ネットワークファイアウォール ネットワークファイアウォールとは
ネットワークファイアウォールは、ネットワーク間のトラフィックフローを制限/許可するハードウェアまたはソフトウェアです。承認されていないトラフィックがセキュアなネットワークにアクセスするのを阻止するポリシーを適用することにより、サイバー攻撃を防止します。
読了時間: 4分1秒 | 公開日: 2026年3月27日
目次
ネットワークファイアウォールの説明
ネットワークファイアウォールは、ネットワーク間のトラフィックフローを制限するために設計されています。多くの場合、セキュアなプライベートネットワークと、インターネットといった異なるセキュリティポスチャのネットワークの間で使用されています。ネットワークファイアウォールは、セキュアなプライベートネットワーク全体に導入することもできるため、サイバー攻撃のリスクを減らし、機密リソースへの承認されていないアクセスを防止することができます。
ネットワークファイアウォールの機能
ネットワークファイアウォールは、インバウンドとアウトバウンドのネットワークトラフィックを分析し、IPアドレス、通信プロトコル、コンテンツタイプなどのトラフィックの特性をチェックします。トラフィックの特性を分析した後、ネットワークファイアウォールは、設定済みのファイアウォールポリシーに基づいてトラフィックをブロックまたは許可します。
ネットワークファイアウォールは、セキュリティ、プライバシー、コンプライアンスに関する義務の遂行のためによく要求されることがあります。たとえば、米国の情報セキュリティ現代化法 (FISMA) や、グローバルに用いられるPayment Card Industry Data Security Standard (PCI DSS) 規格などです。
ネットワークファイアウォールの仕組み
ネットワークファイアウォールは、アクセス制御メカニズムに基づいてポリシーを適用します。メカニズムとしては、定義済みのポリシー、許可/拒否ルールセットなど、トラフィックの特性に基づいてその処理方法を指定する各種のガイドラインが用いられます。
ネットワークファイアウォールは、Transmission Control Protocol/Internet Protocol (TCP/IP) の4つの通信レイヤー (上からアプリケーション、トランスポート、IP/ネットワーク、ハードウェア/データリンク) の内部でデータを検査します。TCP/IPレイヤーは、発信元から宛先までのデータの移動を導きます。ネットワークファイアウォールで用いられるセキュリティテクノロジーが高度になるほど、検査できるレイヤーの範囲が上のほうまで広がります。高度なネットワークファイアウォールは、より多くの情報を集めることで、きめ細かなトラフィック制御と詳細なアカウンティングを実現します。
最適なネットワークファイアウォールとは
ネットワークファイアウォールはどれでも同じではありません。ハイブリッド型の作業環境、モビリティ、IoTの導入が進むにつれて、IPアドレスに基づくルールと物理ネットワーク構成を使用するネットワークファイアウォールでは不十分になりつつあります。HPE Aruba Networking Policy Enforcement Firewall (PEF) は、アイデンティティベースの制御を通じて、アプリケーションレイヤーのセキュリティと優先度判定を適用します。
PEFは実証済みのテクノロジーであり、全世界で400万を超えるインストール実績があります。PEFテクノロジーを使用する組織は、アイデンティティやトラフィック属性、その他のコンテキストを使用して、初期接続時にアクセス権限を集中的に実施するゼロトラストアクセスモデルを実装できます。セキュアなロールベースのポリシーを動的に適用するテクノロジーと機能を持つPEFは、効果的にリスクを軽減するその能力に基づいて、Marshにより「Cyber Catalyst℠」ソリューションに認定されています。Cyber Catalystにより、特定のテクノロジーを導入したお客様は、プログラムに参加する各保険会社によるサイバー保険の契約条件の拡張対象となります。
ネットワークファイアウォールのメリット
- アクセス権限を適用してリスクを低減します。明示的に許可されたトラフィックのみを通すネットワークファイアウォール (「デフォルトで拒否」) を使うことで、ゼロトラストセキュリティアーキテクチャーを実現できます。
- 機密リソースへのアクセスを制限します。ネットワークファイアウォールを使えば、未認可ユーザーが、患者データや財務情報などの機密データにアクセスするのを防ぐことができます。
- サイバー攻撃からネットワークを守ります。ネットワークファイアウォールを使えば、組織内のユーザーがアクセスした悪意のあるWebサイトによって広められるマルウェアや脅威による攻撃を阻止することができます。
