情報セキュリティ(45)　サイバー攻撃への対策②　ファイアウォール

ファイアーウォール(FW = Firewall)とは、文字通り防火壁です。パケットのIPアドレスとポート番号、In/Outを見て、そのパケットを通すか否かを制御します。基本的なセキュリティデバイスであり、ネットワーク設計において、まず考慮するべきです。

外部との通信においてFWを設置するのは当然ですが、社内においてもセグメント間のパケットもFWを設置することがあります。特に機密性の高い情報、例えば研究開発部門のネットワークは、ネットワークそのものを分離し、ネットワーク間の通信をFWで制御するわけです。ネットワークの分離は、通常仮想ネットワーク(VLAN = Virtual LAN)を設定します。例えば、32ビットのIPアドレスの中で、下から8ビット(254ノード)が、それぞれ独立したネットワークアドレスとなるわけです。

これらはスイッチという通信機器への設定で行います。セグメント間のFWは、このスイッチに接続することになります。スイッチは通常パケットの中身まで見ませんので、FWでIPパケットのヘッダを読み込んで、機密性の高い背セグメントへの通信を制御するという仕組みです。

FWはパケットの本文を見るわけではありませんから、アプリケーションレベルでの防御は別に検討する必要があります。しかし特定の宛先・送信元しか通信を認めないという制御は、サイバーセキュリティの関所の一丁目一番地ですので、重要な機能です。