ファイアウォール|不正アクセスとマルウェア防御対策

2025.10.04

ファイアウォール

ファイアウォールはネットワーク境界や端末に配置し、所定のポリシに基づいて通信を許可・拒否するセキュリティ制御である。IPヘッダやトランスポート層のポート、アプリケーション層のプロトコル特性までを評価し、不要な到達性を遮断することで攻撃面を最小化する。実装はルータ内のアクセス制御、専用アプライアンス、クラウドのセキュリティグループ、ホスト型の個別防御など多様である。近年はDPI(Deep Packet Inspection)やアプリ識別、ユーザ識別を統合したNGFWが主流で、ゼロトラストやSASEとも連動して運用最適化が進む。

Table Of Contents

基本原理と動作レイヤ

ファイアウォールはOSI参照モデルの第3層(IP)および第4層(TCP/UDP)を基盤に、送信元/宛先IP、ポート、プロトコル、フラグ(SYNなど)を評価する。ステートレス方式は単一パケットの5タプルを規則照合するのに対し、ステートフル方式は接続状態を保持し、確立済みフローの戻り通信を自動許可できる。アプリケーション層(第7層)まで検査する実装ではHTTPメソッドやDNSクエリ種別等を条件にし、暗号化トラフィックに対しては復号プロキシを併用して可視化することがある。

主な方式

パケットフィルタリング

最も基本的な方式で、IP/ポート/プロトコルの組合せに対して許可・拒否を決める。デフォルト拒否(deny any)とし、必要最小限の到達性のみ許可するのが原則である。実装が単純で性能に優れるが、アプリケーションの文脈理解は限定的である。

ステートフル検査

接続テーブルを保持し、正規のセッション確立(3ウェイハンドシェイク等)に基づいて戻り通信を自動許可する。予期せぬ外部からの単発パケットを抑止でき、擬陽性を低減する一方で、テーブル資源の枯渇やSYN floodへの耐性設計が重要となる。

アプリケーション層/プロキシ型

L7でプロトコルのセマンティクスを理解し、URL、メソッド、ヘッダ、ファイル種別等で精緻に制御する。HTTPプロキシやSMTPゲートウェイが典型で、マルウェア混入やC2通信の検知に有効である。Webアプリ専用のWAFは別系統だが、NGFWに統合される場合もある。

NAT/NAPTとの関係

NATはアドレス変換機能であり、それ自体はセキュリティ制御ではない。ただし内部アドレスの不可視化や、外部からの到達性抑止に寄与するため、ファイアウォールと併用されることが多い。ポート開放やポートフォワーディング時は最小権限で設定する。

設置アーキテクチャ

境界防御ではインターネット側と社内LANの間に配置し、DMZを介して公開サーバを分離する。社内東西トラフィック対策としては内部セグメンテーションファイアウォール(ISFW)やマイクロセグメンテーションで横移動を抑止する。クラウドではVPCごとの仮想ファイアウォールやセキュリティグループ、NACLを組み合わせ、KubernetesではNetworkPolicyでPod間通信を制御する。拠点間VPNやSD-WANと連携して一貫したポリシを適用する設計が望ましい。

ルール設計とベストプラクティス

原則は「最小権限」「デフォルト拒否」「ホワイトリスト運用」である。抽象的な「any」許可は避け、送信元/宛先/サービス単位で明確に限定する。変化管理(変更申請、ピアレビュー、自動テスト)をプロセス化し、影響把握のためにオブジェクト指向のアドレス/サービス定義を用いる。タイムバウンドな一時許可、タグベースの動的ポリシ、ゾーン設計、シャドールールの検出、重複/冗長規則の排除も有効である。

  • デフォルト拒否を最下段に配置し、明示的許可は上位に限定する
  • 宛先FQDNを使う場合はDNS依存性と解決失敗時の挙動を評価する
  • アウトバウンドも最小化し、不要な25/TCP(外部SMTP)を遮断する
  • 管理系は22/TCPや3389/TCPを踏み台やVPNからのみに限定する
  • ICMPは必要なタイプのみ許可し、計測やPMTUDを阻害しない

ログ、可視化、運用

全拒否ログ、許可ログ、脅威ログを適切に収集し、時系列相関や異常検知のためにSIEMで集約する。NetFlow/IPFIXでフローを可視化し、通信量や宛先の偏りを把握する。誤検知/過検知は定期レビューで調整し、ルール命中順序や影響範囲を可観測化する。重大アラートはオンコール運用に連携し、ランブックを整備する。

限界と補完技術

ファイアウォールは到達性制御に強いが、暗号化トラフィック(TLS、QUIC)やアプリ固有ロジックの検査には限界がある。復号はプライバシと性能のトレードオフが大きい。未知マルウェアや端末侵害はEDRやNDR、電子メール対策、DNSフィルタ、IDS/IPSと併用して多層防御で補う。ゼロトラストではID/デバイス態様、姿勢評価、継続的認証を組み合わせ、ネットワーク境界に依存しない最小権限を実現する。

典型的な許可・拒否パターン例

  • 社内端末→外部: 80/TCP, 443/TCP のみ許可(プロキシ経由が望ましい)
  • 外部→社内: 既存セッションの戻り通信のみ許可、着信は基本拒否
  • 管理: 22/TCP は踏み台IPからのみ、RDPはVPN越し限定
  • 公開Web: 80/443のみDMZのリバースプロキシへ、バックエンドは内部のみ
  • メール: 外向け25/TCPはMTAからのみ、端末からは拒否
  • DNS: 53/UDPは社内リゾルバへ限定し、外部直行は拒否

複雑なプロトコル(SIP、FTP、H.323など)は動的ポート開放やALGを要する場合がある。タイムアウトやセッションテーブル容量、SYN/UDP flood対策、フラグメント処理、MTUとPMTUD、アシンメトリックルーティングなど、実運用上の挙動も事前検証しておくべきである。クラウドではセキュリティグループとNACLの評価順序が異なるため、重ね掛け時の有効ポリシを検査する。

クラウド・コンテナ時代の展開

IaaSではVPC境界の仮想ファイアウォールに加えて、ワークロード単位のエージェントやeBPFでカーネルレベルのL3/L4/L7制御を行う。KubernetesではNamespaceやLabelを用いたNetworkPolicyが基本で、サービスメッシュはL7のmTLSやレート制御、可観測性を補完する。分散環境では集中管理よりもポリシの「意図」を宣言的に記述し、CI/CDで自動検証・デプロイする運用が有効である。

コンプライアンスと証跡

PCI DSSやISO/IEC 27001などの規格は、セグメンテーションと到達性制御、変更管理、ログ保全を要求する。ファイアウォールのルールセットは資産台帳と紐付け、誰が何の業務要件で追加したかを残す。棚卸しと定期レビューを実施し、不要ルールの削除や有効期限の失効確認を自動化することで、監査対応とセキュリティの両立を図る。

コメント(β版)