ファイアウォールって、どんな役割をする?
インターネットは、自由に誰でも利用できる空間ですが、
しかし、自由にインターネットに接続することができるということは、
外部からの不正侵入を防ぐ仕組みが必要なってきます。
その仕組みがファイアウオールです。
インターネット上では、情報はパケットと呼ばれる情報の小包(情報伝送の一単位)に分割し
て送受信します
ファイアウォールは通過しようとするパケットを検査する機能を備えていて、あらかじめ許可
したパケットだけを通し、それ以外のパケットを遮断します。
ファイアウォールには、ソフトウェアで構築こともできますが、専用の通信機器を用いる場合
があります、その場合、専用の通信機器はコストが高いものの、性能面で優れているという
またファイアウォールには、IPヘッダーに含まれている情報を用いて通信を制御するパケット
フィルタリング、アプリケーションプログラムからの操作したときに、自動的にHTTPプロキ
シプログラムが起動され、ユーザーの代わりに外部にある目的のWebサーバへと通信を中継ア
プリケーションゲートウェイなどがあります。
通信の状況を監視し、不正な通信をシステム管理者に警告するIDSとIPS
ファイアウオールに加えてとられるセキュリティ対策として、IDS(侵入検知システム)と
IPS(侵入防止システム)があります。
IDSは、ネットワークを流れるパケットを監視したり、サーバー上で受信データやログを調べ
て不正侵入を見つけ、あらかじめ設定されていた警告などのアクションを起こします。
またIPSは、は不正侵入予防システムのことで、不正な通信を検知したときに、通信を遮断す
る機能をもっており、通信の監視だけではなく、不正な通信を遮断できるので、IDSよりも優れ
ていると言えますが、近年、自動的に遮断する機能をIDSに持たせることも増えてきました。
ファイアウオールとは異なった機能をもつWAFの役割
独立行政法人情報処理推進機構(IPA)は、WAF(WebApplicationFirewall)について「ウェブア
プリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護するソフト
ウェア、またはハードウェア」と説明していて、
また、「WAFは脆弱性を修正するといったウェブアプリケーションの実装面での根本的な対策
ではなく、攻撃による影響を低減する対策となります。
WAFは、WAFを導入したウェブサイト運営者が設定する検出パターンに基づいて、ウェブサイ
トと利用者間の通信の中身を機械的に検査します」と解説しています。
さらに、WAFのメリットとして、以下の3点があります。
・ウェブアプリケーションを脆弱性を悪用した攻撃から防御する
・脆弱性を悪用した攻撃を検出
・攻撃から複数のウェブアプリケーションをまとめて防御する
このようにWAFは、通信機器を用いた従来のファイアウオールとは異なった機能をもっている
ことがわかります。
許可された通信を利用した攻撃には対応できないファイアウオール
ファイアウオールは、ファイアウォールは、外部のインターネットと社内ネットワークの間で
出入りするデータを、事前に決めたルールをもとに交通整理します。
しかし、許可された通信を利用した攻撃には対抗することがでないので、これがファイア
ウォールの弱点と言えます。
例えば、バッファオーバーフロー(メモリ領域のバッファを超えて起こるバグ)や、
サーバアプリケーションの設定ミスをつく攻撃には対応することができません。
また、パケットを大量に送りつけてサービスを遅滞あるいは停止させるDDoS攻撃に対して
も、ファイアウオールでは対応することができないため、DDoS攻撃対策のためのハイクオリ
テイサービスの導入が重要になります。
まとめ
現在、さまざまなところで、さまざまなファイアウォールが使われています。
ファイアウォールは、ネットワークの「防火壁」でネットワークを利用するときには、無くて
はならないものとなっていますが、上記で説明したとおり、ファイアウォールを設置する場所
で分類すると、ネットワークの境界に置くゲートウエイ型と、パソコンやサーバーにインス
トールするパーソナル型の2種類に大別できます。
セキュリティを考えればゲートウエイ型とパーソナル型の両方を使うのは常識となっており、
ファイアウォールでセキュリティを守ることが一般化する現在の状況では、
攻撃する側がファイアウォールをすり抜けるためにさまざまな技術を駆使するようになってい
ます。
そこで、ファイアウォールもフィルタリングの動作を複雑なものに進化させているのです。