セキュリティを高める目的で、サーバーなどにはファイアウォールが使われています。防火壁と訳されていますが、実際に物理的な壁を設置して、火災から防御している訳ではありません。それではファイアウォールとは何で、どのような目的と機能があるのでしょうか。本記事では、これらの疑問にわかりやすくお答えしています。
目次
ファイアウォールとは?
使われてきた理由
もともとインターネットに接続している機器はいつでも、誰にでもつながっています。残念なことですが、この自由さを悪用した犯罪から守るため、「壁」を設けて悪意のある者から防御してきました。重要な情報や金銭に関わる不正なアクセスから自衛してきたのです。
ファイアウォールの仕組み
不正なアクセスから身を守る一つの方法として、不正なアクセス「だけ」を食い止める仕組みが考えられました。それが「壁」です。目に見えるような頑丈な障壁ではなく、特定のコマンドで設定するルールが正体です。その結果、ファイアウォール機能の一部は各種サーバーや関連機器だけでなく、パソコンのOS(オペレーティングシステム)にも導入されるようになりました。
ルールの例(iptablesの場合)
OSがLinuxの場合、以下のようなコマンドで設定します。決して複雑ではありません。必要なところ(ポート)「だけ」を空けて、やりたいことを限定しています。
【コマンド】
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
この例では、Webサイトのデータ「だけ」をインターネット上に公開するために、必要なポート(番号は80)を空けるルールを設定しています。詳しくは以下のページをご覧ください。
iptables の設定(カゴヤ・ジャパン マニュアル)
https://support.kagoya.jp/vps/manual/index.php?action=artikel&cat=20&id=48&artlang=ja
【用途の事例】ゲーム用のサーバーを自宅などに設置する場合
例えばMinecraftの場合、必要なポート(番号は25565)「だけ」を空けるルール(iptables)を設定する必要があります。
【コマンド】
iptables -A INPUT -p tcp –dport 25565 -j ACCEPT
iptables -A INPUT -p tcp –sport 25565 -j ACCEPT
これらのコマンド以外にも、Minecraftマルチプレイ用のサーバーの設定方法を下記のページで詳しく説明しています。
マイクラ(Minecraft)サーバーの立て方~レンタルサーバーで設定してみた~
Minecraft (マインクラフト、以下マイクラ)をマルチプレイで自由に楽しむには、サーバーが必要です。 いつも使っているパソコンをサーバーにして、公開する方法などがありますが、セキュリティや安定性で不安が残りますよね。そこでおすすめなのが、「VPS」と呼ばれるサーバーを借りて、マイクラ専用サーバーをつくる方法。この記事では、VPSを設定するとき事前に知っておきたいことや、インストール方法をまと…
カゴヤ・ジャパンのVPSでは、Minecraftの環境を簡単に用意できるテンプレート機能が2021年4月より利用できます。
ポート解放をする意味
オンラインゲームで利用するポートが決まっている場合、そのポートを空けない限りオンラインゲームはできません。通信内容が遮断されるからです。同じようにサーバーを稼働して提供する様々なサービスも、それぞれのポートを空けない限り利用してもらうことはできません。わかりやすい例として、Webサイトの公開用やメール送受信用のサーバー側で、ポートを空ける必要があります。
そもそも、防御は「ポート」の開閉だけで大丈夫なのでしょうか。ファイアウォールにはどのような種類や機能があるのでしょうか。次章以降で詳しく解説していきます。
ファイアウォールの種類
ネットワークそのものの仕組みが複雑なため、防御を目的としたファイアウォールは複数考案されています。
