ファイアウォールにはいくつかの種類があります。ステートフルインスペクションとは、パケットフィルタリング型ファイアウォールにおける実現方式の一種です。この記事では、ステートフルインスペクションとは何か、他の似た技術との違いやメリット・デメリットについて解説します。
ステートフルインスペクションとは
ステートフルインスペクションとは、ファイアウォールでパケットフィルタリングを行なう方式の一種です。過去のパケット通信履歴(文脈またはコンテキストと呼ぶ)を記録して、現在のパケット通信が過去の履歴と矛盾していないかを判断してパケットのフィルタリングを行ないます。
ステートフルインスペクションは、送受信どちらのパケット通信に対しても監視を行なう点が大きな特徴です。
1、ステートフルインスペクションを構成する3つの要素
ステートフルインスペクションがコンテキストとして記録する要素は以下の3つです。
- 宛先IPアドレス
- ポート番号
- アプリケーション
宛先IPアドレスはパケットの送信先マシンの識別番号のようなものです。ポート番号はアクセス先マシンが提供するサービスごとに割り振られた番号で、IPアドレスに対するサブアドレスのような役割を果たす番号です。
2、ステートフルフェールオーバーとの違い
ステートフルインスペクションと似た言葉として、ステートフルフェールオーバーがあります。ステートフルフェールオーバーとは、ファイアウォールサーバーにシステム障害が発生したとき、別のファイアウォールへ通信を引き継ぐ機能のことです。
どちらもファイアウォールに関連する機能なので混同しやすいですが、機能は全く異なるので注意しましょう。
3、動的フィルタリングとの違い
動的フィルタリング(ダイナミックパケットフィルタリング)とは、パケットフィルタリング型ファイアウォール上で動作するフィルタリング方式の一種です。
動的フィルタリングは、ファイアウォールがクライアントとサーバーのやり取りを記憶し、動的にポートを開放・閉鎖する方式です。ステートフルインスペクションとはフィルタリングの実現方式が異なります。
4、WAFとの違い
WAF(Web Application Firewall)は、Webアプリケーションに特化したファイアウォールです。ネットワーク層で動く一般的なファイアウォールとは異なり、WAFはアプリケーション層で動作します。また、WAFは通信データの中身を解析し、SQLインジェクションなど悪意ある攻撃からWebアプリケーションを守ります。
ステートフルインスペクションもファイアウォールの一機能なので、パケット通信の3要素はチェックしますが、データの中身までは検証しません。この点がWAFとの大きな違いです。
ファイアウォールの種類とステートフルインスペクション
ファイアウォールの種類とステートフルインスペクションの位置づけについて、分かりやすく整理しました。
| 種類 | 方式 | 特徴 |
|---|---|---|
| パケットフィルタリング型 | スタティックパケットフィルタリング | 事前に、通過を禁止するパケットをリスト化。ネットワーク通信において、宛先情報が保存されているヘッダを監視する。 |
| ダイナミックパケットフィルタリング | クライアントとサーバーのやり取りを記憶し、動的にポートを開放・閉鎖する。 | |
| ステートフルインスペクション | 過去の通信履歴から現在のパケット通信が矛盾していないかチェックしてパケットの通過・廃棄を行なう。 | |
| ゲートウェイ型 | 内部コンピュータの代わりに通信を行なう。 「アプリケーションゲート型」「プロキシサーバー型」とも呼ばれる。 |
|
| サーキットゲートウェイ型 | パケットフィルタリング型+ポート制御。 |
ファイアウォールの種類および、パケットフィルタリング型におけるフィルタリング方式の違いについて、もう少し詳しく解説します。
1、パケットフィルタリング型
インターネットで送受信するデータは、「IPパケット」として分割状態で扱われます。IPパケットの先頭には「ヘッダ」部分があります。パケットフィルタリング型のファイアウォールは、ヘッダに格納された情報を確認してIPパケットを受け入れるか拒否するかを決定する、というタイプです。
