外部からの侵入を防ぐファイアウォール(348号)

組織内の情報を守るには外部からの侵入を防がねばなりません。

今回は、外部からの不正侵入を防ぐ強力な武器であるファイアウォールの役割についてお話します。

外部からの侵入を防ぐには?

外部からの侵入を防ぎたければ、内部から出ていく通信は全て許可し、外部から入ってくる通信は全て拒絶すればよさそうに思います。

ですが、それはできないのです。

通信というのは双方向の信号のやりとりが必要です。

例えば、Googleで検索を行なう場合、次のように外部から内部への通信が必ず発生します。
 1. 手元のパソコンからGoogleにリクエストを送る(内部→外部)
 2. Googleから検索結果を受け取る(外部→内部)

外部からの通信を全て拒否すると、上記のGoogleの検索結果を受け取れなくなります。

これは、メール送受信、ブラウザでのWeb閲覧、社外サービスの利用、ファイルのアップロード、ダウンロードなどどんな場合でも同様です。

だから、全てを拒否することはできません。

不審な通信は拒否し、必要な通信は通す、という対応が必要です。

これを行ってくれるのがファイアウォールという仕組みです。

ファイアウォール

ファイアウォール(Firewall)は「防火壁」のことです。日本国内でもビルなどで防火扉を見かけますよね。どちらも消防用語で、火事の延焼を防ぐための仕組みです。

ネットワークのファイアウォールも同様に外部からの危険(マルウェアなど)を通さないための道具として使います。

実際のファイアウォールにはいろいろな形態があります。
 ・ファイアウォール機器(専用機)
 ・ルータやUTM装置などに含まれるファイアウォール機能
 ・Windowsなどのファイアウォール機能

どれも外部からの不審な通信を遮断することを目的とします。

今回は、組織からインターネットの出入口に設置されるルータやUTM装置のファイアウォール機能を想定してお話をします。

どうやって「不審な通信」を識別するのか?

ファイアウォールは上述の通り、不審な通信を遮断することを目的に設置され、門番の役割を果たします。

イメージとしては中世の城砦都市にいた門番です。

訪問者が都市に入りたければ、門番に来た目的を言います。
それが許可できる目的(例えば食事や宿泊)なら門を開き、不適切(住民に危害を加えるなど)ならば追い返します。

外部ネットワークからデータがやってきたら、門番のように目的を確認して許可/拒絶することがファイアウォールの役割です。

でも「不審なデータ」かどうかをどうやって判断するのでしょう?

ファイアウォールは外部から届いたパケット(通信データのブロック。1000バイト程度のことが多い)の依頼内容を検査してその目的を確認するのです。

幸いなことに、インターネットの通信では、全てのパケットに何を目的とした通信なのか?ということを番号で示すルールとなっています。(これをポート番号と言います)

この番号は通信の目的によって決められています。
例えばメールの送受信は25番、サーバへのログイン要求は22番、Webブラウザからのリクエストは80番や443番、ファイルのダウンロード(ftp)なら20番や21番といった具合です。よく使われる番号はIANAというインターネットの標準化団体が管理しています。

ファイアウォールではポート番号をチェックし、怪しげな通信を遮断しています。

例えば、ファイルサーバへの接続依頼が来た場合を考えてみます。

ですが、社外から来た「ファイルサーバへの接続依頼」はあからさまに不審です。
ファイルサーバは内部の秘密情報が満載です。
ここに外部から正当な理由でアクセスされるとは考えにくいものです。
結果、この依頼は許可できないとなり遮断されるのです。

家庭用のルータ(家電量販店で販売されているルータ)では、工場出荷時に上記のような標準的なファイアウォール設定を施しています。

設置時にこれを変更する必要はほとんどありませんが、特別な事情がある(特定のポートを許可したい)場合には、管理者が設定変更できるようになっています。
ですが、ファイアウォールの設定変更は一歩間違うと、大穴を開けてしまう可能性がありますので、ネットワークのプロの助力を仰ぐことを強くオススメします。

ファイアウォールによる接続許否は実に強固な仕組みで、不正侵入を狙う犯罪者にとっては限りなくやっかいな存在です。
いくら攻撃をしようにも、接続依頼の時点でことごとく門前払いされると手の打ちようがないからです。

だからこそ狙われやすいVPN

しばらく前にVPNが狙われているというお話をしました。
 No327 VPNが狙われる3つの理由
 https://note.com/egao_it/n/na25cc3d31e94

上記のファイアウォールの話からわかるように、外部からの侵入に備えてはできるだけ通信を遮断したいところですが、必要な通信は許可せざるを得ません。

テレワークを行いたいなら、ファイアウォールではVPN接続依頼の通信を許可することにになります。でないとVPNでテレワークができません。

つまり、VPNでの接続依頼は多くの組織でファイアウオールによる門前払いを回避できるのです。

だからこそ、VPNのように多くの組織でファイアウォールを通過許可してくれるプロトコル(通信手順)が狙われるのです。

なお、ファイアウォールには接続元が誰かによって接続の許可/拒絶を判断する機能もあります。いわゆるIP制限(IPアドレス制限)と呼ばれるものです。
もっとも、この仕組みを運用するにはパソコンを接続しているISP(インターネット接続業者)側とIP固定サービスというオプション契約が必要となります。
企業間のVPN接続などではよく使われる手法ですが、家庭ではまず利用しません。

余談
 筆者は自宅で固定IPサービスを契約しています。
 ルータもスモールビジネス用のものです。
 インターネット回線も2回線の契約をしています。
 ネットワーク機器もごろごろしてます。
 こういう変わりものを「逸般の誤家庭」と呼ぶそうです。
 「一般のご家庭」のもじりですね。
 X(旧Twitter)あたりで検索いただくといろいろ出てきます。

まとめ

ファイアウォールというネットワーク機器(機能)があります。

これは外部からの攻撃には非常に有効な手段で、組織規模の大小に関わらず活用できるものです。

通常は、ルータやUTM装置の機能をデフォルトのまま利用するだけでも十分にガードを固められます。
この設定変更も可能ですが、慎重に行わないと思わぬ穴を自ら開けてしまうことになりますので、ネットワークのプロに助力を仰ぐことをおすすめします。

今回は、よく耳にするものの実態がよくわからないファイアウォールについてお話しました。

次回もお楽しみに。

(本稿は 2024年3月に作成しました)

このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
h行ttps://www.mag2.com/m/0001678731.html
また、公式サイトでも最新版を公開していますので、そちらもどうぞ。

https://www.egao-it.com/

この記事が気に入ったらサポートをしてみませんか?