ESET/マルウェア情報局

サイバー攻撃対策に不可欠な「ファイアウォール」についておさらいしておこう

  • この記事をはてなブックマークに追加
  • 本文印刷

 本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「サイバー攻撃に有効なファイアウォールの適切な設定とは?」を再編集したものです。

ファイアウォールとは何か

 サイバー攻撃の手口は年々巧妙化しており、セキュリティ対策は不可欠なものとなっている。セキュリティ対策といっても多岐にわたるが、その中でも基本的かつ重要な対策のひとつがファイアウォールの設置だ。ファイアウォールは、企業や自宅などの内部ネットワークと外部のインターネットの間に位置する「防御壁」のように機能する。

 ファイアウォールは常時、インターネットから内部ネットワークへのアクセスおよび内部ネットワークからインターネットへのアクセスを監視し、許可されていないアクセスの検知、許可されているものでも不正なアクセスを遮断する。ファイアウォールを導入せずに、内部ネットワークをインターネットに接続する行為は、家の門を開け放ったまま外出するようなものであり、サイバー攻撃者の格好のターゲットとなる。

ファイアウォールの仕組みと種類

 外部からの不正なアクセスを遮断するファイアウォールは、不正なアクセスを見分けるためのフィルタリング方法によって、大きく「パケットフィルタリング型」、「アプリケーションレベルゲートウェイ型」、「サーキットレベルゲートウェイ型」の3種類に分けられる。

・パケットフィルタリング型

 ファイアウォールの最も基本的なタイプで、ネットワークを流れるパケットのヘッダ部を解析し、ヘッダ部に記述されているIPアドレスやポート番号を元に、パケットを通過させるかどうかを判断する。つまり、ネットワーク層でのフィルタリングを行なうものである。

・アプリケーションレベルゲートウェイ型

 HTTPやFTPといったアプリケーション層でのフィルタリングを行なうタイプで、プロキシサーバーとして動作する。アプリケーションごとに、パケットの中身までチェックして不正なアクセスを遮断できるため、ユーザー単位でのアクセス制御など、細かな設定が可能だ。このタイプは内部でプロキシ経由にて通信を行ない、外部から内部のネットワークには直接接続しないため、安全性は高い。また、アプリケーションレベルゲートウェイ型を進化させ、数多くのアプリケーションを制御できるファイアウォールのなかには、次世代ファイアウォールと呼ばれるものも出てきている。

・サーキットレベルゲートウェイ型

 パケットフィルタリング型ファイアウォールの進化系で、パケットフィルタリングによる通信制御に加え、トランスポート層レベルの通信を中継して制御を行なうタイプ。通信を許可するポートの指定や、特定のシステム、アプリケーションのみの通信に限定して制御することが可能。なお、専用のソフトがパソコンなどのクライアント端末にも必要なケースもあるので注意が必要だ。

 それぞれの方式によって、メリット・デメリットがあり、サーバーに設置するタイプとパソコンなどの端末内で機能するタイプ(パーソナルファイアウォールと呼ばれることもある)でも運用の仕方が変わってくるため、導入する対象や目的などに応じて最適なものを選択するのがよいだろう。

ファイアウォールで防げるサイバー攻撃と残るセキュリティリスク

 ファイアウォールを導入することで防げるサイバー攻撃や解決できるセキュリティ問題としては、次のようなものがある。

・ポートスキャンに代表される外部からの不正アクセス

 ファイアウォールを導入することで、手当たり次第に空きポートを探すポートスキャンなどの外部からの不正アクセスを防ぐことができる。ファイアウォールには、アクセスの履歴をログとして保存する機能があるため、こまめにログをチェックし、不正なアクセスが増えていないかを確認するとよい。短期間に不正なアクセスが急増しているのであれば、サイバー攻撃が行なわれた可能性も考えられる。

・内部からのアクセスによる不正なプログラム(マルウェア)のインストール

 ファイアウォールは、内部から外部への不正なアクセスも監視するため、ユーザーを騙してマルウェアに感染させるような悪意のあるサイトへのアクセスを遮断し、マルウェアがインストールされないよう防御することも可能である。メールの添付ファイルに仕込まれたマクロなどでマルウェアをダウンロードさせる手口も増えており、そうした手口に有効な対策となる。

