ファイアウォールとは?

ファイアウォールは、組織が事前に設定したセキュリティポリシーに基づいて、送受信ネットワークトラフィックを監視およびフィルタリングするネットワークセキュリティデバイスです。 最も基本的なファイアウォールは、プライベートな内部ネットワークとパブリックインターネットの間にあるバリアです。 ファイアウォールの主な目的は、脅威ではないトラフィックの侵入を許可し、危険なトラフィックを締め出すことです。

専門スタッフに相談する 2025年ガートナーレポート

ファイアウォールとは?さまざまな種類のファイアウォール

ファイアウォールの歴史

ファイアウォールは 1980 年代後半から存在しており、コンピューター間で転送されるパケット (バイト) を検査するために設定されたネットワークであるパケット フィルターとして始まりました。 パケットフィルタリングファイアウォールは今日でも使用されていますが、数十年にわたってテクノロジーが発展するにつれて、ファイアウォールは長い道のりを歩んできました。

  • Gen 1 ウイルス
    • 第1世代、1980年代後半、スタンドアロンPCへのウイルス攻撃は、すべてのビジネスに影響を与え、ウイルス対策製品を推進しました。
  • Gen 2 ネットワーク
    • 第2世代、1990年代半ば、インターネットからの攻撃はすべてのビジネスに影響を与え、ファイアウォールの作成を促進しました。
  • Gen 3 アプリケーション
    • 第3世代、2000年代初頭、アプリケーションの脆弱性を悪用し、ほとんどのビジネスに影響を与え、侵入防止システム製品(IPS)を推進しました。
  • Gen 4 ペイロード
    • 第4世代、約 2010年、標的型、未知、回避型、ポリモーフィック攻撃が増加し、ほとんどの企業に影響を与え、アンチボット製品やサンドボックス製品を推進しました。
  • Gen 5 メガ
    • 第5世代、約 2017年、高度な攻撃ツールを使用した大規模、マルチベクトル、メガ攻撃、および高度な脅威対策ソリューションを推進しています。

1993年、チェック・ポイントのCEOであるGil Shwedは、最初のステートフル・インスペクション・ファイアウォールであるFireWall-1を発表しました。 それから 30年が経ちましたが、ファイアウォールは今でもサイバー攻撃に対する組織の防御の最前線です。 次世代ファイアウォールやネットワークファイアウォールなど、今日のファイアウォールは、次のようなさまざまな機能 機能が組み込まれています。

ファイアウォールの進化

ファイアウォールによって保護されるネットワークと同様に、ファイアウォール自体も過去10年間で大きな変化を遂げました。最も初期のファイアウォールツールでさえ、ネットワークセキュリティには欠かせないものでした。1980年代にパケットフィルタリングツールとして登場したのがその始まりです。

初期開発:パケットフィルタリングファイアウォール

1980年代後半に登場した第一世代のファイアウォールは、シンプルなパケットフィルタリングを採用したものでした。これらのツールは、ネットワーク層 (OSIレイヤー3) でデータパケットを調べ、IPアドレス、ポート、プロトコルなどのパラメータを通じてネットワークが応答するパケットをフィルタリングしました。しかし、コンテキストの認識が欠如しており、個々のパケットに重点が置かれすぎたため、IPフラグメンテーションなどの複雑な攻撃に対して脆弱でした。

ステートフル インスペクションの出現

1990年代には、チェック・ポイントが先駆けとなったステートフル インスペクション ファイアウォールが登場しました。これらの第二世代ファイアウォールは、接続の状態を継続的に監視し、パケットが確立されたセッションの一部であることを確認するものでした。この機能強化により、セキュリティは飛躍的に向上しました。

アプリケーション層とプロキシファイアウォール

アプリケーション層ファイアウォールとプロキシファイアウォールは、ほぼ同時期に登場しました。前者はレイヤ7で動作し、アプリケーション固有のデータとルールセットを分析し適用することができました。また、基盤となるネットワークアーキテクチャからトラフィックリクエストを完全に分離できるため、安全性も非常に高いものでした。しかし、初期のモデルでは処理能力が限られており、レイテンシの問題がありました。

統合脅威管理(UTM)と次世代ファイアウォール(NGFW)

