【連載】
プロアクティブ・セキュリティ

第6回ファイアウォール［後編］

（2005年08月08日）

　ファイアウォールは、外部ネットワークからの不正アクセスを防止するためのものであり、企業・組織のセキュリティ対策には欠かせない。そこで、前回は、処理方式に基づき、ファイアウォールの基本的な仕組みについて解説した。今回は、後編として、製品選定の基準となるファイアウォール製品の種類、機能、処理性能について説明する。加えて、処理性能を向上させる方法、ファイアウォール製品が装備するVPN機能を利用する際の注意点、ファイアウォールの導入時のネットワーク構成の典型例を紹介する。

鳥居肖史
ネットワンシステムズ

ファイアウォール製品の種類と特徴

　ファイアウォールを導入する際は、製品の選定やネットワーク構成を、利用目的に合うように行うことが重要になる。とはいえ、ファイアウォール製品の種類やネットワークの構成方法は多岐にわたるため、利用目的にふさわしい製品や構成方法を選ぶことはなかなか難しい。そこで、まずは、ファイアウォール製品の種類と特徴について整理しておこう。

　ファイアウォールは、製品形態によって、アプライアンス製品、ソフトウェア製品、ボード型製品の3種類に分類することができる（図1）。以下、これらの製品について順番に説明していく。

図1：製品形態による分類

1. アプライアンス製品

　ハードウェアとソフトウェアが一体化しているのが、アプライアンス製品である。アプライアンス製品の特徴は、運用管理が容易であることだ。

　アプライアンス製品は、アーキテクチャの違いから、「汎用PCアーキテクチャ型」と「専用プロセッサ型」の2種類に分けられる。前者はソフトウェアで、後者はハードウェアで、ファイアウォールの処理を行う。

　専用プロセッサ型の製品には、処理の高速化を図るために、ASICやネットワーク・プロセッサが搭載されている。よって、処理速度は、汎用PCアーキテクチャ型に比べて高速である。

　ネットワーク・プロセッサは、特定の定型処理を高速に実行することができ、ルータやスイッチに広く使われている。ただし、ファイアウォールの処理は、定型化できるものばかりではない。上位レイヤのアプリケーション・レベルでのセキュリティ検査の重要性が高まっているが、その処理は定型化しにくく、ネットワーク・プロセッサには不向きな処理だと言われている。そのため、ネットワーク・プロセッサは、上位レイヤの処理を伴わないアクセス制御においてのみ、効果を発揮すると考えたほうがよいだろう。

　なお、アプライアンス製品の中には、それを管理するためのソフトウェアを、PCに別途インストールしなければならないものもあることに注意されたい。せっかく、運用管理の容易なアプライアンス製品を購入したのに、さらにPCの管理まで行わなければならなくなり、当てが外れたということのないよう、事前に製品構成を確認することをお勧めする。