【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第5回ファイアウォール［前編］

（2005年07月25日）

　ファイアウォールは、インターネットとの接続ポイントなど、外部ネットワークと内部ネットワークのセキュリティの境界の位置に導入し、境界間の通信にアクセス制御を施すことで、外部からの不正アクセスを防止する。いわば、ファイアウォールは、企業・組織のセキュリティ対策のかなめであり、ITマネジャーにとって、その知識は必須である。本連載では、2回にわたり、ファイアウォールの基礎知識から応用技術、最新動向までを解説していく。今回は、前編として、処理方式に基づき、ファイアウォールの基本的な仕組みについて説明する。

鳥居肖史
ネットワンシステムズ

セキュリティ対策の基盤

　ファイアウォールは、外部ネットワークと内部ネットワーク間の通信の中継において、ポート番号ごとにアクセスの禁止／許可を設定することで、その通信を制限する。これにより、アクセスを禁止したポート番号においては、不正アクセスを遮断できるようになる。例えば、TCPの23番ポートへのアクセスを禁止すると、Telnetサービスへの不正アクセスを防止することが可能だ。

　ファイアウォールにおけるアクセス制御は、具体的には、ACL（注1）の設定に基づいて行われる。ファイアウォール製品におけるACLの設定画面のサンプルとして、ノキアのファイアウォール製品「Nokia IPシリーズ」（画面1）と米国セキュア・コンピューティングのファイアウォール製品「Sidewinder」（画面2）のACLの設定画面を紹介しよう。これらの画面をご覧いただけばわかるように、一般に、ACLの設定はテーブル形式で管理できるようになっている。

　ファイアウォールについての詳しい説明を行う前に、ファイアウォールを取り巻くセキュリティ対策製品の動向について触れておこう。

　そもそも、企業・組織がネットワーク・セキュリティ対策へ取り組み始めた当初は、外部からの不正アクセスを防止することが最優先課題であった。そのため、企業・組織において、真っ先に導入されたセキュリティ対策製品はファイアウォールだった。

　しかし、インターネットが普及するにつれ、ネットワーク・セキュリティに対するリスクの数・種類も増え始め、それらへの対応が急務となった。そうした状況に呼応して、ファイアウォールに加えて、本連載で取り上げた脆弱性検査やIDS（Intrusion Detection System：侵入検知システム）、VPN、ワンタイム・パスワード、PKIなどさまざまなセキュリティ対策製品が提供されるようになった。最近では、従来のファイアウォール製品の機能では防ぎきれない攻撃が出現してきており、ファイアウォールを補完するセキュリティ対策製品への注目が高まっている。

　ファイアウォールでは防御できない攻撃の例としては、次のような場合がある。例えば、ファイアウォールを介して、Webサーバへアクセスが行えるような環境を構築するとしよう。その場合、ファイアウォールでは、HTTPプロトコルの通信を許可するためにTCPの80番ポートを開く。ところが、近ごろでは、TCPの80番ポートからWebサーバのセキュリティ・ホールを突こうとする不正行為が行われることがある。これに対して、上述したように、ファイアウォールの機能は通信のアクセス制御であるため、不正アクセスであろうと、通過してしまったパケットについては何の対処も施せない。

　とはいえ、ネットワーク・セキュリティに対する脅威がどんなに増えようと、ファイアウォールによるアクセス制御が、セキュリティ対策の基盤であることに変わりはない。つまり、企業・組織のネットワーク・セキュリティを確保するうえで、ファイアウォールは必須である。実際、ファイアウォール製品は今でも、セキュリティ対策の中心的な製品であり、その普及率は他のセキュリティ対策製品と比べて群を抜いている。

　ファイアウォールの役割や位置づけが整理できたところで、以下、本題に入ろう。