ファイアウォールのホワイトリストの設定方法について

ファイアウォールにおける「ホワイトリスト（Allow List）」は、情報セキュリティを構築するうえで最も堅牢な防御手段のひとつです。

特定の IP アドレスや通信だけを許可し、それ以外をすべて遮断することで、外部からの不正アクセスや攻撃を大幅に減らせます。

本稿では、ホワイトリストの基本的な考え方から、Windows・macOS・ルーター・AWS/GCP/Azure など代表的な環境ごとの設定イメージ、そして実務上の注意点や運用の最適化方法まで、多角的に解説します。

ホワイトリストとは？基礎から理解する安全なアクセス制御

ホワイトリスト方式とは、

「許可した通信だけ通し、記述されていないアクセスはすべて遮断する」仕組み

のことです。

ホワイトリスト方式の主なメリット

• 未許可のアクセスを完全に遮断できるため 非常に安全性が高い
• 外部から攻撃されやすい CMS 管理画面や管理ポートの保護に有効
• ステージング環境のアクセス制御など マーケティング実務とも親和性が高い

デメリットや注意点

• IP アドレスが変動する環境では 運用負荷が高い
• 誤った設定をすると、自分自身がアクセスできなくなる可能性がある

ホワイトリスト設定の前に必ず整理すべき4つの要素

ホワイトリスト設定は、以下の要素を明確にした上で行う必要があります。

• どのサービスを守るのか
  　（例：CMS、ステージングサイト、サーバー内部管理）
• どの IP アドレスを許可するのか
  　（例：社内固定 IP、VPN、制作会社の IP）
• どのポート、どのサービスを対象にするのか
  　（例：Web、SSH、RDP、API など）
• 受信か送信か、どの方向の通信を制御するのか

特に、外部から内部に向かう「受信側」はホワイトリスト制御で最も重要なポイントです。

ホワイトリストを利用する典型的なケース

CMS や管理画面を外部から守りたい場合

WordPress や各種 CMS のログインページは攻撃対象になりやすいため、IP 制限が有効です。

ステージング環境にアクセスできる人を絞りたい

制作会社や関係者だけに限定することで、セキュリティと情報漏洩対策が向上します。

API へのアクセスを信用できる送信元だけに限定したい

Webhook や外部連携の安全性が高まります。

SSH やリモートデスクトップなど管理アクセスを守りたい

攻撃対象になりやすい管理ポートを強固に保護できます。

Windows・macOS・ルーター・クラウド別の設定イメージ

ここでは、コードを一切使用せず、概念的な設定手順だけを分かりやすくまとめています。

Windows の場合（Defender Firewall）

Windows では「受信規則」の設定によってアクセス制御を行います。

設定の流れ（イメージ）

1. Windows セキュリティを開く
2. ファイアウォールの詳細画面へ移動
3. 新しい受信規則を作成
4. 許可するアプリまたはポートを選択
5. 許可したい IP アドレスだけを指定
6. 使用するネットワーク種別（社内/自宅/公共）を選んで完了

これにより、特定の IP からのアクセスのみを許可し、それ以外は遮断できます。

macOS の場合（pf を利用した高度な制御）

macOS にはアプリ単位でアクセスを制御する「アプリケーションファイアウォール」機能があり、これは特定アプリの通信を許可・拒否するための仕組みです。

一方で、IP アドレス単位で厳密に制御したい場合は、macOS 内部にある「pf（Packet Filter）」という仕組みを使用します。

pf で行えること（概念レベル）

• 特定の IP のみ、特定サービスへの接続を許可
• 基本的な通信はすべて遮断し、例外だけ通す
• 企業レベルの高度なフィルタリングが可能

macOS で精密な IP 制御を行う場合に利用されます。

ルーター・UTM 機器でのホワイトリスト

一般的なルーターや企業向け UTM（統合脅威管理）製品では、管理画面からアクセス制御を設定します。

設定の流れ（機器に共通する概念）

1. 管理画面へログイン
2. ファイアウォールまたはセキュリティ項目を開く
3. 「許可ルール」または「アクセスポリシー」を追加
4. 許可したい IP を入力
5. 対象のサービス（Web / SSH / RDP など）を指定

特にステージング環境のアクセス元を絞りたい時などに効果的です。

AWS / GCP / Azure のクラウド環境の場合

クラウド環境では、アクセス制御が明確に整理されているため、ホワイトリストを構築しやすいのが特徴です。

AWS（Security Group で制御）

AWS では Security Group がホワイトリスト方式のため、「許可した IP 以外は通さない」仕組みが標準で備わっています。

設定の流れは以下のイメージです。

• インスタンスの Security Group を開く
• 対象サービス（Web、管理ポートなど）を選ぶ
• 許可する送信元 IP を追加する

GCP（VPC Firewall Rules）

GCP では VPC のファイアウォールルールで同じように制御できます。

• 新規ルールを作成
• 許可したい IP の範囲を入力
• 対象ポートを指定

Azure（Network Security Group）

Azure のネットワークセキュリティグループでも、許可する IP とサービスを指定してアクセスを制限できます。

WordPress 管理画面を保護したい場合のポイント

WordPress の管理画面を IP 制限する際には、サーバー側の設定ファイルで「特定 IP 以外のアクセスを拒否する」設定を行います。

ポイントとしては以下の通りです。

• 現在のサーバーが Apache のどのバージョンを使用しているか確認する
• バージョン 2.4 以降では、「許可」「拒否」の書き方が変わっている
• 管理画面専用のアクセス制限ファイルを設置することで、安全に保護できる
• 設定ミスに備えてバックアップを取り、複数ブラウザで動作確認する

ホワイトリスト設定でよく起きるトラブルと注意点

ホワイトリスト運用には以下の注意点がつきものです。

IP が変わって自分が締め出される

固定 IP でない回線では特に注意。

IPv6 の制御を忘れると抜け穴が生まれる

IPv4 だけ制御しても意味がない場合があります。

CDN を利用していると IP が変わる

Cloudflare などは、自社の IP アドレス一覧をすべて許可する必要があります。

許可 IP を広げすぎると危険

誤って広すぎる範囲を許可すると防御が無意味になります。

実務で使えるホワイトリスト運用のコツ

許可 IP の一覧を文書化して管理する

追加日・理由・担当者・期限をセットで記録。

外部ベンダーには「期限付きのアクセス許可」を付与する

プロジェクト終了とともに無効化することでリスク低減。

VPN を活用して出口 IP を固定化する

IP が不安定な環境でも、安定したホワイトリスト運用が可能。

まとめ

• ホワイトリストは最も強力なアクセス防御
• 設定には「対象」「許可 IP」「ポート」「方向」の整理が不可欠
• Windows、macOS、ルーター、クラウドなど環境ごとに手順は異なる
• 運用ミスが起きると自分がアクセス不能になることもあるため要注意
• VPN や IP 管理台帳を活用することで、安全で効率的な運用が可能

以上、ファイアウォールのホワイトリストの設定方法についてでした。

最後までお読みいただき、ありがとうございました。