ファイアウォールとは？種類や機能を初心者にもわかりやすく解説【お役立ち情報】

「情報セキュリティ関連の技術」記事一覧

ファイアウォールとは？種類や機能を初心者にもわかりやすく解説

今使っているPCのセキュリティ対策、不安に思っていませんか？

「PCにファイアウォールがついてるけどセキュリティとして大丈夫なの？」と思いますよね。

実際にセキュリティ対策を課題に考えている方は「ファイアウォール」にこういった疑問を持っています。

「よく耳にするけどファイアウォールとは何でどういったことをしてくれているの？」
「ファイアウォールってセキュリティとしてどれぐらい大事で本当に必要なの？」
「ファイアウォールがあれば勝手にセキュリティ対策されてると思っていた」

などファイアウォールがセキュリティとして意味があるのか気になる人が多いです。

そこで本記事では、ファイアウォールの仕組みや種類・機能を初心者にもわかりやすく解説した上で、必要性や導入のポイントもご紹介します。

ファイアウォールが本当に必要か知りたい方、失敗や損なく導入したい方はぜひ最後までご覧ください。

この記事の目次

1.ファイアウォールとは？
- 1-1.ファイアウォールの仕組み
- 1-2.パーソナルファイアウォールとの違い
2.ファイアウォールの種類
3.ファイアウォールの主な機能
4.企業にとってファイアウォールの導入は必要か？
- 4-1.パーソナルファイアウォールだけでは不十分
- 4-2.外部からの不正アクセスは社会的信用問題にもつながる
5.ファイアウォール導入のポイント
6.まとめ

ファイアウォールとは？

: セキュリティ対策でよく耳にするのですが、「ファイアウォール」とはなんなんですか？

: ファイアウォールはセキュリティ対策のひとつで、不正アクセスなどサイバー攻撃を防ぐ重要な役割を果たします。種類は、「個々のパソコンに導入するパーソナルファイアウォール」と「複数のPCのネットワーク全体（会社など）を保護するファイアウォール」の2つです。

パーソナルファイアウォールとは

簡単にいうとファイアウォールとは、個々で使用するパソコンや社内のネットワーク全体を外部ネットワークから保護するセキュリティ対策。

ファイアウォールはセキュリティ対策の基礎でもあるため、仕組みや機能をしっかりと理解した上での導入が重要です。

まずは、ファイアウォールの仕組みやパーソナルファイアウォールとの違いを解説します。

ファイアウォールの仕組み

ファイアウォールとは

ファイアウォールを簡単に表すと、ネットワーク通信の可否を判断する仕組みです。

ネットワーク通信の扱いは、送信元と宛先の情報（パケット）をもとに判断します。
通信内容を確認するわけではないため、送り主と宛先の情報だけを見て荷物を配送することに例えられることがあります。

: 宛先の情報？パケットとはなんですか？

: パケットとは、ネットワークを通して送信されるデータを分割するのに使われる単位です。パケットは「小包」を意味しますが、インターネット上ではデータをパケットと呼ばれる小さな単位に分けてやり取りするんですよ！

不正アクセスやウイルスの侵入など、外部ネットワークからの攻撃を火災に見立て、被害を最小限に食い止めるソフトウェアやハードウェアのことを「ファイアウォール」と呼ぶようになりました。

企業などでは、社内LANとインターネットの間に設置して、社内ネットワーク内外の不正なパケットを遮断します。
許可されたパケットだけを通過させることで、外部ネットワークの攻撃から社内ネットワーク全体を保護する役割を果たします。

