負荷の管理がソフトウェアやハードウェア型のファイアウォールよりもはるかに簡単になるため、ビジネスの拡大を計画している企業に最適です。

パケットフィルタリング型ファイアウォール

これらのファイアウォールは、ルータを通過するデータパケットをチェックします。パケットの内容を検査するためにパケットの中を「覗く」ことはありませんが、送信者と受信者のIPアドレス、パケットタイプ、ポート番号、その他の表面レベルの情報をチェックします。

サーキットレベルゲートウェイ型ファイアウォール

サーキットレベルゲートウェイ型ファイアウォールもかなりシンプルで、処理能力やリソースを多く必要としません。パケットフィルタリング型のように、ゲートウェイはパケットの中は覗きません。パケットが通過するためには、送信制御プロトコル（TCP）の3ウェイハンドシェイクによって承認された正当なソースからのものである必要があります。

しかし、これだけではセキュリティを確保できることはほとんどありません。パケットはTCP接続から来ていても、マルウェアを隠している可能性があるからです。

ステートフルインスペクション型ファイアウォール

ステートフルインスペクション型ファイアウォールは、前述の 2 つのファイアウォールを混ぜたものです。TCPのハンドシェイクを介してパケットをフィルタリングし、正当なソースから来たものかどうかを確認することで、より良いサイバーセキュリティを確保します。

しかし、より多くの機能を持っているため、より高い処理能力が必要となります。

アプリケーションレベルのゲートウェイまたはプロキシファイアウォール

プロキシファイアウォールと呼ばれるアプリケーションレベルのゲートウェイは、アプリケーション層で動作します。これらのゲートウェイは、内部ネットワークとトラフィックソース間のトラフィックをチェックします。

これは、最初にプロキシサーバー、または他のクラウドベースのソリューションにトラフィックを渡すことによって行われ、プロキシサーバーは受信データパケットを検査してから、ネットワーク上に渡すことを許可します。

プロキシファイアウォールは、データパケットと TCPハンドシェイクの両方を検査するので、ステートフルインスペクション型に若干似ています。両者の主な違いは、プロキシファイアウォールはパケットの目的を尋ねるということです。パケットの内容をチェックし、深層パケット検査 (DPI) を実行します。

プロキシサーバーはまた、トラフィックソースからネットワークを分離し、ネットワークに匿名性と追加の保護レイヤーを提供します。プロキシサーバーはより優れた防御ラインを提供しますが、パケットの検査に時間がかかるため、接続が遅くなる可能性があります。

次世代ファイアウォール

新しいファイアウォールの多くは次世代ファイアウォールと呼ばれています。しかし、次世代ファイアウォールが持つべき機能についてはまだ明確に説明できません。

DPI、TCPハンドシェイクチェック、表面レベルのパケット検査、侵入防止システム（IPS）や暗号化トラフィック検査などの新機能が期待できますが、入手する前にその仕様を確認する必要があります。

お使いのデバイスのセキュリティ確保を検討している方のために、ファイアウォールの仕組みと、その種類を紹介しました。ご自身に適切なファイアウォールを選択して設定するためには、ある程度の知識が必要となります。ぜひこの記事を参考にしていただければと思います。

また、ファイアウォールに加えて、さらに強固なセキュリティを手に入れたい方は、オールラウンドで利用できるVPNサービスを利用するのも一つの手です。VPNを導入して、セキュリティ対策にお役立てください。