ファイアウォールだけではマルウェアは防げない

 ファイアウォールはサイバー攻撃における生命線ともいえる通信を監視するため、その効果は高いものの、それだけですべてのサイバー攻撃を防げるわけではない。ファイアウォールはあくまで外部のインターネットと内部のネットワークの間に置かれる関所のようなものであり、通信経路を流れるパケットを監視し、不正な通信を遮断するものである。管理するユーザーの設定ルールに基づき通信をチェックするが、パケット内部に潜んでいるマルウェアそのものを検知する機能や、マルウェアに感染した端末からマルウェアを駆除する機能は含まれない。そのため、マルウェアに対してはファイアウォールのみならず、あわせてウイルス対策ソフトを導入する必要がある。

 また、送信元のIPが偽装されたDoS攻撃やSYNフラッド攻撃も、ファイアウォールで防ぐことはできない。ファイアウォールの防御メカニズムを正しく理解し、ウイルス対策ソフトなどのセキュリティ対策ツールを併用することが重要だ。

ファイアウォール設定のポイント

 ファイアウォールは、導入して終わりというものではなく、使用環境に応じた適切な設定を行なうことで、その効果が最大限に発揮される。ファイアウォール設定のポイントは、次の通りだ。

・使用しないポートを適切にふさぐ

 ポートスキャンによって、サーバーの脆弱性が見つかることを防ぐためにも、使わないポートはできるだけふさぎ、最低限のポートのみを開くようにする。

・ポート番号の割り振りをする

 代表的なサービスは、使うポート番号が決まっているが、ネットワークカメラなどでは、製品ごとに異なるポート番号を使うものもある。そうした機器やサービスを使っている場合は、そのポート番号を使えるようにファイアウォールの設定を行なう。

・アプリケーションごとに許可設定をする

 ファイアウォールでは、アプリケーションごとに外部との通信を許可するかどうかを設定できる。いわゆるホワイトリスト方式の場合、許可されたアプリケーション以外は、外部との通信が遮断されるため、不正なプログラムによって外部に情報が漏えいしてしまうことを未然に防げる。

統合型セキュリティソフトならファイアウォール機能も万全

 Windowsパソコンには「Windows Defender」の機能として標準搭載されているファイアウォールもあるが、これは必要最低限の機能しか持たないもの。より強固なセキュリティ対策のためには、ESETなどの統合型セキュリティソフト導入は検討に値する。ファイアウォールだと専用の製品をイメージしがちであるが、統合型セキュリティソフトはファイアウォール機能だけでなく、アンチウイルス機能や迷惑メール対策などさまざまな機能を併せ持つ。個別に導入するよりも連動性が高まるため、安全性もより強固となる。

図1 詳細設定

 ESETでは、ファイアウォール機能を有効にすると、Windows Defenderのファイアウォールのルールも適用して受信するトラフィックを許可する。フィルタリングのモードはルールを設定しなくても簡単にファイアウォールが利用できる「ルール付き自動モード」、ルールが設定されていない接続に対してダイアログを表示する「対話モード」、設定したルールに従い接続を許可・ブロックする「ポリシーベースモード」、ルールを自動的に作成する「学習モード」から選択できる。ESETでは、とくに専門的な知識がないユーザーでも利用が可能であり、詳細に設定したいユーザーがルールやポリシーをカスタマイズして通信を許可するような対応も可能だ。

 今後、社会的な潮流として、デジタル化は加速していくことはほぼ既定路線だろう。テレワークのような働き方も当たり前となり、自宅のネットワーク環境もセキュリティを強く意識することが必要になることも見込まれる。また、より高度化するサイバー攻撃の歯牙にかからないためにも、プライベートな空間も適切な防御策はもはや必須とすら言える。

 今後は個人として導入が容易なセキュリティソフトなどを活用し、ファイアウォールをはじめとしたセキュリティ対策を講じていくべき時代になりつつあることを意識してほしい。