【仕組み解説】ファイアウォールはどうやって不正アクセスを防いでいるのか — 通信フィルタリングの仕組みを図解


ファイアウォールの通信フィルタリング 外部ネットワーク ポート 80 HTTP通信 ポート 443 HTTPS通信 ポート 23 不正アクセス ファイアウォール ルール ✓ 80, 443 許可 ✗ 23 拒否 🔍 検査中 内部ネットワーク Webサーバー 社内PC 許可 ブロック 通信の状態を追跡し、不正なパケットを遮断
ファイアウォールによる通信フィルタリングのイメージ
ひよこ ひよこ
ファイアウォールってよく聞くけど、具体的に何をしてるの?
ペンギン先生 ペンギン先生
ファイアウォールは、ネットワークの「関所」みたいなものだよ。外のインターネットと内側のネットワークの境目に立って、通過していいデータと怪しいデータを仕分けしてるんだ。
ひよこ ひよこ
関所! 通行手形みたいなものがあるの?
ペンギン先生 ペンギン先生
いい例えだね。一番基本的な方式が「パケットフィルタリング」で、通信データ(パケット)のヘッダーに書かれた送信元IPアドレス、宛先IPアドレスポート番号をチェックするんだ。たとえば「ポート80番(HTTP)は通していいけど、ポート23番(Telnet)はブロック」みたいなルールを設定しておくんだよ。
ひよこ ひよこ
ポート番号って、建物の入口の番号みたいなものなんだね! でも、それだけで安全なの?
ペンギン先生 ペンギン先生
実はパケットフィルタリングだけだと限界があるんだ。そこで登場するのが「ステートフルインスペクション」だよ。これは通信の状態を追跡する仕組みで、「この通信は内側から始まった正規のやり取りの返答だな」と判断できるんだ。いきなり外から飛んできた不審なパケットは、たとえポート番号が許可されていてもブロックできるよ。
ひよこ ひよこ
会話の流れを覚えてて、突然割り込んでくる怪しい人をはじくってことなんだね!
ペンギン先生 ペンギン先生
そのとおり。さらに高度なのが「アプリケーションゲートウェイ(プロキシ型)」で、これはOSI参照モデルレイヤー7、つまりアプリケーション層まで中身を見るんだ。HTTPの中身を解析して、SQLインジェクションみたいな攻撃パターンが含まれていないかまでチェックできるよ。
ひよこ ひよこ
WAFってのも聞いたことあるけど、それとは違うの?
ペンギン先生 ペンギン先生
WAFWeb Application Firewall)はアプリケーションゲートウェイの一種で、特にWebアプリケーションへの攻撃を防ぐことに特化しているよ。クロスサイトスクリプティングSQLインジェクションなど、Webならではの攻撃パターンを検知するのが得意なんだ。通常のファイアウォールネットワーク層〜トランスポート層を守るのに対して、WAFアプリケーション層に特化している点が違いだね。
ひよこ ひよこ
ファイアウォールのルールってどうやって決めるの?
ペンギン先生 ペンギン先生
大きく2つの考え方があるよ。「ホワイトリスト方式」は許可する通信だけを明示的にリストアップして、それ以外は全部ブロック。「ブラックリスト方式」は禁止する通信をリストアップして、それ以外は通す。セキュリティ的にはホワイトリスト方式のほうが堅いけど、設定が大変なんだ。企業のサーバーではホワイトリスト方式、家庭用ではブラックリスト方式が多いね。
ひよこ ひよこ
家庭にもファイアウォールってあるの?
ペンギン先生 ペンギン先生
実は家庭のルーターにもファイアウォール機能が入ってるよ。NATネットワークアドレス変換)という仕組みがファイアウォール的な役割を果たしていて、外部からの一方的な接続を遮断してくれるんだ。WindowsやmacOSにも「パーソナルファイアウォール」が標準搭載されているから、二重で守られているんだよ。
ひよこ ひよこ
知らないうちに守られてたんだね! でも最近は「ゼロトラスト」とか聞くけど、ファイアウォールだけじゃダメなの?
ペンギン先生 ペンギン先生
鋭い質問だね。従来のファイアウォールは「内側は安全、外側は危険」という境界型の考え方だったんだけど、クラウドリモートワークの普及で「内側」と「外側」の境界が曖昧になってきたんだ。そこで登場したのが次世代ファイアウォールで、アプリケーション識別・侵入防止・マルウェア検知を1台でこなすよ。さらにゼロトラストの考え方では、ネットワークの場所に関係なく「全通信を検証する」という方針に進化しているんだ。
ひよこ ひよこ
ファイアウォールも時代に合わせて進化してるんだね!
ペンギン先生 ペンギン先生
そうだよ。ただ、どんなに高度なファイアウォールでも「許可された通信の中に紛れ込む攻撃」は防ぎきれない。だからWAFIDS/IPSEDRといった複数のセキュリティ対策を組み合わせる「多層防御」が現代のセキュリティの基本になっているんだ。ファイアウォールはその最前線を守る、まさに「第一の砦」だね。