「ファイアウォールを無効にしないでください」「ファイアウォールで弾かれているかもしれません」——。
社内のIT部門からこんな言葉を聞いたことがある方は多いのではないでしょうか。なんとなく「セキュリティ的に大事なもの」だとはわかっていても、具体的に何をしているのかと聞かれると、きちんと説明できる人は意外と少ないものです。
この記事では、ファイアウォールとは何か?を、業務でパソコンを使うビジネスパーソン向けに、身近なたとえを交えながら基礎からていねいに解説していきます。
なんか守ってくれるやつ、みたいな認識しかなかったっす
ファイアウォールとは?一言でいうと「ネットワークの門番」
ファイアウォール(Firewall)とは、ネットワークの出入り口に立って、通信を「通す」か「止める」か判断するセキュリティの仕組みです。
Firewallは英語で「防火壁」を意味します。
建物の中で火事が起きたときに、炎が他のエリアに燃え広がるのを食い止める壁のこと。
ITの世界では、外部のインターネットから社内ネットワークに不正な通信が入り込むのを食い止める仕組みとして、この名前が使われています。
もっと身近なたとえで言うと、オフィスビルの受付ゲートをイメージしてください。
ビルの受付には受付スタッフと警備員がいて、
訪問者が来ると「どちら宛ですか?」「アポイントはありますか?」と確認します。
事前に許可されている訪問者は通し、許可リストにない人やアポなしの人はお断りする。
ファイアウォールがやっていることは、これとほぼ同じです。
ネットワークの出入り口に立ち、送られてくる通信の「送信元」「宛先」「通信の種類」などを確認して、
事前に設定されたルールに基づいて通過を許可するか、遮断するかを判断しています。
なぜファイアウォールが必要なのか?── もし門番がいなかったら
インターネットに接続するということは、世界中のコンピューターと通信ができる状態になるということです。
これは便利な反面、外部から自分のネットワークにもアクセスされうることを意味します。
もしファイアウォールが存在しなかったら、こんなことが起こりえます。
外部から社内のサーバーに直接アクセスされる。 顧客データや機密情報が保存されたサーバーに、インターネット経由で誰でもたどり着けてしまいます。
マルウェア(悪意のあるプログラム)が自由に通信できる。 万が一社内のパソコンがマルウェアに感染した場合、ファイアウォールがなければ、マルウェアが外部のサーバーと自由にデータをやり取りし、情報を流出させたり、さらなる攻撃の指示を受け取ったりできてしまいます。
社内のパソコンが踏み台にされる。 攻撃者に乗っ取られたパソコンが、他の企業や組織への攻撃の発信源(踏み台)として使われてしまうケースもあります。この場合、被害者であると同時に加害者にもなりかねません。
ファイアウォールは、こうしたリスクに対する最初の防衛ラインです。すべての攻撃を防げるわけではありませんが、「そもそも不正な通信をネットワークに入れない」という水際対策として欠かせない存在です。
ファイアウォールの仕組み ── 通信を「通す・止める」の判断基準
ファイアウォールが通信を判断する際に見ているのは、主に以下の情報です。
送信元IPアドレス ── どこから来た通信か 宛先IPアドレス ── どこに向かう通信か ポート番号 ── どのサービス宛の通信か(Webは80番、メールは25番、など) プロトコル ── どんな通信方式を使っているか(TCP、UDPなど)
これらの情報を、あらかじめ設定された**ルール(ポリシー)**と照合して、「許可」か「遮断」かを判断します。
オフィスビルの受付のたとえに戻すと、ルールはこんなイメージです。
「営業部宛(ポート番号80番)で、取引先A社からの訪問(IPアドレス)なら通してよい」 「アポなし(ルールに該当しない)の訪問者はすべてお断り」
この判断を、ファイアウォールは1秒間に膨大な回数、自動的に行い続けています。
ファイアウォールの3つの種類を比較する
ファイアウォールには、通信をチェックする方法の違いによって主に3つの種類があります。
パケットフィルタリング型
もっとも基本的なタイプで、通信データの先頭部分(ヘッダ)に記録されている送信元・宛先のIPアドレスやポート番号を見て、通過の可否を判断します。
