パソコンのお使いの方はファイアウォールを知っていますか?
名前だけ知ってる、という方も今回の記事からファイアウォールの知識を蓄えましょう!
パソコンのお使いの方はファイアウォールを知っていますか?
名前だけ知ってる、という方も今回の記事からファイアウォールの知識を蓄えましょう!
ファイアウォールとは、firewall: 防火壁のことですが、コンピュータ・セキュリティの分野では、予め設定したルールに従い、通してはいけない通信を止める機能のことを指します。
これをネットワークの分岐点に設置することにより、外部からの攻撃を阻止したり、内部からの望まない通信を防いだりできます。
ファイアウォールの実装としては、専用機器だけでなく、ルータといったネットワーク機器、ソフトウェアがあります。
専用のものを説明する前に、一番身近にあるWindowsファイアウォールを例に、一般的なファイアウォールについて説明しましょう。
この場合は、実装としてはソフトウェアで、内部を自身のPC、外部をネットワーク側としています。
コントロールパネル→Windowsファイアウォール→詳細設定
にある「受信の規則」、「送信の規則」の中に、ルールを設定します。
一般的にファイアウォールはTCP/UDPといったレベルの通信を制御します。Windowsファイアウォールでは「ポート」と呼ばれる種類に相当します。
例えば、ブラウザでよく使うものとして、TCPの80番ポートであればHTTP、443番ポートであればHTTPSといったものは目にしたことがあるかもしれません。
例えば、自身のコンピュータ上でWebサービス(TCP/80番)を動かしているが、外部のネットワークからの接続は拒否したいとします。この場合、以下のようになります。
こうすることで、自分のコンピュータで動作しているWebサービスに外部からブラウザ等によりHTTPでアクセスしようとしても、拒否できるようになります。
ファイアウォール専用のソフトウェア・機器では、送信元・送信先IPアドレスもルールの条件に加えることができます。
これができれば、例えば、特定のIPアドレスからHTTPのアクセスが来た場合だけ接続許可・拒否といったようなことが可能となります。
ちなみに、このようなレベルでのファイアウォールをパケットフィルタリング型と呼びます。
特に規模の大きい企業や組織ではプロキシサーバを介さないと外部のWebサービスに対してブラウザで閲覧できないということが多いのではないでしょうか。
このプロキシサーバは単に通信を中継するだけではなく、アクセスURLチェック、ウイルスチェック、情報漏えい検出と、Webアプリケーションの通信内容を確認できます。
このようにして、ネットワーク内のユーザが危険なサイトにアクセスすることを防止したり、情報漏えいとなるようなアクセスを防止したりすることができます。
このようなファイアウォールをアプリケーションゲートウェイ型と呼びます。
WAFはファイアウォールと名が付くものの、これまで説明したファイアウォールとは異なるタイプのもので、Webサイトやその上で動作するWebアプリケーションを保護する目的で設置するものです。
SQLインジェクション、クロスサイト・スクリプティングといった攻撃のパターンが設定されており、それに合致するアクセスがWebサイトに対して実行されると、その通信をブロックするという仕組みです。
実装としては、アプライアンス型といった専用機器を設置するものやソフトウェア型、クラウド型があります。
アプライアンス型は初期費用が高額になる傾向にあることと、自社での運用、資産管理が必要となり、大変手間がかかるものとなります。
次に、ソフトウェア型は自社でソフトウェアをインストールできる機器が確保できる場合に選択肢としてあります。アプライアンス型よりも初期費用は抑えられるかもしれませんが、運用の手間は同様です。
最後のクラウド型は、WAFをサービスとして提供しているタイプで、サービス利用料を支払って利用します。
外部からのアクセスを提供会社のWAFサービスに迂回させて自社のWebサービスに接続させることになります。
この場合、サーバ構築、機器購入といった初期費用は不要ですし、WAF自体の運用も不要となり、本来のWebサービス側に自社のリソースを集中させることができます。
特段、自社設備にWAFを設置しないといけない制限がないのであれば、クラウド型を選択することをおすすめします。
いかがでしたでしょうか?
ファイアウォールの代表的なパターンであるパケットフィルタリング型について、厳密ではありませんが感覚的に理解していただくため、身近にあるWindowsファイアウォールで説明しました。
他にも企業で採用されることが多いファイアウォールを取り上げました。
今回説明したファイアウォール以外にも様々なタイプのものが存在しますが、どれか一つを設置すれば大丈夫というものではなく、目的に併せて、個々に設置されるものです。
予算との兼ね合いもあるでしょうから、一番守らなければならないものは何なのかという観点で整理して、その優先順位に沿った形になるよう緩急をつけることで、スムーズにセキュリティ対策が実施されるようにしたいものです。