2010年代には、ファイアウォールの反応性とアンチウイルス、侵入検知、その他の大規模企業向けセキュリティシステムからの追加データポイントを組み合わせることを目的としたUTMシステムが登場しました。NGFWは、ディープ パケット インスペクション、高度な脅威対策、アプリケーションレベルのフィルタリングを追加することで、これらの統合機能を強化しました。

現代の適応:クラウドとAI

現在、ファイアウォールはクラウド環境とコンテナ化されたアプリケーションに適応しており、サービスとしてのファイアウォール (FWaaS) が誕生しています。環境間データの基盤の上に構築され、優れた異常検出、予測的脅威分析、適応型ポリシー適用のためにAIと機械学習が導入されるケースが増えています。

静的なフィルターからインテリジェントなコンテキスト対応型システムまで、ファイアウォールは絶えず進化し、変化し続ける脅威の状況に対応してきました。今日のファイアウォールを非常に重要なものにしているすべての機能について詳しく見ていきましょう。

さまざまな種類のファイアウォール

パケットフィルタリング

パケットフィルタリングは、ネットワーク間のデータフローを制御するためにファイアウォールで使用されるネットワークセキュリティ技術です。着信トラフィックと発信トラフィックのヘッダーを一連の事前定義されたルールに照らして評価し、許可するかブロックするかを決定します。

ファイアウォール ルールは、ファイアウォール構成の重要な部分を形成する正確な指令です。これらは、送信元と宛先のIPアドレス、ポート、通信プロトコルなどのパラメータに基づいて、トラフィックが許可またはブロックされる条件を定義します。エンタープライズ環境では、これら個々のルールがネストされてアクセス制御リスト (ACL) を形成します。トラフィックを処理する際、ファイアウォールは各パケットをACLルールに照らして順番に評価します。パケットがルールに一致すると、ファイアウォールは対応するアクション (トラフィックの許可、拒否、またはリジェクトなど) を強制し、以降のルールの評価は行いません。この構造化された系統的なアプローチにより、ネットワークアクセスが厳密に制御され、一貫性が保たれます。

プロキシ サービス

ファイアウォールはネットワークのエッジに位置するのに適しているため、プロキシファイアウォールは単一のエントリーポイントとして機能するのに適しています。これにより、フィアウォールは各接続の有効性を評価することができます。プロキシサービス ファイアウォールは、クライアント接続をファイアウォールで終了し、リクエストを分析してから内部サーバーとの新しい接続を確立することで、内部と外部を完全に分離します。

ステートフルインスペクション

ステートフル パケット インスペクションは、データパケットの内容を分析し、それらをファイアウォールを既に通過したパケットに関する情報と比較します。

ステートレス インスペクションは、各パケットを個別に分析します。一方、ステートフル インスペクションは、以前のデバイスと接続データを取り込んで、ネットワークのトラフィックリクエストをさらに理解します。これは、ネットワークデータを連続したストリームとして見るのに似ています。アクティブな接続のリストを維持し、よりマクロ的な視点から各接続を評価することで、ステートフル ファイアウォールは長期的なユーザーとデバイスプロファイルにネットワークの動作を割り当てることができます。

Webアプリケーションファイアウォール

Webアプリケーションファイアウォール (WAF) は、特定のアプリケーションをラップし、そのアプリケーションに送信されるHTTPリクエストを検査します。他の種類のファイアウォールと同様に、あらかじめ定義されたルールを適用して悪意のあるトラフィックを検出し、ブロックします。精査されるコンポーネントには、ヘッダー、クエリ文字列、HTTPリクエストの本文が含まれており、これらはすべて悪意のあるアクティビティの兆候につながります。脅威が特定されると、WAFは疑わしいリクエストをブロックし、セキュリティチームに通知します。

AI搭載ファイアウォール

ファイアウォールは本質的に強力な分析エンジンであり、機械学習アルゴリズムの実装に最適です。機械学習アルゴリズムは、手動のアルゴリズムよりもはるかに高速に大量のデータを取り込んで分析できるため、AI搭載型ファイアウォールは、新しい (ゼロデイ) 脅威への対応において、従来のファイアウォールよりも一貫して優れたパフォーマンスを発揮しています。