パケットフィルタリング型には主に3つのフィルタリング方式があり、ステートフルインスペクションはその一種です。
スタティック(静的)パケットフィルタリングは、通過させないパケットを静的なリストに保持する方式です。リストと送られてきたIPパケットをチェックして、フィルタリングが必要かどうか判断します。
ダイナミック(動的)パケットフィルタリングは、クライアントとサーバーのやり取りを動的に記録して、動的にポートを開け閉めする方式です。普段はポートを閉じておくことで、ポートを開放したままにするよりも高いセキュリティが期待できます。
ステートフルインスペクションは、上記の2方式よりもさらに高セキュリティな方式です。過去の通信履歴から現在のパケット通信が矛盾していないかチェックすることで、パケットの通過・廃棄を判断します。
2、ゲートウェイ型
ゲートウェイ型のファイアウォールは、プロキシ(代理)サーバーを間に立てた上で、IPパケットの通過を制御するタイプです。プロキシサーバーにより、社内の端末からインターネットへ直接接続する危険性も避けつつ、IPパケットのフィルタリングも行ないます。
3、サーキットゲートウェイ型
サーキットゲートウェイ型のファイアウォールは、トランスポート層で動作するタイプです。
ネットワーク層でパケットフィルタリングを行ない、トランスポート層でセッションの状態を認識。さらにセッションでの状態を認識した上でフィルタリング機能も備えています。
2つの異なる層でフィルタリングを行なうため、通信の信頼性を高められる点が大きな特徴です。
ステートフルインスペクションのメリット3つ
ステートフルインスペクションを利用するメリットは主に3点です。
1、高い防御性能を誇る
ステートフルインスペクションは、状態を時系列で監視するため高い防御性能を誇ります。IPパケットに含まれる情報だけでなく、アプリケーションにおける妥当性も確認できることが、高い防御性能を支えるポイントです。
送受信両方でチェックが入るため、単純なIPアドレスやポート番号のフィルタリングで侵入したマルウェアが、悪意ある情報を外部に送信するケースも防御できます。
2、送信元偽装による不正な通信を排除
通信の前後関係を確認するため、送信元偽装による不正なアクセスも防御可能です。さらにステートフルインスペクションは、WANからの送信を、外部ネットワークからの送信に対する戻りの通信であるかどうかチェックします。戻りの通信であると確認が取れた場合のみ、WANから外部ネットワークへの通信を許可します。
そのためウイルスやマルウェアが一定期間潜伏してから情報を送信する、といったケースにも対応できます。
3、ルールを簡素化できる
インバウンドとはインターネットから内部への通信、アウトバウンドとは内部からインターネットへの通信のことです。ステートフルインスペクションは、通常一方通行で行なうトラフィックだと判明している場合、アウトバウンドだけのルールを作成すればよく、ルールの簡素化ができます。
ステートフルインスペクションのデメリット2つ
メリットの多いステートフルインスペクションですが、デメリットも2点ほどあるため確認しましょう。
1、処理データ量が多く処理速度が遅くなる
ステートフルインスペクションは、コンテキストを保持します。そのためどうしても処理データ量が多くなり、処理速度が落ちてくる点は要注意です。
2、DoS攻撃には弱い
ステートフルインスペクションの特徴であるコンテキストを記録するために、もうひとつの弱点があります。その弱点とは、Webサイトに大量アクセスを行なってサーバーダウンを狙う、DoS攻撃のようなサイバー攻撃には弱いという点です。
ファイアウォールの機能を整理して自社に合った方式を使おう
ステートフルインスペクションは、ファイアウォールに見られるパケットフィルタリング方式の一種です。送受信両方のデータをチェックでき、通信履歴で時系列に妥当性をチェックするため高い防御性能を誇ります。他にもファイアウォールには複数の種類があるため、自社に合った商品を選びましょう。
ファイアウォール製品をお探しの場合は、ぜひ製品の資料を入手して、製品の導入検討にお役立てください。