パーソナルファイアウォールとの違い

: ファイアウォールとパーソナルファイアウォールの2つのタイプがあるようですが、違いは何ですか？

: ファイアウォールが企業内のネットワーク全体を保護するのに対し、パーソナルファイアウォールは単体のコンピューターを保護するためのものです。

Windowsの場合、標準のセキュリティソフトである「Microsoft Defender」が搭載されていて、パーソナルファイアウォールも組み込まれています。

市販のセキュリティソフトにもパーソナルファイアウォール機能を持つ製品が数多くあるため、必要に応じて使い分けるとよいでしょう。

いずれかのパーソナルファイアウォールを有効にすることで、各個人のパソコンへの不正アクセスやウイルスの侵入を防ぐことが可能です。

ファイアウォールの種類

ファイアウォールは、防御の方法に応じて以下の3つの種類に分けられます。

パケットフィルタリング型
サーキットレベルゲートウェイ型
アプリケーションゲートウェイ型

ここでは、それぞれの特徴を解説します。

ファイアウォールの種類

①パケットフィルタリング型

パケットフィルタリング型は、通信をパケット単位で監視し、決められたルールに従って通過の可否を判断するシステムです。

パソコンに標準装備されているファイアウォールは、基本的にこのパケットフィルタリング型で、ファイアウォールの主流であるともいえるでしょう。

パケットフィルタリング型は、さらに以下の3種類に分類できます。

スタティックパケットフィルタリング

パケットのヘッダ（データの送信元や宛先などの情報が記録されている場所）を参照して、通信の可否を決定します。
参照する情報には、パケットの送信元アドレス・宛先アドレス・プロトコル・ポート番号などがあります。
仕組み自体はそれほど複雑でなく、高速処理が可能です。
一方で、パケットの中身を確認することはないため、偽装されたパケットの検出ができなかったり、アプリケーションの脆弱性を狙った攻撃に弱かったりするデメリットがあります。

ダイナミックパケットフィルタリング

通信のやり取りをファイアウォールが記憶して、必要に応じて利用するポートを動的に開け閉めする仕組みです。
例えば「A→B」のやり取りが許可された場合、返信に関しても自動的にルールが作成され「B→A」のやり取りも許可します。
必要なときにポートを開閉することで、悪意のある第三者からの攻撃を制御する効果が期待できます。

ステートフルパケットインスペクション

ダイナミックパケットフィルタリングの一種で、過去の通信記録を記憶し、コンテキスト（文脈）からパケットが正当な手順を踏んで送信されたかを判断します。
偽造されたパケットの検出ができるなど高い防御力を誇りますが、記録管理するコンテキストの量が多く、大量のアクセスを主体とするDoS攻撃には弱いといわれています。

②サーキットレベルゲートウェイ型

サーキットレベルゲートウェイ型は、従来のパケットフィルタリング型の動作にポート指定や制御の機能を加えたタイプです。

TCPやUDPなどトランスポート層のレベルで任意のポートの通信を制御するため、パケットフィルタリング型では防げない送信元IPアドレスの偽装を防御できます。

また、アプリケーションごとの設定が可能で、特定のシステムやソフトウェアのみを制御したい場合に有効です。

③アプリケーションゲートウェイ型

アプリケーションゲートウェイ型は、HTTPやFTPなどアプリケーションプロトコルごとに通信を制御するタイプです。

送受信されるデータの中身を詳細に監視するため、「なりすまし型」の不正アクセスにも効果を発揮します。

このタイプは「プロキシ型ファイアウォール」とも呼ばれていて、高いセキュリティ性能を誇ります。

ただし、詳細なチェックにより処理速度が遅くなるのがデメリットです。

ファイアウォールの主な機能

: ファイアウォールが本当にセキュリティ対策に役に立つのかわかりません。具体的にはどのような機能がありますか？

: ファイアウォールには主に「通信のフィルタリング機能」「IPアドレス変換機能」「遠隔監理・ログ監視機能」の3つの機能があります。

ここでは、ファイアウォールの主な3つの機能と必要性について解説します。

①通信のフィルタリング機能

ファイアウォールの最も重要な機能ともいえるのが、通信のフィルタリング機能です。

通信元と宛先のIPアドレスやポートを事前に設定しておくことで、特定の通信を許可・拒否できるようになります。

外部からの不正アクセスを識別して、問題のないユーザーにのみアクセスを許可する重要な機能です。

フィルタリングの手法は、「静的・動的フィルタリング」「ステートフル・インスペクション」「プロキシ型フィルタリング」の3つに分けられます。

静的・動的フィルタリング

ヘッダ情報であるポート番号・プロトコル・IPアドレスなどで構成された発信と応答の通信を許可・拒否するかをリスト化して、それをもとに通信を制御するのが静的フィルタリングです。また、発信時に応答の通信を許可・拒否するかの情報を自動生成する機能を動的フィルタリングと呼びます。
これらはブロードバンドルーターなどにも搭載されている、比較的シンプルなフィルタリングの手法です。

ステートフル・インスペクション

ヘッダ情報だけでなく、通信の手順を解析して通信の可否を判断する高度な手法を用いた機能です。
静的・動的フィルタリングでは識別するのが難しい不正な通信を遮断して、コンピューターやネットワーク全体を保護します。

