Overview
ファイアウォール(Firewall)とは、ネットワークの境界に設置され、内部ネットワークと外部ネットワーク(インターネット)の間を流れるトラフィックを監視・制御するセキュリティ機器またはソフトウェアのことです。あらかじめ定義されたルール(ポリシー)に基づいて、許可された通信のみを通過させ、不正なアクセスや悪意のあるトラフィックを遮断します。
ファイアウォールの名称は、建築物における防火壁(firewall)に由来しています。建物の火災が他の区画に延焼するのを防ぐ壁と同様に、ネットワーク上の脅威が内部システムに侵入するのを防ぐ役割を果たします。現代のネットワークセキュリティにおいて、ファイアウォールは最も基本的かつ不可欠な防御機構の一つとして位置づけられています。
企業ネットワークでは、ファイアウォールはインターネットとの接続点だけでなく、部門間のセグメント境界やデータセンター内部など、複数の箇所に配置されることが一般的です。多層防御(Defense in Depth)の考え方に基づき、外部境界のファイアウォールだけでなく、内部ファイアウォールを組み合わせることで、攻撃者がネットワーク内部に侵入した場合でも被害の拡大を抑制することができます。
近年では、クラウド環境の普及に伴い、仮想ファイアウォールやクラウドネイティブなファイアウォールサービスも広く利用されるようになりました。AWS Security GroupやAzure Network Security Groupなどがその代表例であり、従来の物理的なファイアウォールと同様のアクセス制御をクラウド上で実現しています。
Details
パケットフィルタリング型
最も基本的なファイアウォールの方式です。パケットのヘッダ情報(送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル)に基づいてフィルタリングを行います。処理が高速であるため、ルータに組み込まれることも多いですが、パケットの中身(ペイロード)を検査しないため、アプリケーション層の攻撃を検知することはできません。静的パケットフィルタリングでは、各パケットが独立して評価されるため、セッションの状態を把握できないという弱点があります。
ステートフルインスペクション型
ステートフルインスペクション(Stateful Inspection)は、通信セッションの状態を記録・追跡することで、より高度なフィルタリングを実現する方式です。TCPの3ウェイハンドシェイクの完了状態や、確立済みセッションに属するパケットかどうかを判定できるため、パケットフィルタリング型よりも精度の高い制御が可能です。現在のほとんどの商用ファイアウォールは、ステートフルインスペクション機能を標準で備えています。
アプリケーションゲートウェイ型(プロキシ型)
アプリケーション層(OSI参照モデルの第7層)でトラフィックを検査する方式です。HTTP、FTP、SMTPなどのプロトコルの中身を解析し、不正なコマンドやデータパターンを検出・遮断することができます。内部クライアントと外部サーバーの間に介在し、代理(プロキシ)として通信を中継するため、内部ネットワークのIPアドレスを外部に公開せずに済むというメリットがあります。ただし、処理負荷が高く、スループットが低下するケースもあります。
次世代ファイアウォール(NGFW)
次世代ファイアウォール(Next-Generation Firewall)は、従来のファイアウォール機能に加え、アプリケーション識別、侵入防止システム(IPS)、ディープパケットインスペクション(DPI)、SSLインスペクション、サンドボックス機能などを統合したものです。Palo Alto Networks、Fortinet FortiGate、Cisco Firepower、Check Point などが代表的な製品です。NGFWでは、ポート番号だけでなく、実際に通信しているアプリケーション(例:YouTube、Slack、Dropboxなど)を識別してポリシーを適用できるため、きめ細かなアクセス制御が可能です。
ファイアウォールの配置パターン
代表的な配置パターンとして、DMZ(非武装地帯)構成があります。外部向けファイアウォールと内部向けファイアウォールの間にDMZセグメントを設け、Webサーバーやメールサーバーなど外部公開が必要なサーバーを配置します。これにより、外部から直接内部ネットワークへのアクセスを遮断しつつ、必要なサービスのみを外部に公開することが可能になります。
Security Measures
- 01最小権限の原則に基づくルール設計:デフォルトですべての通信を拒否(deny all)し、業務に必要な通信のみを明示的に許可するホワイトリスト方式を採用します。不要なポートやプロトコルは確実に遮断してください。
- 02ルールの定期的な棚卸しと最適化:使用されていないルールや、期限切れの一時的なルールを定期的に確認・削除します。ルール数が増えすぎると管理が煩雑になり、設定ミスのリスクが高まります。少なくとも四半期ごとにルールレビューを実施しましょう。
- 03ファームウェアとシグネチャの最新化:ファイアウォール製品の脆弱性を悪用した攻撃が増加しています。ベンダーが提供するファームウェアアップデートやセキュリティパッチを速やかに適用し、IPSシグネチャも常に最新の状態に保ちます。
- 04ログの取得と監視の徹底:ファイアウォールのログをSIEM(Security Information and Event Management)に集約し、異常な通信パターンや大量の拒否ログを検知できる体制を構築します。ログの保存期間は最低でも1年間を確保することが推奨されます。
- 05管理インターフェースの保護:ファイアウォールの管理画面へのアクセスは、専用の管理ネットワークからのみ許可し、多要素認証(MFA)を導入します。デフォルトのパスワードは必ず変更し、強固なパスワードポリシーを適用してください。
- 06冗長構成(HA構成)の採用:ファイアウォールの障害がネットワーク全体の停止につながることを防ぐため、Active-Standby または Active-Active の高可用性(HA)構成を採用します。フェイルオーバーのテストも定期的に実施してください。
- 07変更管理プロセスの確立:ファイアウォールルールの変更は、申請・承認・実施・確認のプロセスを明確化し、変更履歴を記録します。無断でルールが変更されることを防ぐために、構成管理ツールの導入も検討しましょう。
Incidents
📋 Capital One 大規模情報漏洩事件(2019年)
2019年7月、米国の大手金融機関Capital Oneにおいて、約1億600万人分の個人情報が漏洩する事件が発生しました。原因は、AWS環境におけるWebアプリケーションファイアウォール(WAF)の設定ミスでした。攻撃者はSSRF(Server-Side Request Forgery)攻撃を利用し、WAFの設定不備を突いてIAMロールの認証情報を取得、S3バケットから大量の顧客データを窃取しました。この事件は、クラウド環境におけるファイアウォール設定の重要性を改めて認識させる契機となりました。
📋 Palo Alto Networks PAN-OS 脆弱性悪用事案(2024年)
2024年4月、Palo Alto Networks社のファイアウォール製品で使用されるPAN-OSにおいて、深刻なリモートコード実行の脆弱性(CVE-2024-3400)が発見されました。GlobalProtect機能に存在するこの脆弱性はCVSSスコア10.0と最高レベルの深刻度で、認証なしで任意のコマンドを実行可能でした。発見時点ですでにゼロデイ攻撃として悪用されており、世界中の組織が緊急パッチ適用を迫られました。ファイアウォール自体が攻撃の入口となり得ることを示す典型的な事例です。
📋 日本国内自治体のファイアウォール設定不備による情報漏洩(2020年)
2020年、日本の複数の自治体で、ファイアウォールの設定不備が原因で住民の個人情報が外部からアクセス可能な状態になっていたことが判明しました。一部のケースでは、ファイアウォールのルールが過度に緩く設定されており、本来内部ネットワークからのみアクセスすべきシステムが外部から到達可能になっていました。この事例は、初期設定の見直しと定期的なセキュリティ監査の必要性を強く示しています。