ネットワークファイアウォールとは
ネットワークファイアウォールは、ネットワーク間のトラフィックフローを制限/許可するハードウェアまたはソフトウェアです。承認されていないトラフィックがセキュアなネットワークにアクセスするのを阻止するポリシーを適用することにより、サイバー攻撃を防止します。
ネットワークファイアウォールの説明
ネットワークファイアウォールは、ネットワーク間のトラフィックフローを制限するために設計されています。多くの場合、セキュアなプライベートネットワークと、インターネットといった異なるセキュリティポスチャのネットワークの間で使用されています。ネットワークファイアウォールは、セキュアなプライベートネットワーク全体に導入することもできるため、サイバー攻撃のリスクを減らし、機密リソースへの承認されていないアクセスを防止することができます。
ネットワークファイアウォールの機能
ネットワークファイアウォールは、インバウンドとアウトバウンドのネットワークトラフィックを分析し、IPアドレス、通信プロトコル、コンテンツタイプなどのトラフィックの特性をチェックします。トラフィックの特性を分析した後、ネットワークファイアウォールは、設定済みのファイアウォールポリシーに基づいてトラフィックをブロックまたは許可します。
ネットワークファイアウォールは、セキュリティ、プライバシー、コンプライアンスに関する義務の遂行のためによく要求されることがあります。たとえば、米国の情報セキュリティ現代化法 (FISMA) や、グローバルに用いられるPayment Card Industry Data Security Standard (PCI DSS) 規格などです。
ネットワークファイアウォールの仕組み
ネットワークファイアウォールは、アクセス制御メカニズムに基づいてポリシーを適用します。メカニズムとしては、定義済みのポリシー、許可/拒否ルールセットなど、トラフィックの特性に基づいてその処理方法を指定する各種のガイドラインが用いられます。
ネットワークファイアウォールは、Transmission Control Protocol/Internet Protocol (TCP/IP) の4つの通信レイヤー (上からアプリケーション、トランスポート、IP/ネットワーク、ハードウェア/データリンク) の内部でデータを検査します。TCP/IPレイヤーは、発信元から宛先までのデータの移動を導きます。ネットワークファイアウォールで用いられるセキュリティテクノロジーが高度になるほど、検査できるレイヤーの範囲が上のほうまで広がります。高度なネットワークファイアウォールは、より多くの情報を集めることで、きめ細かなトラフィック制御と詳細なアカウンティングを実現します。
最適なネットワークファイアウォールとは
ネットワークファイアウォールはどれでも同じではありません。ハイブリッド型の作業環境、モビリティ、IoTの導入が進むにつれて、IPアドレスに基づくルールと物理ネットワーク構成を使用するネットワークファイアウォールでは不十分になりつつあります。Aruba Policy Enforcement Firewall (PEF) は、IDベースの制御を通じて、アプリケーションレイヤーのセキュリティと優先度判定を適用します。
PEFは実証済みのテクノロジーであり、全世界で400万を超えるインストール実績があります。PEFテクノロジーを使用する組織は、IDやトラフィック属性、その他のコンテキストを使用して、初期接続時にアクセス権限を集中的に実施するゼロトラストアクセスモデルを実装できます。セキュアなロールベースのポリシーを動的に適用するテクノロジーと機能を持つPEFは、効果的にリスクを軽減するその能力に基づいて、Marshにより「Cyber Catalyst℠」ソリューションに認定されています。Cyber Catalystにより、特定のテクノロジーを導入したお客様は、プログラムに参加する各保険会社によるサイバー保険の契約条件の拡張対象となります。
ネットワークファイアウォールセキュリティのメリット
- アクセス権限を適用してリスクを低減します。明示的に許可されたトラフィックのみを通すネットワークファイアウォール (「デフォルトで拒否」) を使うことで、ゼロトラストセキュリティアーキテクチャーを実現できます。
- 秘密のリソースへのアクセスを制限します。ネットワークファイアウォールを使えば、未認可ユーザーが、患者データや財務情報などの機密データにアクセスするのを防ぐことができます。
- サイバー攻撃からネットワークを守ります。ネットワークファイアウォールを使えば、組織内のユーザーが訪問した悪意のあるWebサイトによって広められるマルウェアや脅威による攻撃を阻止して防ぐことができます。
ネットワークファイアウォールの仕組み
ファイアウォールの種類
| ファイアウォールの種類 | 機能 |
|---|---|
| パケットフィルタリング型ファイアウォール | イングレス (受信) およびイーグレス (送信) トラフィックを検査し、ソースや宛先などの基本的情報に基づいてトラフィックの通過を許可/拒否します。パケットフィルタリング型ファイアウォールは、受信または送信トラフィックの状態をトラッキングしないため、ステートレスファイアウォールとも呼ばれます。パケットフィルタリング型ファイアウォールは、その制限のために、TCP/IPスタックを標的とする攻撃やエクスプロイトに対して脆弱性があります。 |
| ステートフルファイアウォール | ステートフル検査を使用してトラフィックをトラッキングし、期待されるパターンから外れたトラフィックをブロックします。ステートフルファイアウォールは、テーブルでトラッキングされる確立済みの接続と照合することで接続をチェックし、ルールと確立済みの接続との非適合性に基づいてトラフィックを拒否できます。このため、ステートフルファイアウォールは、分散型サービス拒否 (DDoS) 攻撃などに対する防御に役立ちます。 |
| アプリケーションファイアウォール | ディープパケットインスペクションによるステートフル機能に基づいています。アプリケーションファイアウォールは、アプリケーションレイヤーでデータを分析し、観察されたイベントを確立済みのアクティビティパターンと比較することで、逸脱を識別し、脅威を防止します。アプリケーションファイアウォールは、バッファーオーバーフロー攻撃、DoS攻撃、マルウェアなどの予期しないコマンドによって実行される攻撃を防止するために役立ちます。 |
