ファイアウォールとは？仕組み・種類・機能をそれぞれ解説

2023.11.15

「ファイアウォールの仕組みとは？」「具体的な種類や機能を知りたい」といった疑問や悩みがある方もいるでしょう。一言でファイアウォールを表すと、外部の脅威から保護するセキュリティシステムのことを意味します。

ファイアウォールには複数の機能が備わっており、それらを状況に合わせて組み合わせ活用することで、不正アクセスやサイバー攻撃を防ぐ役割を果たします。特に機密情報を取り扱う企業においては、デバイスを使用する上でファイアウォールの存在が必要不可欠です。

本記事では、ファイアウォールの仕組み、種類や機能について解説します。併せて、ファイアウォールを導入しないリスクも紹介していきます。

[ 開く ] [ 閉じる ]

ファイアウォールとは
ファイアウォールの仕組み
ファイアウォールの種類
パケットフィルタリング
サーキットレベルゲートウェイ
アプリケーションレベルゲートウェイ
ファイアウォールの機能
フィルタリング機能
IPアドレス変換機能
ログ監視機能
ファイアウォールを導入しない主なリスク
まとめ

ファイアウォールとは

ファイアウォール（Fire Wall）とは、IT分野において通信や脅威から保護するセキュリティシステムのことを指します。直訳すると「防火壁」ですが、現代ではIT分野で使用されることがほとんどです。

このファイアウォールは不正アクセスを遮断し、デバイスの安全性を保つ役割を担っていることから、WindowsやMacなどの主要なOSにはほぼ必ず搭載されています。企業や個人に限らず、デバイスを使用する上では非常に重要な存在だと言えます。

特に企業でデバイスを使用する場合、デバイス内で機密情報を取り扱うことになるため、ファイアウォールの導入が必要不可欠です。近年、サイバー攻撃の手法が進化し続ける中で、ファイアウォールの必要性がますます向上しています。

ファイアウォールの仕組み

ファイアウォールは外部からの通信を監視し、事前に定められたルールに基づいて通信の可否を判断して脅威を防ぐ仕組みです。例えば、特定のIPアドレスからの通信のみを許可する、特定の通信ポートを使用する通信のみを許可する、などの方式で利用されます。

ファイアウォールは大きく以下2つのカテゴリーに分類され、それぞれで保護する主な対象が異なります。

カテゴリー	特徴
パーソナルファイアウォール	パソコンやスマートフォン、タブレットなどのデバイスを主に保護する
ネットワーク用ファイアウォール	社内ネットワークなどのネットワーク全体を主に保護する

総務省の「ファイアウォールの仕組み」によると、ファイアウォールは「ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組み」と定義されています。

また、「外部のネットワークからの攻撃や、不正なアクセスから自分たちのネットワークやコンピュータを防御するためのソフトウェアやハードウェアを、ファイアウォールと呼ぶようになりました」とも明言されています。実際、企業や個人がインターネットに接続する際には、ファイアウォールが第一の防衛ラインとして機能しています。

ファイアウォールの種類

ファイアウォールは複数の方式で通信の可否を判断しています。その主な種類として、以下3つのタイプをそれぞれ解説します。

パケットフィルタリング
サーキットレベルゲートウェイ
アプリケーションレベルゲートウェイ

各方式を一つずつ見ていきましょう。

パケットフィルタリング

パケットフィルタリングは、ネットワーク上の通信データを「パケット」という小さな単位で解析して判断する方式です。具体的には、パケットの送信元アドレスや宛先アドレス、使用されるポート番号などの情報を基に判断します。

導入のメリットは、シンプルな構造で処理が単純であり、通信速度を確保できる点です。柔軟な設定が可能である一方で、設定を間違えると脆弱性が生まれるという難点があります。

また、パケットの中身までは検査しない特性上、偽装されたパケットの検知や、複雑な攻撃手法に対応することは困難です。一般的なセキュリティ対策法として知られています。

サーキットレベルゲートウェイ

サーキットレベルゲートウェイは、コネクション単位で通信の可否を判断する方式です。対象となるネットワークの中継役としての役割を果たし、ポート指定や制御を可能にします。