オフィスビルの受付のたとえでいえば、訪問者カードに書かれた「名前」と「訪問先フロア」だけを見て判断するような方式です。持っている荷物の中身(通信データの内容)までは確認しません。
処理が軽くて高速なため、大量の通信を効率よくさばけるのが強みです。ただし、通信の中身は見ていないため、正当な通信に見せかけた攻撃をすり抜けさせてしまうリスクがあります。
サーキットゲートウェイ型
パケットフィルタリング型の機能に加えて、通信の接続(コネクション)単位で正当性を確認するタイプです。
受付のたとえでいえば、「この訪問者は入口で正規の手続きを経て入館した人か?」という入館プロセス全体の正当性まで確認するイメージです。
送信元のIPアドレスを偽装するタイプの攻撃にはパケットフィルタリング型よりも強いですが、通信の中身そのものまでは検査しません。
アプリケーションゲートウェイ型
もっともチェックが厳しいタイプで、通信データの中身(アプリケーション層)まで詳細に検査する方式です。「プロキシ型」とも呼ばれます。
受付のたとえでいえば、訪問者カードだけでなく持ち込む荷物の中身まで一つひとつ確認するような方式です。なりすましや不正なコマンドを含む通信も検知できるため、セキュリティの強度は3つの中でもっとも高くなります。
ただし、通信の中身まで解析する分だけ処理に時間がかかり、通信速度が低下しやすいというトレードオフがあります。
3つの種類を表で比較すると以下の通りです。
| 種類 | チェックする範囲 | セキュリティ強度 | 処理速度 | たとえるなら |
|---|---|---|---|---|
| パケットフィルタリング型 | ヘッダ情報(宛先・送信元) | △ 基本的 | ◎ 高速 | 訪問者カードだけ確認 |
| サーキットゲートウェイ型 | ヘッダ+接続の正当性 | ○ やや高い | ○ やや高速 | 入館プロセス全体を確認 |
| アプリケーションゲートウェイ型 | 通信データの中身まで | ◎ 高い | △ やや遅い | 荷物の中身まで確認 |
実際の製品では、これらの方式を組み合わせて使うケースが多く、近年は従来のファイアウォールにアプリケーション識別やユーザーごとの制御機能を追加した**「次世代ファイアウォール(NGFW)」**も主流になりつつあります。
Windowsに入っている「Windows ファイアウォール」とは
ここまでは企業のネットワーク全体を守るファイアウォールの話をしてきましたが、実はパソコン1台1台にもファイアウォールが入っています。
WindowsやmacOSには、OSの標準機能としてパーソナルファイアウォールが搭載されています。Windowsの場合は「Windows Defender ファイアウォール」という名前で、特にソフトを追加しなくても最初から有効になっています。
パーソナルファイアウォールの役割は、自分のパソコンに出入りする通信を監視して、不正なアクセスを遮断することです。ネットワーク全体を守る企業用ファイアウォールが「ビルの受付」なら、パーソナルファイアウォールは「自分の部屋のドアの鍵」にあたります。
IT部門から「ファイアウォールを無効にしないでください」と言われるのは、このパーソナルファイアウォールのことを指しているケースが多いです。無効にすると、外部からの不正な通信がパソコンに直接届いてしまい、ウイルス感染やデータ窃取のリスクが大幅に高まります。
「ソフトのインストールがうまくいかないからファイアウォールを切った」という話を聞くことがありますが、これは玄関の鍵を開けっ放しにしているのと同じです。一時的にオフにする場合でも、作業が終わったらすぐに有効に戻しましょう。
ファイアウォールだけでは守れない ── WAF・IDS/IPSとの違い
ファイアウォールはセキュリティの基本ですが、これだけですべての攻撃を防げるわけではありません。
守る範囲が異なるセキュリティの仕組みと組み合わせることで、はじめて多層的な防御が成り立ちます。
よく混同される「WAF」と「IDS/IPS」との違いを整理しておきましょう。