ネットワークとファイアウォールの関係
単にLAN線を差し込むだけではネットワークはつながりません。その線を行き交ういろいろなデータが、それぞれの規則通りに流れる必要があります。この場合、データはその役割によって分類されています。この役割は「層」と呼ばれ、それぞれの「層」ごとに特徴があります。さらに、この特徴に合わせて安全対策が考えられているため、ファイアウォールは以下のように複数生まれました。
ファイアウォールの基本 「パケットフィルタリング型」
この場合、パケットとはデータの塊を小分けにしたものです。もとよりパケットには小包の意味があります。パケットの一部には、宛先(送信先)と発送元(発信者)の情報が書かれています。これらの書かれている情報から、通過させるものと遮断させるもの一定の条件で選別します。ポートやIPアドレスなどの条件が代表的です。最も身近なファイアウォールで、パソコンに搭載されているのはこの型です。
あくまで設定したルールにもとづいて選別しているため、例えばIPアドレス自体が偽装されていたり、ウイルスに感染しているなど疑わしいパケットは遮断できず素通りする場合があります。
通信内容をより細かくチェックする 「アプリケーションゲートウェイ型」
Webサーバーやメールサーバーなどアプリケーションのパケットを点検して、通過させたり遮断させたりするファイアウォールのことです。
この型ではゲートウェイ(中継)の用語は、危険な「インターネット側」と、安全な「内部のネットワーク側」の合間という意味合いで使われています。このような中継場所を用意し、保護すべきサーバー機器などを危ない場所に直接つなげないことで、安全性を高めています。比較的新しい方法です。「パケットフィルタリング型」のファイアウォールより、なりすましやウイルス感染などの防御に効果があります。
送信元IPアドレスの偽装の防ぐ 「サーキットレベルゲートウェイ型」
サーキットは「回線」の意味があります。パケットフィルタリング型の発展型です。アプリケーションごとに設定でき、システムやソフトを限定して怪しい動きを制御可能になりました。IPアドレスの偽装にも有効と考えられています。
ファイアウォールができること
前章で取り上げた機能以外に、不正な通信を遮断するファイアウォールの機能があります。これらの機能のおかげで、いろいろなサーバーを安心して利用できます。
不正な通信を遮断する!
通過を許可する条件をあらかじめ登録することで、基本的な対策が可能です。登録件数が多い場合、条件を一つずつ設定していくのではなく、類似の設定をまとめたり、通過させる通信以外は全て遮断するなどの指定も可能です。目標とする強度や範囲により、更新しやすいルールで効率良く登録していきましょう。
内部用にIPアドレスを変換して外部から隠れる!
組織内のネットワークで使用するパソコンに、外部から直接アクセスされると非常に危険です。そのため通常では、組織内のパソコンには内部専用のIPアドレス(プライベートIPアドレス)を付与して、外部から直接アクセスされにくくしています。多くの場合、プライベートIPアドレスは自動的に割り振られます。ファイアウォールの優れた機能と言えるでしょう。
実現方法は「NAT(Network Address Translation)」と呼ばれています。カゴヤのサーバー研究室では、以下の記事内で解説しています。
IPアドレスとは?概要からIPv4・IPv6まで初心者にも分かりやすく解説
ネットワークの設計や設定をするときに、必ず必要になるのがIPアドレスです。IPアドレスは、ネットワークの最も基本的な知識と言えます。ただ、IPアドレスに関する知識は幅広く、きちんと理解するためには体系的に学ぶことが必要です。 この記事では、ネットワークを使うために最低限必要なIPアドレスに関する基本知識を初めて学ぶ方にも分かりやすく解説しています。IPアドレスの概要、構造からIPv6まで順序だてて…
通信記録を効率的に監視する!
