第3回 ファイアウォールの常識：知ってるつもり？ 「セキュリティの常識」を再確認（1/3 ページ）

第1回、第2回と「基礎の基礎」と題して、情報セキュリティの概念を理解してもらえたと思う。今回は、最も基本的なセキュリティ製品である「ファイアウォール」を知ろう。

[佐山 享史（三井物産セキュアディレクション），ITmedia]

　SQL Slammer、Blaster、Sasser――。これらはこの2年で猛威を振るった有名なワームである。その感染力はすさまじく、Slammerではわずか10分間で脆弱なホストの約90％が感染したといわれている。またBlaster、Sasserに関しては、クライアントPCに感染して多大な影響を及ぼしたため、ワームの存在を世に知らしめたものといえる。

　しかし、ファイアウォールがあれば、この被害を防ぐことができたということをご存知だろうか？　もう少し正確に言うと、ファイアウォールがワームの利用するポート（たとえば、Slammerであったら 1433/udp）を遮断することで被害を受けずに済んだのである。そして、ファイアウォールは上記のようなワームを防ぐだけでなく、それ以外の複数種別の攻撃に対しても防御することができる。

　ここまで聞くと、ファイアウォールは非常に有効なものとして認識されるだろう。ところが、感染ホストが内部に持ち込まれた場合には、内部ホストへの感染を防ぐことはできない。つまり、ファイアウォールは外部からの感染を防ぐには効果的だが、内部間での感染に対しては効果的ではない。特に、冒頭で示したワームによる、組織内部での感染被害を経験された方も少なくないであろう。こうなってくると、実際に意味があるかどうか、非常に分かりにくい。

　効果を発揮するファイアウォール、そして発揮できないファイアウォール。本稿では、その役割から仕組み、そして有効活用するための方法を説明していく。

ファイアウォールの役割

　「ファイアウォール」は、最も基本的なセキュリティプロダクトである。すでに大半の企業で導入され、その存在は広く認知されている。しかし、実際に「ファイアウォール」で何ができるか、そして何ができないか、を正確に認識している人は少ないのではないだろうか。

　ニュースや新聞で“ファイアウォールがあるのでセキュリティは大丈夫です”と、まるで魔法の箱のように扱われているのを聞いたことがあるが、本来ファイアウォールとは、「信頼できないネットワーク」と「防御すべきネットワーク」の境界でアクセス制御をするものの総称である。最大の役割は、自身を通過するパケットに「ルール（ポリシー）」を適用して、「不必要な通信を拒否（遮断）」すること、「必要な通信だけを許可」してアクセスさせることである。

　ファイアウォールは、自身で危険と判断して通信を遮断してくれる「魔法の箱」ではない。危険であるかどうかを人間が判断して、そのルール（ポリシー）を適用する必要がある。つまり「ただのネットワーク機器」である。管理者はファイアウォールを「ただのネットワーク機器」にしないために、できること、できないことを正確に把握する必要があるのだ。

ホスト型のファイアウォールもあるが、今回は省略する

図1■ファイアウォールの設置例

　それでは、ファイアウォールが「防御するもの」とは一体何だろうか？　それは、インターネットに接続されると危険にさらされる下記のようなものだと考えられる。

1. 情報（データ）

2. 資源（リソース）

3. 信用

1.情報（データ）

　「顧客情報」「収支情報」など機密性の高いものから、「勤務表」のような一般的に利用価値の低いようなものも含め、「組織」または「個人」が保有するすべての情報（データ）が対象。昨今では、情報の価値とは関係なく、“データが流失した”という事実が大きな意味を持ってきている。

2.資源(リソース)

　コンピュータのリソース（CPU、メモリ、ハードディスク）。不正プログラムやウイルスに感染した場合に、復旧させるための人的リソース。また、ワームなどのトラフィックにより消費されるネットワーク資源が含まれる。

3.信用

　組織、個人を問わず重要となるのは「社会的信用」である。信用が失われることは、即ち「社会的失墜」を意味するだろう。これはインターネット社会でも現実社会でも同じであるが、信用は時間を掛けて作らなくてはならず、一度失ってしまうと元に戻すのは非常に困難である。

ファイアウォールの歴史を知る