高度なセキュリティ体制を構築するためには、いくつかの対策を組み合わせつつ、ネットワークセキュリティとして導入していくことが大切です。では、ネットワークセキュリティの導入方法として効果的な仕組みにはどのようなものがあるのでしょうか。今回はファイアウォール、IDS、WAFの3点をご紹介します。

最も外側で働く防護壁「ファイアウォール」

ネットワークを最も外側から守るのが、ファイアウォールです。ファイアウォールは外部ネットワークと内部ネットワークを区切るように配置するのが一般的でしょう。また、DMZにWebサーバーやメールサーバーを配置する場合には、外部ネットワーク→ファイアウォール→DMZ→ファイアウォール→内部ネットワークの順に配置すると、万が一Webサーバーやメールサーバーが攻撃の被害にあったとしても、内部ネットワークには被害が及びません。さらに、PCやサーバーにインストールして使用するソフトウェアファイアウォールと、外部ネットワークとの接続点(ゲートウェイ)に内蔵されるハードウェアファイアウォールを組み合わせることで、より強固なネットワークセキュリティを実現できます。

ファイアウォールは、送信されるパケットの先頭部分を解析し、パケット通過の可否を判断する「パケットフィルタリング」や、IPアドレスを変換してセキュリティリスクを低減する「アドレス変換」などの機能を有しており、門や塀のような役割を果たしているのです。

ファイアウォールの前後や内部ネットワークで働く「IDS」

ファイアウォールを導入しただけでは、ネットワークセキュリティは万全とはいえないでしょう。ファイアウォールは、パケットの先頭部分だけを解析するため、実際のパケットの中身までは判断できません。見かけ上が正常なパケットであれば通過させてしまうため、すべての攻撃を遮断することは難しいのです。

そこで、ファイアウォールを補完するための仕組みである、「IDS(Intrusion Detection System)」が威力を発揮します。日本語に訳すと「不正侵入検知システム」という名称で、ファイアウォールが門や塀であるならば、IDSは監視カメラや警備員といったところでしょう。IDSは、ファイアウォールの前後、もしくは内部ネットワークに配置するのが一般的です。ファイアウォールよりも細かくパケットをチェックすることで、ウィルスの侵入などを防ぐほか、攻撃の予兆を検知することが可能です。

ちなみにIDSは不正侵入を検知してアラートをあげますが、これに遮断機能がついたものをIPSと呼びます。あらかじめ登録したパターンにマッチしたパケットが侵入すると、自動的に通信を遮断するのです。

Webアプリケーションのボディガード「WAF」

ファイアウォールを門や塀、IDSやIPSを監視カメラ・警備員とするならば、WAFはボディガードといったところでしょうか。Webアプリがさまざまなシーンで使われる時代になり、その脆弱性をついた攻撃が増えています。WAFはWebアプリケーションを直接保護するためのファイアウォールで、Webアプリの脆弱性をついた「SQLインジェクション」や「クロスサイトスクリプティング」、「強制ブラウズ」などの攻撃を防ぐことができるのです。

これらの攻撃手段は年々巧妙化しており、ファイアウォールやIDS・IPSでは検知することが難しいもの。ファイアウォールやIDS・IPSでは守備範囲が広すぎるため、Webアプリケーション固有の脆弱性をカバーすることは不可能に近いといえます。ポートスキャン・DDoS攻撃などには対応できても、Webアプリケーションそれぞれに対する正常なアクセスを制限すると、ネットワーク自体が機能不全に陥ってしまう可能性があるからです。

WAFを導入することで、オンラインバンキングやネットショッピングなど、動的にページを生成しつつ重要な情報をやり取りするWebサイトを保護することができます。

複数対策を組み合わせる導入方法が吉

今回紹介した3つの対策をまとめると、外から順にファイアウォール→IDS・IPS→WAFとなり、内にいくにつれて徐々に細分化しつつネットワークを保護するもの。また、これらのシステム的な対策に加え、人的なセキュリティ意識の向上という第4の対策を導入することで、さらなるセキュリティレベルの向上が見込めるでしょう。高度化・巧妙化する外部からの攻撃に備えるためには、単一の対策に頼らないことが重要になるのです。