プロキシ型フィルタリング

通信内容を確認して通信の可否を判断する、より高度なフィルタリング手法を用いた機能です。
解析するデータ量が大きく、処理にかかる時間を必要としますが、それだけ高度な偽装にも対応できる手法であるといえます。

②IPアドレス変換機能

IPアドレス変換機能は、インターネットで使用する「グローバルIPアドレス」と社内ネットワークで使用する「プライベートIPアドレス」の変換に必要な機能です。

「プライベートIPアドレス」は、社内で使用するパソコン・タブレット・スマートフォンなどに割り当てられる固有の番号で、ファイアウォールのIPアドレス変換機能により社内ネットワークの複数の端末が外部と通信できるようになります。

また、この仕組みにより任意の通信を社内ネットワークの特定のパソコンに誘導でき、アクセス制限の厳しいセクションを設置することも可能です。

こうして社内のパソコンごとにセキュリティレベルを分割し、社内機密など重要な情報をネットワーク内外の攻撃から保護します。

③遠隔管理・ログ監視機能

ファイアウォールの遠隔管理やログ監視機能も、セキュリティ強化に重要な機能です。

管理者は遠隔地からもブラウザ上で管理運用が可能で、不正アクセスが検知されるとリアルタイムで対応できます。

具体的には、ログ取得や閲覧・設定変更・ソフトウェアのアップデート・設定情報のバックアップやリストアなどを遠隔地で実施可能です。

これらを遠隔管理することで、時間を選ばずに外部からの攻撃にリアルタイムで対応し、セキュリティレベルの強化が期待できます。

企業にとってファイアウォールの導入は必要か？

: 企業の場合ですが、わざわざファイアウォールを導入する必要はありますか？パソコンにファイアウォールが標準装備されているわけだし、必要ならウイルス対策ソフトを入れておけば大丈夫じゃないですか？

: 企業全体のネットワークを保護するには、たとえパーソナルファイアウォールを強化したとしても、十分であるとはいえません。特に企業では顧客情報や機密情報を取扱っているため、パーソナルファイアウォールに加えて社内ネットワーク全体を保護するファイアウォールが必要不可欠です。

現状では、セキュリティ対策をしていない企業も少なくありません。

特に中小企業の場合、ファイアウォールの導入を含めたセキュリティ対策に時間とコストをかける余裕がないケースもあるでしょう。

しかし、「中小企業の経営者825人に聞いたサイバーリスクへの意識調査2019（一般社団法人日本被害保険協会）」によると、調査対象となった中小企業の5社に1社がセキュリティ被害を経験していることがわかりました。

不正アクセスなどのサイバー攻撃は、中小企業にも起こりうる身近なリスクです。

ここでは、企業にとってファイアウォールの導入が必要な理由を2つ、詳しく解説していきます。

パーソナルファイアウォールだけでは不十分

社内で使用したり従業員に支給したりするパソコンには、「Microsoft Defender」やその他のウイルス対策ソフトが入っていることでしょう。

そのため、「パーソナルファイアウォールがあるから大丈夫」「ファイアウォールで勝手にセキュリティ対策されていると思っていた」と考える経営者も少なくありません。

確かに、単体のパソコンのパーソナルファイアウォールを有効にしておくことは重要です。

しかし、パーソナルファイアウォールは個人で簡単に設定変更できます。

誰かのパーソナルファイアウォールが無効になると、社内ネットワークのセキュリティに穴ができることになり大変危険です。

: 従業員の誰かがパーソナルファイアウォールを無効にするケースってあるんですか？でも、勝手にパーソナルファイアウォールの設定変更をされると大変ですね！

: 例えばパソコンに何かトラブルがあった際、一時的に無効化しなければならないケースも。そうなると一時的とはいえ不要な通信を許可することになり、社内ネットワーク全体を危険にさらすリスクが高くなります。そこで全体を保護するファイアウォールを導入し、2重の壁を作ることが推奨されているんです。