各種のサーバーとファイアウォールが稼働しているとき、通過や遮断したデータの記録(ログ)が残ります。このログを分析することにより、過去に発生または現在発生中の攻撃内容までわかります。これで必要な対策を立案することができます。
各種のサーバーが記録しているログの量は、一般的に膨大で文字が羅列されている状態のため、そのままでは人間が理解することは困難です。そこで解析専用のソフトウェアなどを利用することで、問題点をすぐに読み解き必要な対策ができるように工夫されています。
ファイアウォールがあると安心な理由
適切に設定や見直しを行い、監視とその後に実施する対処の流れができれば、安心で有効な対策になります。ただし「安心な理由」は、立場によって以下のように変わります。
【立場の事例1】 導入企業が提供しているサービスの利用者
- 個人情報の漏洩などを心配しないで、提供されているサービスを継続的に利用できる
【立場の事例2】 企業経営者
- 基本的な情報セキュリティ対策を広報し、営業活動を円滑に進めることができる
【立場の事例3】 企業の技術担当者
- 日次業務や異常時の対応業務などを、規則にそって効率良く実施できる
- 自社の状況に応じて、ある程度は柔軟に設定を見直すことができる
【立場の事例4】 システムを企業に納品している業者
- 納品先の情報セキュリティ管理を維持できる
IDS・IPSやWAFとの違い
これらはファイアウォールのように、不正なアクセスの対策に用いられていますが、目的や対象が異なります。そのため、違いをよく理解してから導入の検討が必要です。それぞれに優れた点があるため、複数の手法を併用することもあります。
| 用途 | 目的 | 防御対象 | |
|---|---|---|---|
| ファイアウォール | 社内システム、ネットワーク | ルールによりアクセス制限 | ポートスキャンなど |
| IDS(不正侵入検知システム) | Webサーバーを動かしているOSなどソフトウェア | 不正なアクセスの侵入を検知し管理者に通知 | DoS攻撃、Synフラッド攻撃など |
| IPS(不正侵入防止システム) | Webサーバーを動かしているOSなどソフトウェア | 不正なアクセスの侵入を遮断するなど防御 | DoS攻撃、Synフラッド攻撃など |
| WAF (Web Application Firewall) | 公開中のWebサーバー | Webアプリケーションに特化した防御 | SQLインジェクション、クロスサイトスクリプティングなど |
専門的な用語については、以下の2記事で詳しく解説しています。
IDS・IPSとは、ネットワークにおいて不正侵入を検知・防御するシステムです。ネットワークのセキュリティを守るソフトウェアや機器としてはファイアウォールがよく知られていますが、IDS・IPSではファイアウォールでは実現できない対策が可能となっています。 この記事では、IDS・IPSの概要やそれぞれの役割について、イラストを用いてわかりやすく解説しています。 IDS・IPSとは?仕組みと違い ここで…
年々増えている、Webアプリケーションの脆弱性を突いたサイバー攻撃。WAFはこうした攻撃を防ぐセキュリティ対策の一つで、Webサイトの安全な運営に欠かせません。今回はWAFの仕組みや種類、IDS/IPSやファイアウォールとの違い、WAFで対応できる攻撃を解説します。 WAFとは何か WAF(ワフ)とは「Web Application Firewall」の略称で、サイバー攻撃からWebアプリケーショ…
(まとめ) ファイアウォールの設置に迷う場合は代行サービスの利用がおすすめ
ファイアウォールの仕組みと種類を理解したら、次はいよいよサービスの選定に移ります。初回の設定だけでなく、今後は適切に運用を継続していかなくてはなりません。安心して本業に専念できるはずの仕組みが、正しく使えていないと逆に不安とリスクにつながります。
このような不安を解消するためにも、高度な専門性のある技術者にしっかり委ねてみてはいかがでしょうか。例えばカゴヤ・ジャパンの場合では、「KAGOYA FLEX」サービスのオプションサービスとして、「マネージド付ファイアウォール」があります。業界最安値で高機能な代行(マネージド)サービスが利用できて安心ですね。ファイアウォールの運用に向け、本格的に検討されてみてはいかがでしょうか。
KAGOYA FLEX
カゴヤ・ジャパンは、自社国内データセンターを基盤に、月額4,400円の低価格からクラウド導入を強力サポート。
VMware ベースの仮想サーバーと物理サーバーの組み合わせで最適なコストバランスをご提案いたします。
回線引き込みや、ライセンスの持ち込みなど柔軟な対応も可能です。