たとえば、ファイアウォール内におけるAI実装の一般的な例の1つに、ユーザーとエンドポイントの行動分析 (UEBA) があります。これは、ネットワーク全体から履歴データを取り込み、各ユーザーとエンドポイントが通常どのようにデータと関わるのか (使用するリソース、アクセスするタイミングなど) を確立します。

高可用性ファイアウォールとハイパースケールで耐障害性のある負荷分散クラスタ

高可用性 (HA) ファイアウォールは、ファイアウォール障害が発生した場合でもネットワーク保護を維持するように設計されています。これは、HAクラスタリングという冗長化によって実現されます。つまり、複数のファイアウォールが連携することで、常に継続した保護が実現されます。デバイス障害が発生した場合、システムは自動的にピアデバイスに移行するため、シームレスなネットワークセキュリティが維持されます。従来の「高可用性」設計のみならず、現在は多くの組織が、99.99999%以上の稼働時間、最大1,000Gbpsのネットワークスループット、そして完全な脅威対策を提供する、ハイパースケーラブルで通信事業者クラスの耐障害性を持つファイアウォールシステムを必要としています。インテリジェントな負荷分散ファイアウォール設計により、ネットワーク トラフィックがファイアウォール クラスタ全体に分散されます。また、予期せぬトラフィックのピーク状況やその他の事前定義されたトリガー発生時に、重要なアプリケーションにファイアウォールリソースを自動的に再配分することもできます。状況が正常に戻った後に、それらのファイアウォールリソースを元のグループに再割り当てすることもできます。これによりパフォーマンスが最適化され、単一のデバイスが過負荷になることを防ぎ、あらゆる状況で最大のネットワーク パフォーマンスが保証されます。

仮想ファイアウォール

ファイアウォールは、ACL内のすべてのルールを手動で確認するために大量のCPUパワーを必要としたため、従来はハードウェア専用でした。しかし、今では、ファイアウォールの仮想化のおかげで、その処理能力は本質的にアウトソーシングできるようになりました。仮想システムは内部セグメンテーションをサポートします。つまり、1つのツールを使用して複数のセグメント化されたファイアウォールを設定および監視し、サブファイアウォールに独自のセキュリティ ポリシーと構成を持たせることができます。

仮想ファイアウォールには多くの利点があります。たとえば、マルチテナンシー環境は、このセグメンテーションによる恩恵を受けます。また、より大規模な組織が、一元型のツールを通じ、より合理化された方法でネットワークセグメント化を実装することも可能になります。それ以外では、仮想ファイアウォールはハードウェアベースのファイアウォールと同等の機能を提供します。

クラウドファイアウォール

仮想化ファイアウォールとクラウド ファイアウォールが混同されることはよくありますが、両者には違いがあります。仮想は基盤となるアーキテクチャを表すのに対し、クラウド ファイアウォールは保護対象の企業資産を指します。クラウド ファイアウォールは、組織のパブリックおよびプライベートクラウドベースのネットワークを保護するために使用されます。

サービスとしてのファイアウォール(FWaaS)

クラウド仮想化により、処理能力を購入してリモートで使用できるようになったため、仮想ファイアウォールの実現が可能になりました。これにより、ファイアウォールアーキテクチャに新たな可能性が生まれます。その1つがサービスとしてのファイアウォール (FWaaS)です。

FWaaSは、他のSaaSと同様に、クラウドを介して展開される構築済みのファイアウォールソリューションです。すべての企業トラフィックが社内のサーバールームを経由してルーティングおよび分析されるのではなく、FWaaSの独自の機能としてグローバル ポイント オブ プレゼンスが提供され、よりローカルで遅延のないファイアウォールのデプロイメントが可能になります。

マネージドファイアウォール

最後に、ファイアウォールを持つことは非常に良いことではあるものの、後ほど説明するように、このツールには継続的な改良と調整が必要となります。このような人材の必要性により、小規模なサイバーセキュリティ チームはすぐに圧倒されてしまう可能性があると、一部の大規模企業は認識しています。そのため、多くの企業は、脅威、異常、または異常なトラフィック パターンが継続的に監視されるマネージド ファイアウォール経由でトラフィックをルーティングすることを選択します。アウトソースされたこれらのファイアウォールでは、提供元の高度なツールや脅威インテリジェンスを活用することが可能です。

