第3回 ファイアウォールの常識：知ってるつもり？ 「セキュリティの常識」を再確認（2/3 ページ）

[佐山 享史（三井物産セキュアディレクション），ITmedia]

ファイアウォールの歴史を知る

　ファイアウォールというものが認知されだしたのは、1990年代初頭だ。しかし、その歴史はおそらくルータのACL（Access Control List）が始まりだといえるのではないだろうか。ACLとは、「送信元／送信先IPアドレス」や「送信元／送信先ポート」を基に、アクセス制御（パケットフィルタリング）を行う機能である。現在、シスコシステムズやエクストリームネットワークスの何億円もする業務用ルータから、3000円のブロードバンドルータに至るまで、ほぼすべての機器でACLを使用することができる。概念的にはこれらは、すべてファイアウォールだということができる。

　最近のルータでは、後述するステートフルインスペクションでのアクセス制御やログ管理機能を搭載したものがあり、機能的にはファイアウォールと遜色なくなってきている。

　ただし、あくまでルータはパケットを中継（ルーティング）することが目的であるのに対して、ファイアウォールはアクセスを許可したパケットのみを中継することを目的としている。ここで相違が生じている。

　ファイアウォールは当初、ソフトウェアベースでアクセス制御を行うプログラム的なものであったが、その後トラフィックの急増や攻撃手法の多様化に合わせて専用のアプライアンス機器という形に推移していき、ASICを搭載したハードウェアベースで処理を行う製品も出ている。また、その役割も単にアクセス制御を行うだけでなく、VPNやウイルス対策などの機能が追加され、1台で複数の役割を持つ複合デバイスとして進化している。

アクセス制御方式

　ファイアウォールの基本的な機能は、あらかじめ設定したルールに基づいて、パケット単位で許可／不許可の処理を行う機能である。そのルールは、IPヘッダやTCP/UDPヘッダに含まれるプロトコル番号、IPアドレスポート番号などの情報をもとに設定することが可能だ。

　例えば、「192.168.1.0/24から192.168.2.10の80/tcp」へのアクセスは許可するが、それ以外のすべてのパケットは不許可するといったことができ、場合によっては、ルールにマッチした場合にログを残しておくこともできる。

パケットフィルタリング

　パケットフィルタリングでは、あらかじめ設定したルールのみに基づき処理を行う方式である。あらかじめ使用されるすべてのプロトコルやポートを許可しておく必要があり、場合によっては多くのポートを常に開けておく必要がある。

ステートフルインスペクション

　Webや電子メールなど多くのアプリケーションでは、ひとつの処理が完了するまでに複数のパケットがやりとりされる。クライアントおよびサーバ側で、通信状態が管理され、パケットは正しく上位アプリケーションへ受け渡される。もし「見覚えのない」パケットを受けとった場合には、破棄されるか、最悪の場合には、それが原因でコンピュータが停止してしまうかも知れない。

　これら、通常エンドツーエンドで行なわれる状態管理を、途中経路によるファイアウォール上で実施する仕組みがステートフルインスペクションである。また、制御用、データ転送用と2つのセッションを持つFTPや、ポート番号が固定されないアプリケーション（の一部）の通信状態も管理する。

　ステートフルインスペクション技術により、悪意のあるパケットは途中経路のファイアウォールで阻止することができるようになった。また、制御対象がこれまでのポート番号単位からアプリケーション単位に拡張され、パケットフィルタリングの幅が広がった。

ゲートウェイ - サーキットレベルゲートウェイ、アプリケーションゲートウェイ（プロキシ）、アプリケーションファイアウォール

　途中経路の配置されたファイアウォールのパケットフィルタリング機能により、エンドツーエンドの通信は、設定されたルールに従いパケットの「転送」が制御される。そのほかのアクセス制御方式として、多くのファイアウォールでは、パケットを「中継」するさまざまな機能を持ち、パケットフィルタリングに対して、一般的にゲートウェイやプロキシと呼ばれている。

　SOCKS に代表されるTCP、UDP層での中継を行なうサーキットレベルゲートウェイや、特にWebアクセスの用途として発展したアプリケーション層によるゲートウェイ（単にプロキシと呼ばれることも多い）など、それぞれの層で実装されている。

　これらゲートウェイ方式では、通信の通過点を1カ所に集中することで、セキュリティポリシーの適用および運用を簡素化でき、全体のセキュリティレベルの向上も期待できる。また、パケットを一度ファイアウォール内で中継することにより、多くの情報をアクセス制御の対象とすることが可能になり、ウイルスゲートウェイなどのコンテントフィルタ機能などへ拡張されている。

　最近では、特にWebサイトの保護を目的とした、アプリケーションファイアウォールと呼ばれる機能が注目されているが、機能的には一種のアプリケーションゲートウェイと考えることができる。アクセス制御の対象が拡張されるにつれ、ファイアウォールはこれまでの大きなネットワークの境界から、小さなネットワークの境界、またはホスト単位へと適用されつつある。

　これらゲートウェイの特徴の一つとして、通常は利用者からは意識されずにネットワーク上に配置できることが挙げられる（もちろん初期設定は必要だ）。もう一つの特徴として、必然的にスループットが低下するという問題が発生する。現実的には、用途に応じ前述のパケットフィルタリングとゲートウェイ機能をバランスく組み合わせての設置を行なうことになる。場合によっては、複数のファイアウォールを組み合わせての運用になることもあるだろう。

構成要素