ファイアーウォール(FW)は、パケットフィルタリング型とアプリケーション型に分類できる。
パケットフィルタリング
パケットフィルタリングは、パケットのヘッダ情報(IPアドレスとポート番号の組合せ)からパケットの通過可否を判断する。このために、フィルタリングテーブルと呼ばれる表を設定し、どの通信を通過させるのかを定義する。
パケットを受け取ったFWは、パケットのヘッダに記憶された送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号とフィルタリングテーブルの各行を順に比較し、最初に一致した行に定義した動作を行う。
アプリケーションゲートウェイ
アプリケーションゲートウェイは、アプリケーション層で制御を行うFWのこと。
ヘッダだけでなく、パケットの情報まで参照可能なので、パケットフィルタリングでは不可能な制御も可能である。
- アプリケーションプロトコルの特定コマンドのみを許可
- 不適切なURLへの通信を遮断(URLフィルタリング)
- 不適切な単語を含むデータを遮断(コンテンツフィルタリング)
ただし、アプリケーションゲートウェイでは、アプリケーションプロトコルごとの設定が必要になる。
最近のインターネットにおいては、Webサーバを用いて処理機能を実現する、Webアプリケーションが広く普及している。Webアプリケーションを対象としたアプリケーションゲートウェイのことは、WAF(Web Application Firewall)と呼ばれる。
ネットワークの分類
ネットワークをいくつかのセグメント(領域)に分け、サーバを適切に配置することで、安全性は高まる。 特定のセグメント内で問題が発生しても、他のセグメントへの影響を最小限に抑えられます。
| 外部セグメント | FWの外側。外部からのアクセスを制限できない。 |
| 内部セグメント | FWの内側。外部からのアクセスは、FWで遮断される。 |
| DMZ(非武装セグメント) | 外部セグメントと内部セグメントぼ両方からアクセス可能な領域。 Webサーバ、メールサーバ、DNSサーバ、プロキシサーバのある領域 |
インターネット上に公開するサーバ郡はDMZに配置し、内部セグメントから隔離することが一般的である。DMZは、FW経由でインターネットや内部セグメントからのアクセスを許可し、許可された通信以外は内部セグメントへのアクセスを禁止する。
不正侵入対策
FWを設置しても、不正アクセスを100%防止することはできない。このような場合を考慮していくつかの技術、方策が考え出されている。
IDSとIPS
IDSとIPSとは、ネットワーク/サーバーへの異常な通信や不正なアクセスを検知・防御するシステム。
IDS(Intrusion Detection System)「不正侵入検知システム」と呼ばれており、ネットワーク上の通信を監視して、不正なアクセスやその兆候を検知し管理者などに通知する役割を持つ。
Detection=検出
IPS(Intrusion Prevention System)「不正侵入防止システム」と呼ばれており、ネットワーク上の通信を監視して不正なアクセスをブロックする役割を持つ。
Prevention=防止
ペネトレーションテスト
ペネトレーションテスト(侵入テスト)とは、システムやネットワークへの侵入を試みることで、セキュリティの脆弱性を評価するテストのことです。攻撃者視点で、システムへの侵入を試み、情報漏洩やシステム停止などのリスクを検証します。「ペンテスト」や「侵入テスト」とも呼ばれます。
ハニーポット
ハニーポット(おとり)とは、サイバーセキュリティにおいて、攻撃者を意図的に引き寄せて、その行動を観察・分析するためのシステムやネットワークのことです。おとりとなることで、実際のシステムへの攻撃を防ぎ、攻撃者の手法や動きを把握することを目的とします。
UTM
UTM (Unified Threat Management) とは、複数のセキュリティ機能を1つの機器に統合し、ネットワーク全体の脅威管理を一元化するシステムのことです。ファイアウォール、アンチウイルス、侵入検知システム (IDS/IPS) など、様々な機能をまとめて管理することで、セキュリティ対策を効率的に行うことができます。
無線LANのセキュリティ
無線LANでは、データの盗聴と不正接続の対策が必要です。このための暗号技術には、WPA2やWPA3、WEPなどがあります。ただしWEPについては脆弱性が発見され、鍵の推測が容易なため現在はあまり使われていません。
このほかにも、以下のようなセキュリティ技術があります。
| MACアドレスフィルタリング | 無線LANルーターに、接続を許可するMACアドレスを事前に登録しておき、登録されていない端末からの接続を拒否する機能です。 |
| ステルスESSID | 無線LANのアクセスポイントが、自身のSSID(ネットワーク名)をブロードキャストしないように設定する機能です。 |
| WPAエンタープライズ | WPA2やWPA3などの暗号化方式に加えて、ユーザ認証を組み合わせたセキュリティ方式です。RADIUSサーバーと呼ばれる認証サーバーを利用して、ユーザIDとパスワードで認証を行います。 |