ネットワーク防御の全体像
現代のネットワークセキュリティは「境界防御(Perimeter Defense)」から「多層防御(Defense in Depth)」へと進化しています。ファイアウォール・IDS/IPSはその核心的なコンポーネントです。
ファイアウォールの種類と進化
パケットフィルタリング型(第1世代)
OSIモデルのネットワーク層(L3)とトランスポート層(L4)でフィルタリングします。
フィルタリング要素:
- 送信元/宛先IPアドレス
- 送信元/宛先ポート番号
- プロトコル(TCP/UDP/ICMP)
ALLOW TCP 192.168.0.0/24 → any :443 # 内部→HTTPS許可
DENY any → any :23 # Telnet全拒否ステートフルインスペクション(第2世代)
接続の「状態」を追跡し、確立済み接続の応答パケットを自動許可します。
利点: 「戻りパケット」を明示的に許可するルール不要。SYNフラッドなどの攻撃を検知できる。
アプリケーション型 / NGFW(次世代FW)
アプリケーション層(L7)の内容まで検査します。
機能:
- DPI(ディープパケットインスペクション): HTTP/HTTPS内容の検査
- アプリケーション識別: ポートに依存せずアプリを識別(例:Torの検知)
- ユーザーID統合: IPではなくユーザー単位でポリシー適用
- IPS機能統合: シグネチャベースの攻撃検知・ブロック
- SSL/TLS復号: 暗号化通信の中身を検査
WAF vs NGFW vs FW
WAF(Web Application Firewall)はHTTP/HTTPSに特化し、SQLi・XSSなどのアプリ脆弱性を狙う攻撃に対応します。NGFWはより広範なネットワークトラフィック全般を対象にします。重要なWebアプリにはWAFをNGFWの内側に追加することが推奨されます。
DMZ(非武装地帯)の設計
インターネットからアクセスが必要なサーバー(Webサーバー・メールサーバー)は、内部ネットワークとインターネットの間のDMZに配置します。
インターネット
↓
[外部FW] ← インターネット境界
↓
[DMZ] — Webサーバー、メールサーバー、DNSサーバー
↓
[内部FW] ← 内部ネットワーク境界
↓
[内部LAN] — 重要システム、DBサーバー原則: DMZから内部ネットワークへのアクセスは最小限に制限。
IDS と IPS の違い
| 項目 | IDS(侵入検知) | IPS(侵入防御) |
|---|---|---|
| 動作 | 検知してアラート | 検知して自動ブロック |
| 配置 | ネットワークのコピーを受信 | インラインに配置(通信経路上) |
| 誤検知の影響 | アラートノイズ | 正規通信のブロックリスク |
| 対応速度 | 人間の確認が必要 | 即座に自動対応 |
| 推奨用途 | 分析・フォレンジクス向け | 高信頼度のシグネチャに対して使用 |
検知手法
| 手法 | 説明 | 長所 | 短所 |
|---|---|---|---|
| シグネチャベース | 既知の攻撃パターンと照合 | 誤検知が少ない | 未知の攻撃(ゼロデイ)を検知できない |
| 異常検知(Anomaly) | 正常な通信からの逸脱を検知 | ゼロデイ検知可能 | 誤検知率が高い |
| ヒューリスティック | ルールベースの推論 | バランスが良い | チューニングが必要 |
ファイアウォールルール設計の原則
- デフォルト拒否(Default Deny): 明示的に許可されていないトラフィックはすべて拒否
- 最小権限の原則: 必要なポート・プロトコルのみ許可
- インバウンドとアウトバウンドの両方を管理: アウトバウンドの制御も重要(C2通信の検知)
- ルールの定期レビュー: 不要になったルールを削除
- ログの有効化: 許可・拒否両方のログを記録
ファイアウォールだけでは不十分
現代の攻撃の多くはHTTPS(ポート443)を使用します。ファイアウォールでポート80/443を許可している限り、アプリケーション層の攻撃はFWで止められません。WAF・EDR・SIEMとの多層防御が必須です。
理解度チェック
DMZを使ったネットワーク設計の主な目的は何ですか?
解説: DMZは外部からアクセス可能なサーバー(Webサーバーなど)を内部ネットワークと分離する設計です。WebサーバーがDMZに配置されている場合、そのサーバーが侵害されても攻撃者は直接内部ネットワーク(DBサーバーなど)にアクセスできず、被害範囲が限定されます。