今回のテーマは『ファイアウォール』。もちろんこのコーナーで扱うのはいわゆる「防火壁」ではなく、インターネット上で不正なパケットの侵入を防ぐ機器やソフトの方の話だ。以前はファイアウォールというと非常に高価な製品というイメージがあったが、最近は「ファイアウォール機能搭載」をうたう個人向けのブロードバンドルータなども登場して、その存在が非常に身近になってきたということもあり、今回はファイアウォールの基本について解説してみたい。

■基本は2タイプ存在

ファイアウォールが実際にはどのような動作を行うソフトなのか、という点から解説していくと、基本的には「LAN内部と外部の境界に設置され、不必要なパケットの出入りを防ぐもの」と定義するのが一般的だ。

ただ、実際にはファイアウォールも2タイプに分けることができる。1つは大半のブロードバンドルータに搭載されている「パケットフィルタリング」機能を、さらに高度にしたタイプのもの。もう1つはいわゆる「Proxyサーバ」タイプのものだ。

通常のブロードバンドルータなどに搭載されている一般的なパケットフィルタリング機能では、事前に設定しておいたルール(IPアドレス、ポート番号など)に従いアクセスを禁止することができるが、逆に言えばそれ以外のデータは原則として内部を素通りしてしまう。

そのパケットフィルタリングを強化した前者のタイプのファイアウォールでは、通常は(特に設定を行わない限り)全てのポートが閉じられた状態となっており、LAN内部から外部への接続要求が出されると、その接続に必要なポートだけを開け、その要求に対する返答として整合性の取れたパケットを通すようになっている。またその際、必要なデータ転送(セッション)が終了すると、ファイアウォールがそれを検知して再びポートを閉じるので、不必要なポートが開きっぱなしになる心配もない。ちなみに最近増えている「ステートフル・パケット・インスペクション」方式のファイアウォールとは、この方式を指していることが多い。

一方後者だが、これはLAN内部と外部の間の通信を原則遮断するものの、ある特定のサービス(FTP、HTTPなど)に限ってはファイアウォールが一旦データを受け取った上で、今度はファイアウォールが自分を発信元として相手先と通信を行う(つまりProxyサーバとして機能する)タイプのものだ(前者ではNAT機能等を使わない限りは発信元はあくまで内部のクライアントPCのまま)。

ただこのタイプでは、内部のユーザはWebブラウザなどにProxyサーバの設定を行う手間が必要になる上、あらかじめProxyサーバが対応しているプロトコル以外のサービスを使いたい場合の自由度が低くなってしまうなど、前者に比べやや難点が多い。

とはいえ数年前までは前者のタイプのファイアウォールは非常に値段が高かったため(数百万円するものも珍しくなかった)、主にコスト的な側面から後者のタイプのファイアウォールを採用するケースも多かった。だが、最近では前者の価格が急速に下がっていることもあり、後者のタイプの採用例は少なくなっているようだ。

■侮れない個人向けファイアウォール

さて冒頭でも書いたように、最近はブロードバンド環境の普及に伴い、個人向けのファイアウォールソフトや、ファイアウォール機能を搭載したブロードバンドルータなどが登場している。これらはいずれも数千円から高いものでも2～3万円程度という値段であり、普通は何十万円もするような企業向けのファイアウォールに比べるとどうしても機能的に劣る印象を持つかもしれない。ところが実際に機能を調べてみると、これがどうして、意外と侮れない機能を持っているのだ。

例えばプラネックスコミュニケーションズの『BRL-04FW』。この製品はいわゆるブロードバンドルータの一つなのだが、ファイアウォールとしても前記の「ステートフル・パケット・インスペクション」方式を採用している上、TCP SYN Flood攻撃やDoS攻撃などのInternet上でよくある攻撃を自動検出してメールで通知する機能や、いわゆる「URLフィルタ」機能などを搭載しており、つい2～3年前までなら数十万円以上するソフトでないと実現できなかった機能を持っている。

また、トレンドマイクロが先日発表したばかりの『GateLock X200』では、ルータ内部を流れるパケットに対して自動的にウィルスチェックを行い、ウィルスが発見された場合にはルータのランプ点灯やメールなどでユーザに通知してくれるという。また常時ネットワークに接続しているというブロードバンドルータの特性を生かし、パターンファイルも毎日自動的に更新されるというから凄い。

■最近はOSに標準装備される場合も

また、これだけインターネットが当たり前に使われるようになると、最近はOSレベルでファイアウォール機能が標準実装されるケースも多くなってきている。

例えばフリーのOSとしておなじみのFreeBSD、NetBSD、OpenBSDなどでは、標準でファイアウォールを実現するツール(ipfw、ipf、pfなど)がセットされている。特にNetBSDは非常に高い移植性を持っていることもあり、市販のルータの中身が実はNetBSDを使っていた、ということは珍しくない(IIJ SEIL T1など)。

また先日OEM版が発売されたばかりのWindows XP(Home/Professional共)でも、ファイアウォール機能が標準で搭載されている。またその設定も、基本的にはチェックボックスを1つOnにするだけと非常に簡単。もしサーバを公開しようとするといろいろと面倒な設定が必要になるが、そんな必要のない一般ユーザにとっては非常に心強い機能だ。

最近は『Code Red』や『W32/Nimda』に代表される厄介なワームが広まっていることもあり、もはやファイアウォール無しでインターネットに接続するのは「むき出しの札束を人混みの中に放置する」ぐらい危険な行為になってしまっている。上記のように個人でも非常に強力なファイアウォールが手軽に手に入るようになったのだから、いざというときの保険という意味でも、これをお読みでまだファイアウォールを導入していない方はぜひ導入を検討して欲しいと願ってやまない。