ファイアウォール ── ネットワークの出入り口で、IPアドレスやポート番号を基に通信を制御します。「誰が、どこに、どんな方式で」アクセスしようとしているかを見ています。
WAF(Web Application Firewall) ── Webアプリケーションへの攻撃に特化した防御の仕組みです。たとえば、入力フォームに悪意のあるコードを仕込む攻撃(SQLインジェクションやクロスサイトスクリプティング)を検知・遮断します。通常のファイアウォールでは正常な通信に見えてしまう攻撃を、WAFがカバーします。
IDS/IPS ── IDS(侵入検知システム)は不正な通信パターンを検知して管理者に通知し、IPS(侵入防止システム)は検知に加えて自動的に遮断まで行います。ファイアウォールをすり抜けてきた攻撃を、ネットワーク内部で検知・阻止する役割です。
| 仕組み | 守る対象 | 役割 | たとえるなら |
|---|---|---|---|
| ファイアウォール | ネットワークの出入り口 | 通信の許可・遮断 | ビルの受付 |
| WAF | Webアプリケーション | Web特有の攻撃の防御 | アプリ専用の警備員 |
| IDS/IPS | ネットワーク内部 | 不正侵入の検知・防止 | ビル内の監視カメラ+警備員 |
セキュリティは「これ1つで完璧」という銀の弾丸は存在しません。
ファイアウォール・WAF・IDS/IPSをそれぞれの守備範囲に合わせて配置する多層防御の考え方が重要です。
“銀の弾丸”という言葉は、ソフトウェア工学者のフレデリック・ブルックス氏が1986年に発表した論文『銀の弾丸はない(No Silver Bullet)』から広まったと言われているよ。
よくある質問
- ファイアウォールを無効にしたらどうなる?
-
外部からの不正な通信がパソコンやネットワークに直接届くようになり、ウイルス感染・情報漏洩・不正アクセスなどのリスクが大幅に高まります。ソフトのインストールやネットワーク設定のために一時的に無効にする場合でも、作業が終わったらすぐに有効に戻してください。
- ファイアウォールがあればウイルス対策ソフトは不要?
-
不要にはなりません。ファイアウォールはネットワークの出入り口で通信を制御する仕組みであり、メールの添付ファイルに潜むウイルスや、USBメモリ経由のマルウェアなど、通信制御では防げない脅威もあります。ファイアウォールとウイルス対策ソフトは役割が異なるため、両方を有効にしておくことが基本です。
- 会社のファイアウォールのせいで特定のサイトやアプリが使えないのはなぜ?
-
企業のファイアウォールでは、業務に関係のないサイトやサービスへのアクセスを制限するルールが設定されていることがあります。セキュリティリスクの高いサイトをブロックしたり、業務外の利用を制限する目的で意図的に設定されているケースがほとんどです。業務上どうしても必要な場合はIT部門に相談しましょう。
- ゼロトラストの時代にもファイアウォールは必要?
-
必要です。ゼロトラストは「すべてのアクセスを検証する」という考え方であり、ファイアウォールを不要にするものではありません。ゼロトラスト環境でも、ネットワークの境界で不正な通信を遮断するファイアウォールの役割は依然として重要です。ゼロトラストとファイアウォールは対立する概念ではなく、セキュリティを構成する異なるレイヤーとして共存します。
まとめ
ファイアウォールとは、ネットワークの出入り口に立ち、送信元・宛先・ポート番号などの情報をもとに通信の許可・遮断を判断するセキュリティの仕組みです。
種類としてはパケットフィルタリング型・サーキットゲートウェイ型・アプリケーションゲートウェイ型の3つがあり、チェックの深さと処理速度のトレードオフで使い分けます。
WindowsやmacOSには標準でパーソナルファイアウォールが搭載されており、これを無効にしないことが個人レベルでできるもっとも基本的なセキュリティ対策です。
ただしファイアウォールだけですべての攻撃を防げるわけではなく、WAFやIDS/IPSと組み合わせた多層防御が重要です。
「ファイアウォールって何?」と聞かれたら、「ネットワークの門番で、通信を通すか止めるかをルールに基づいて判断してくれる仕組みだよ」と答えれば、本質を押さえた回答になります。
あざした
