ファイアウォールは,ネットワークとネットワークの間に境界線を設けて,攻撃など不正な通信やセキュリティ・ポリシーに合わない通信が反対側のネットワークに行こうとするのをブロックする機能である。VPNは,複数のLAN間,またはLANとパソコンの間を結ぶネットワーク上に暗号化した通信路(VPNトンネル)を作る機能だ。両者は別のセキュリティ機能だが,同じネットワーク装置に搭載されることが多い。
ゲートウエイ型FWはルーターやUTMが搭載
ファイアウォールは「ゲートウエイ型ファイアウォール」,「パーソナル・ファイアウォール」,「Webアプリケーション・ファイアウォール」---の3種類に大別できる(図1)。それぞれで保護する対象が異なる。製品導入の場合は,まずこれらの違いをしっかりと理解する必要がある。
ゲートウエイ型ファイアウォールは,LANとインターネットの境界に置き,企業のセキュリティ・ポリシーに合わない通信や,不正なTCP/UDP通信がLAN側に入り込まないようにする。基本的には,アドレスやポートを検査する「パケット・フィルタリング」とTCP通信のフローなどを検査する「ステートフル・インスペクション」という二つの手法で通信のブロックを実現する。
このタイプのファイアウォールは,UTM装置またはルーターに搭載されるケースが多い。
ゲートウエイ型ファイアウォールの守備範囲はLAN/社内ネットワーク全体になる。そのため,社内ネットワークに収容されている端末の台数やサーバーの種類,処理する通信量(スループット)などを基準に選択することになる。特に,社内ネットワークに置かれているサーバーの種類に関連して,ファイアウォールの運用や選択基準が変わってくる。例えば,社内ネットワークにメール・サーバーを置き,インターネットとの間でメールをやりとりしているようなケースでは,パケット・フィルタリングやステートフル・インスペクションだとメールのやりとりに不正な通信が含まれているのをチェックする機能が弱い場合がある。社内ネットワークとインターネットの間で通信する内容を十分把握した上で,製品を選択する必要がある。
さらに,ファイアウォールを24時間ダウンしないように運用するために,冗長化機能を備える製品もある。信頼性を重視するなら,こうした点も製品選択のポイントとなるだろう。
パソコンを守るパーソナルFW
パーソナル・ファイアウォールはパソコンにインストールするソフトウエアで,OSやアプリケーションを保護する。パソコン上のアプリケーションごとに通信の可否を設定できるという点を除けば,機能はゲートウエイ型ファイアウォールに近い。
代表格は,Windows XP SP2以降のWindows OSに「Windowsファイアウォール」として標準搭載されているものだ。Windows XP SP2とWindows Vista以降とで搭載機能に差がある。セキュリティソフト・ベンダーの多くもパーソナル・ファイアウォールを出している。単体の製品,あるいはウイルス対策やスパム対策,パーソナルIPSなどを併せ持つ「統合セキュリティ・ソフト」として入手できる。
すでに社内のパソコンに全社統一のウイルス対策ソフトをインストールし,一元的に管理している企業も多いだろう。そうした場合は,そのベンダーが用意する統合セキュリティ・ソフトでパーソナル・ファイアウォールも管理することを考えるとよいだろう。