ファイアウォール プロトコルの重要性

基本的なファイアウォールでも、すべてのパケットの送信元、宛先、準拠しているプロトコルを詳しく調べることができます。しかし、可視性だけでは攻撃を防ぐことはできません。ファイアウォール ルールは、ファイアウォール ツールが各パケットにどのように反応するかを制御し、最終的には企業ネットワークへの通過を許可するか、拒否するかを決定します。

これらのルールは、システムへのアクセスとシステムからのアクセスを制御し、悪意のあるデータや不要なデータをブロックし、許可されたトラフィックのみが通過するようにすることで、ネットワークセキュリティを維持するための基本です。時間を節約するために、市販のファイアウォールの多くは事前に設定されたルールセットを提供しています。結局のところ、多くの脅威は、業界や従業員の具体的な状況に関係なく普遍的です。特に、攻撃者が一般的な脆弱性をスキャンするためにあらゆる公開ネットワークをスキャンできる場合はそうです。プリコンフィグされたルールセットで出荷することで、最新のファイアウォールは、企業に影響を与える可能性のある脅威を即座に軽減できます。これはデプロイメントに有益であり、管理者が新しいツールが通常要求する手動設定の多くを削減できるようにします。これにより、エラーが減り、業界のベストプラクティスを確実に順守できます。

なぜファイアウォールが必要なのですか?

ファイアウォール、特に次世代ファイアウォールは、マルウェアやアプリケーション層への攻撃をブロックすることに重点を置いています。これらの次世代ファイアウォールは、統合された侵入防止システム(IPS)とともに、迅速かつシームレスに対応して、ネットワーク全体の攻撃を検出して対処することができます。ファイアウォールは、以前に設定されたポリシーに基づいてネットワークの保護を強化し、迅速な評価を実行して、マルウェアなどの侵入型または疑わしいアクティビティを検出してシャットダウンできます。セキュリティインフラストラクチャにファイアウォールを活用することで、特定のポリシーを使用してネットワークを設定し、送受信トラフィックを許可またはブロックします。

ファイアウォール セキュリティのベストプラクティス

ファイアウォールは、「一度設定するだけで済む」ソリューションではありません。組織が直面する攻撃は絶えず変化しており、手動によるルール更新のみに依存するファイアウォールでは、相応の時間と注意が必要です。

最小権限の原則に従ってルールを設定する

効果的なファイアウォール ルール管理の基盤となるのは、最小特権の原則です。機能的には、特定の必要なビジネス機能に役立つトラフィックのみが許可されることを意味します。この原則に従うことで、将来のルール変更によるリスクの最小化、ネットワーク トラフィックに対するより優れた制御の維持、不要なネットワーク間通信の制限がほぼ保証されます。これをルールに適用すると、送信元および宛先IPアドレス (または範囲)、宛先ポートなどの詳細が常に定義されていることが要求されます。このため、「Any/Any」のような過度に寛容なルールは、すべてのインバウンドおよびアウトバウンド アクティビティに対する明示的な拒否/許可戦略に置き換える必要があります。

最新のドキュメンテーションの維持

事前設定されたルールは変更および更新されるため、明確で包括的なドキュメントが不可欠です。ネットワークセキュリティチームのメンバーなら誰でも、ドキュメントから各ルールの目的を簡単に理解できるはずです。少なくとも、ルールの目的、影響を受けるサービス、関連するユーザーとデバイス、適用日、ルールの有効期限 (一時的な場合)、ルールを作成したアナリストの名前などの詳細を記録する必要があります。

ファイアウォール自体を保護する

ファイアウォールは、単に大規模企業の安全性に不可欠な要素であるだけでなく、あらゆるネットワークインフラの中で最も一般に公開されている部分でもあります。そのため、管理されていないファイアウォール自体が脅威となります。ファイアウォールを保護するために、いくつかの重要なベストプラクティスが必須です。TelnetやSNMPのような安全でないプロトコルは完全に無効にし、設定とログデータベースをバックアップし、ネットワークスキャンからファイアウォールを保護するためにステルスルールを実装する必要があります。最後に、ファイアウォール ソリューションの利用可能な更新を定期的に確認してください。