いわゆるパケットフィルタリングの進化版であり、パケットフィルタリングが防げない複雑な攻撃手法にも対応できます。さらに設定や運用が比較的容易で、アプリケーションやソフトウェアごとの設定も可能です。

アプリケーションレベルゲートウェイ

アプリケーションレベルゲートウェイは、HTTPやFTPなどのアプリケーションプロトコルごとに検査・解析する方式です。プロキシ（代理）サーバーを介して切り離す方式なので、「プロキシ型ファイアウォール」とも呼ばれます。

アプリケーションレベルゲートウェイの利点は、強固なセキュリティを構築できる点です。他の方式よりも詳細に通信を制御でき、なりすまし型の不正アクセスの対策に強い傾向があります。

ただし、詳細な検査を行うため、ネットワークのパフォーマンスに悪影響を及ぼす可能性があるほか、設定や管理が複雑になることも考えられます。運用には一定のデメリットが伴うことを覚えておきましょう。

ファイアウォールの機能

ファイアウォールは企業のネットワークや、個人のデバイスを保護するための重要なセキュリティとして広く認識されています。その背後にはいくつかの機能が存在し、複数の機能が組み合わさることで高度なセキュリティを実現しています。

フィルタリング機能
IPアドレス変換機能
ログ監視機能

これらの機能を理解することで、ファイアウォールの必要性をより実感できるはずです。以下、各機能の詳細を順番に解説します。

フィルタリング機能

フィルタリング機能は、ファイアウォールの最も基本的な機能の一つです。事前に送信元/送信先のルールを設定し、その設定に基づいて通信の可否を判断します。

具体的には、送信元や宛先のIPアドレス、使用されるポート番号、通信のプロトコルなどの情報を基に、通信が安全かどうかを判断します。このフィルタリング機能により、不要な通信や潜在的な脅威を持つ通信を排除することが可能です。

IPアドレス変換機能

ファイアウォールはIPアドレス変換機能も持ち合わせており、これは通常NAT（Network Address Translation）として知られている技術です。この機能は、インターネット上で主に使用する「グローバルIPアドレス」と、社内ネットワークで活用する「プライベートIPアドレス」を変換する役割を果たします。

▼IPアドレスとは: 通信相手を識別するための番号。または、デバイスに割り当てられるインターネット上の住所的なもの。
具体的には、企業内部のネットワークとインターネットとの間で、内部のIPアドレスと外部のIPアドレスを相互に変換します。この変換機能により、企業内部のネットワーク構造を外部から秘匿（ひとく）することが可能です。
外部からは内部ネットワークのIPアドレスを直接知ることができず、攻撃の対象となるリスクを軽減できるほか、IPアドレスを有効活用しやすくなります。

ログ監視機能

ログ監視機能は、ファイアウォールを通過する全ての通信に関する情報を記録し、それらのログをリアルタイムで監視する機能です。このログには、通信の送信元と宛先のIPアドレス、使用されたポート番号、通信結果（許可・拒否）などの情報が含まれます。

この機能の主な役割は、不正アクセスやサイバー攻撃の試みを迅速に検出し、それに対するアラートを管理者に伝えることです。通知を受け取った管理者は、ログの情報を基に対策を行うことができます。

事後分析においても、ログ情報は攻撃の原因や手法を解析する上で非常に有用です。

ファイアウォールを導入しない主なリスク

パソコンなどのデバイスにファイアウォールを導入しなかった場合、もしくは無効化した場合は、不正な通信の監視が無効化され、同時に外部からの通信が遮断されなくなります。

つまり、外部からの不正アクセスを全て受け入れている状態になり、サイバー攻撃の被害に遭いやすくなってしまうのです。一言で表すと、システム全体のセキュリティが脆弱になります。

それによる具体的なリスクとして、以下のようなものが挙げられます。

主なリスク	内容
不正アクセス	外部からの不正アクセスが容易になり、企業の機密情報や顧客情報が盗まれる可能性が高まる
DDoS攻撃	複数のコンピュータから大量のデータが送信され、サービス停止などの被害に遭う可能性が増す
マルウェア感染	有害なソフトウェアに感染し、システムが破壊される、情報が暗号化されるなどのリスクがある
情報漏えい	社外に情報が漏れ出すことにより、企業の評価低下や法的リスクが生じる可能性がある