外部からの不正アクセスは社会的信用問題にもつながる

ファイアウォールが無効な状態では、外部からの不正アクセスなどサイバー攻撃のリスクが高くなります。

セキュリティ対策を怠ると、コンピューターを乗っ取られたり、顧客情報や機密情報が漏洩したりする確率も高まり、それが社会的信用問題につながることも。

特に個人情報の漏洩は、セキュリティ事故としてニュースなどで報道され企業全体にとって大きなダメージになります。

不正アクセスは決して珍しくはなく、例えば2022年1～2月の短期間でも、すでに以下のようなセキュリティ事故が公表されています。

	企業名	セキュリティ事故内容
2月8日	株式会社エイチ・アイ・エス	ベトナム法人ファイルサーバーへの不正アクセスにより1,846人分のパスポート情報などが流出した可能性あり
1月29日	株式会社日能研	不正アクセスにより最大280,106件のメールアドレスが流出した可能性あり
1月25日	ビバリーグレンラボラトリーズ株式会社	不正アクセスにより46,702件のクレジットカード情報が流出した可能性あり
1月13日	株式会社ジェック	不正アクセスによりストレージに保管されていたお客様情報（担当者1,000名、受講者19,000名）が流出した可能性あり
1月12日	株式会社マルカン	オンラインショップへの不正アクセスで1,152件のクレジットカード情報が流出した可能性あり
1月11日	株式会社石橋楽器店	不正アクセスにより98,635件のメールアドレスが流出した可能性あり

情報漏洩により損害賠償責任が生じたり、業務停止や刑事罰を受けるケースもあるため注意が必要です。

また、セキュリティ事故を起こした企業として知られることになり、企業イメージの低下など社会的信用問題にもつながります。

サイバー攻撃による情報漏洩は企業活動に大きなダメージを与えるため、ファイアウォールの導入をはじめとするセキュリティ対策は重要事項のひとつといえるでしょう。

ファイアウォール導入のポイント

: ファイアウォールを導入しようと考えていますが、どのように選べばよいですか？

: 企業がファイアウォールを選ぶ際は、自社のネットワーク規模や導入目的に合わせて最適な製品を選ぶ必要があります。また、提供形態・UTMの要否・価格などもファイアウォール選定の際の大切なポイントです。

ここでは、ファイアウォールを導入するにあたり、失敗しないためのポイントを4つご紹介します。

ポイント①自社のネットワーク規模や導入目的

ファイアウォールには、小規模ユーザー向けから大規模ユーザー向けまで、さまざまな商品があります。

導入前に自社のネットワーク規模を確認して、提供事業者に相談することをおすすめします。

また、将来ネットワークの規模を拡大した場合に、柔軟に対応できるかどうかも検討する必要があるでしょう。

自社ネットワーク規模に加えて、ファイアウォールの導入目的を明確にすることも大切です。

「不正アクセスによるサイバー攻撃を防ぎたい」「ウイルスの侵入を防ぎたい」など、ファイアウォール導入の主な目的を明確にして必要な機能の有無を確かめます。

導入目的が明確になると、適正な商品を選べるだけでなく、複数製品を組み合わせてセキュリティシステムの強化を図る方法も検討できます。

ポイント②提供形態

ファイアウォールの提供形態も、選定の際の重要なポイントです。

提供形態は、大きく以下の3つに分けられます。

ソフトウェア型

ソフトウェア型のファイアウォールとは、「パーソナル型」とも呼ばれる提供形態で、基本的にパソコンやサーバー1台ごとにインストールします。
例えば、Windows7以降のOSが搭載されたパソコンには、「Microsoft Defender」がプリセットされています。
市販のソフトウェアをインストールする場合は、プリセットされているファイアウォールとの併用ができないため注意が必要です。
企業のニーズに合わせて、単体のパソコンやサーバーごとに導入するファイアウォールを選ぶようにしましょう。

ハードウェア（アプライアンス）型

ハードウェア型のファイアウォールとは、「ゲートウェイ型」とも呼ばれる提供形態で、外部ネットワークと内部ネットワークの間に設置するルーターに搭載されているのが一般的です。
ハードウェア型のファイアウォールは、1台で社内のネットワーク全体を保護する役割を果たします。
ただし、万一のウイルス感染に備えて、単体のパソコンにインストールするソフトウェア型との併用が不可欠です。

クラウド型

クラウド型のファイアウォールとは、クラウド環境に設置したサーバーでフィルタリングを行う提供形態のことです。
装置の購入や設置の必要がないため、導入時の初期費用を大幅に軽減できるメリットがあります。
メンテナンスやアプリケーションのバージョンアップなども提供事業者に任せられ、運用負担の軽減も期待できます。