ルールとネットワークを対応するカテゴリーにまとめる

複数の企業ネットワークを対応するセキュリティ レベルにセグメント化することは、ネットワーク セキュリティのもう1つの基本的なベスト プラクティスであり、ファイアウォール ルールはこれらのセグメントを適用するのに最適です。管理を合理化するには、ルールをその機能や関連する特性に基づいてカテゴリまたはセクションに整理します。このアプローチにより、ルールを最も効果的な順序で構造化し、より適切な監視を実現できます。

AI搭載ファイアウォールでは、その基盤となるルールやドキュメントを自動化する能力が高まっています。効率性におけるこうした大きな進歩こそが、NGFWが古いモデルを置き換えている主な理由となっています。

ネットワーク層とアプリケーション層のインスペクション

ネットワーク層またはパケット フィルターは、TCP/IP プロトコル スタックの比較的低いレベルでパケットを検査し、ルール セットの送信元と宛先がインターネット プロトコル (IP) アドレスとポートに基づいている確立されたルール セットと一致しない限り、パケットがファイアウォールを通過することを許可しません。 ネットワーク層インスペクションを行うファイアウォールは、アプリケーション層インスペクションを行う同様のデバイスよりも優れたパフォーマンスを発揮します。 欠点は、望ましくないアプリケーションやマルウェアが許可されたポートを通過する可能性があることです。 Web プロトコル HTTP と HTTPS、それぞれポート 80 と 443 を介した送信インターネット トラフィック。

NAT と VPN の重要性

ファイアウォールは、 ネットワークアドレス変換(NAT )や仮想プライベートネットワーク(VPN)などの基本的なネットワークレベルの機能も実行します。 ネットワーク アドレス変換は、RFC 1918 で定義されている "プライベート アドレス範囲" にある可能性のある内部クライアントまたはサーバーの IP アドレスをパブリック IP アドレスに隠すか、変換します。 保護対象デバイスのアドレスを非表示にすると、限られた数の IPv4 アドレスが保持され、IP アドレスがインターネットから隠されるため、ネットワーク偵察に対する防御になります。

同様に、仮想プライベートネットワーク (VPN) は、インターネットを通過する際にパケットの内容が保護されるトンネル内のパブリックネットワーク全体にプライベートネットワークを拡張します。 これにより、ユーザーは共有ネットワークまたはパブリックネットワーク間でデータを安全に送受信できます。

次世代ファイアウォールとその先へ

次世代ファイアウォールは、TCP/IPスタックのアプリケーションレベルでパケットを検査し、SkypeやFacebookなどのアプリケーションを識別し、アプリケーションの種類に基づいてセキュリティポリシーを適用できます。

現在、UTM(統合脅威管理)デバイスや次世代ファイアウォールには、マルウェアや脅威を検知・防止するための侵入 防止システム(IPS)アンチウイルス などの脅威対策技術も搭載されています。 これらのデバイスには、ファイル内の脅威を検出するためのサンドボックス技術も含まれている場合があります。

サイバーセキュリティの状況が進化し続け、攻撃がより巧妙になるにつれて、次世代ファイアウォールは、データセンター、ネットワーク、クラウドのいずれであっても、あらゆる組織のセキュリティソリューションに不可欠なコンポーネントであり続けます。

チェック・ポイントのQuantumでNGFWを使用してネットワークを保護します。これは最も効果的なAI搭載のファイアウォールであり、最高レベルの脅威対策、シームレスなスケーラビリティ、統合ポリシー管理機能を備えています。

最先端の脅威対策、比類のないパフォーマンス、そして効率化を組み合わせたチェック・ポイントQuantumの先進的な機能には、インテリジェントなトラフィック検査、クラウドサービスとのシームレスな統合、および徹底したインシデント自動化が含まれます。Quantumがいかに優れたスケーラビリティとポリシーの一元管理を実現するかをデモでご覧ください。

次世代ファイアウォールに必要な基本機能の詳細については、 次世代ファイアウォール(NGFW)バイヤーズガイド を今すぐダウンロードしてください。