全5475文字
PR

ネット君 企業を狙うサイバー攻撃が後を絶ちませんね。

インター博士 攻撃から企業を守るにはセキュリティー機器が不可欠だ。

ネット君 セキュリティー機器といえばファイアウオールですよね。

インター博士 代表格はそうだな。他には?

ネット君 何か、ウイルス防御みたいのとか?

インター博士 曖昧すぎる。

 セキュリティー機器とは、ネットワークやコンピューターを守るために必要な機能を実装したハードウエアだ。セキュリティーアプライアンスなどともいう。

 機能がソフトウエアとして提供される場合もある。その場合にはユーザー側でサーバーなどにインストールする。

 セキュリティー機器には、役割によってさまざまな種類が存在する。代表的なのはファイアウオールである。

 通常ファイアウオールは、社内ネットワークとインターネットなどの外部ネットワークの境界に設置する。

 ファイアウオールは通信の方向とフィルタリングルールに基づいてパケットの通過の可否を判断し、不正なパケットの侵入を防ぐ(図1)。

図1●通信の方向とフィルタリングルールで判断
図1●通信の方向とフィルタリングルールで判断
代表的なセキュリティー機器であるファイアウオールは、通信の方向とフィルタリングルールに基づいてパケットの通過の可否を判断し、不正なパケットの侵入を防ぐ。
[画像のクリックで拡大表示]

 一般的には、インターネットから社内ネットワークへの要求パケットは遮断する。一方、社内ネットワークからインターネットへの要求パケットや、その応答パケットは通過させる。

IPアドレスとポート番号で判断

 DMZに置いた公開サーバーなど、外部からのアクセスを許可するコンピューターに対してはフィルタリングルールで許可されているパケットのみを通す。これにより不正な通信を遮断する。

 しかしファイアウオールだけではすべての攻撃を防げない。後述するようにフィルタリングルールで定義できない攻撃があるからだ。

 ファイアウオールの実現方式には複数ある。その中で最も基本的なパケットフィルタリングと呼ばれる方式では、パケットの宛先および送信元のIPアドレスおよびポート番号でフィルタリングルールを定義する。例えば公開Webサーバーへのアクセスを許可する場合には、フィルタリングルールに「宛先ポート番号がTCP 443番のパケットは許可」と定義する。