ファイアウォールの種類
| ファイアウォールの種類 | サービスによるメリット |
|---|---|
| パケットフィルタリング型ファイアウォール | イングレス (受信) およびイーグレス (送信) トラフィックを検査し、ソースや宛先などの基本的情報に基づいてトラフィックの通過を許可/拒否します。パケットフィルタリング型ファイアウォールは、受信または送信トラフィックの状態をトラッキングしないため、ステートレスファイアウォールとも呼ばれます。パケットフィルタリング型ファイアウォールは、その制限のために、TCP/IPスタックを標的とする攻撃やエクスプロイトに対して脆弱性があります。 |
| ステートフルファイアウォール | ステートフル検査を使用してトラフィックをトラッキングし、期待されるパターンから外れたトラフィックをブロックします。ステートフルファイアウォールは、テーブルでトラッキングされる確立済みの接続と照合することで接続をチェックし、ルールと確立済みの接続との非適合性に基づいてトラフィックを拒否できます。このため、ステートフルファイアウォールは、分散型サービス拒否 (DDoS) 攻撃などに対する防御に役立ちます。 |
| アプリケーションファイアウォール | ディープパケットインスペクションによるステートフル機能に基づいています。アプリケーションファイアウォールは、アプリケーションレイヤーでデータを分析し、観察されたイベントを確立済みのアクティビティパターンと比較することで、逸脱を識別し、脅威を防止します。アプリケーションファイアウォールは、バッファーオーバーフロー攻撃、DoS攻撃、マルウェアなどの予期しないコマンドによって実行される攻撃を防止するために役立ちます。 |
ネットワークファイアウォールに関するFAQ
ネットワークファイアウォールの主な構成要素と機能を教えてください
最新のネットワークファイアウォールは、ステートフル検査エンジン、L3~L7アプリケーション制御、IPS、SSL検査、URLフィルタリング、ゼロトラスト マイクロセグメンテーション、サンドボックス、AI主導の脅威インテリジェンス、ハードウェアアクセラレーション、ポリシー最適化を組み合わせることで、パフォーマンスを犠牲にすることなく効率を向上させています。
ネットワークファイアウォールにはどのようなユースケースがありますか
ネットワークファイアウォールは、一貫したゼロトラストポリシーに基づいて、企業のエッジ、支店、データセンター、クラウドのワークロード保護に使用されています。アプリケーションを保護し、リモートアクセスを可能にするほか、データセンターにおいてEast-Westマイクロセグメンテーションを適用し、ハイブリッド/マルチクラウド環境において高性能脅威防御を実現します。
ネットワークファイアウォール管理のベストプラクティスを教えてください
ネットワークファイアウォール管理のベストプラクティスは、明確な最小権限ポリシー、定期的な規則の見直しと是正、環境間で一貫した適用に重点を置くということです。一元管理、継続的な監視、定期的な監査によってリスクを軽減し、可視性を向上させ、ファイアウォールポリシーとゼロトラストの原則の整合性を維持できます。
ネットワークセキュリティ用にファイアウォールを設定する方法を教えてください
ネットワークセキュリティ用のファイアウォールを設定するには、デフォルト拒否ポリシーの設定から始めて、必要なポートとアプリケーションだけを許可し、ゾーンごとにトラフィックをセグメント化します。ゼロトラストの原則に従って最小権限のルールを適用し、ログ記録と監視を有効にし、必要に応じて暗号化されたトラフィックを検査し、ポリシーを定期的にレビューおよび更新します。
ネットワークファイアウォールとハイブリッドメッシュファイアウォールの違いは何ですか
ネットワークファイアウォールは、その環境のトラフィックを制御するために特定の場所 (エッジ、ブランチ、またはデータセンター) に展開された単一のセキュリティ適用ポイントです。ハイブリッドメッシュファイアウォールは、一元管理下で複数の (物理、仮想、クラウドの) ファイアウォールを接続し、ハイブリッド/マルチクラウド環境全体で一貫したポリシー、可視性、および適用を実現するアーキテクチャーです。
ネットワークにファイアウォールが必要な理由は何ですか
ファイアウォールは、信頼できるネットワークと信頼できないネットワークの間のトラフィックを制御し、保護するために必要です。ファイアウォールはアクセスポリシーを適用し、悪意のあるアクティビティをブロックし、セグメンテーションによって攻撃対象領域を縮小し、横方向の移動を防止することで、今日の接続されたネットワーク全体でユーザー、アプリケーション、データに不可欠な保護を提供します。