ファイアウォールのURLの許可について

ファイアウォールのURL許可（URLホワイトリスト）は、特定のWebサイトやサービスへのアクセスを許可するための重要な機能です。

特に次世代ファイアウォール（NGFW）、UTM、SWG（Secure Web Gateway）などでは、従来のIP/ポート制御に加えてアプリケーション層まで分析し、URL単位の精密なアクセス制御を行えます。

以下では、URL許可の概念・動作原理・設定粒度・注意点を体系的に整理します。

URL許可（ホワイトリスト）とは

URL許可とは、指定したURL・ドメインのみアクセスを許可し、それ以外を拒否する仕組みです。

従来のL3/L4ファイアウォールではIPアドレスとポートを基準にしましたが、現在では通信内容を解析し、アプリケーションレベルでの許可／拒否が可能です。

許可設定の粒度（どの単位で許可できるか）

ドメイン単位

例
example.com
最も一般的で設定が容易。

サブドメイン単位

例
api.example.com
ホスト単位で通信先を制御したい場合に有効。

URLパス単位

例
https://example.com/admin/*
ただし、HTTPS通信の場合は SSLインスペクション（復号）を行わないとパス情報が取得できないため、多くの環境では利用が限定される。

正規表現（Regex）による高度な指定

例
^https://.*\.example\.com/api/v[0-9]+/.*$
細かな制御が可能だが、複雑化しやすいため注意が必要。

URL許可が実際にどのように動作するか（技術的メカニズム）

DNSの監視／フィルタリング

一部のファイアウォールやUTM製品は、DNSクエリを監視して、特定ドメインの名前解決を許可・拒否できる。

これは「DNSフィルタリング」機能であり、URLフィルタと併用されることもある。

HTTPS通信のSNI情報で判定

HTTPSは暗号化されておりURLパスは見えないが、ClientHello内のSNI（Server Name Indication）には接続先ホスト名が含まれる。

多くのNGFW・SWGでは、このSNIを元にホスト名ベースの許可判定を行う。

※将来的にはECH（Encrypted ClientHello）によりSNIの暗号化が進むため、判定方式の変化が予想される。

URLカテゴリデータベースによる判定

商用のURLフィルタリング製品は、膨大なURL辞書データベースを持ち、ドメイン／サブドメインをカテゴリ（セキュリティリスク、業務用途、ニュースなど）に分類してアクセスを制御する。

※HTTPS復号なしでもカテゴリ判別は可能だが、パスまで反映できない場合がある。

SSLインスペクションによるパス単位の判定

パスレベルの正確なフィルタリングや高度なデータ検査を実施する場合、ファイアウォールがTLS通信を復号して内部のHTTPリクエストを確認する必要がある。

URL許可設定で注意すべき点

サービスが複数ドメインを利用する場合がある

Webサービスやクラウドサービスは、以下のように複数ドメイン・サブドメインを使用することが多い。

• APIサーバ
• 認証サーバ
• CDN（Akamai, Cloudflare, Fastly 等）
• ネットワーク最適化用のサブドメイン

そのため「見えているURLだけ許可するとアクセスできない」ことが発生しやすい。

CDNドメインも許可対象になることが多い

CSS、JavaScript、APIなどの配信にCDNが使用されるため、本体ドメインだけ許可しても動作しないケースがある。

固定URLを持たないサービスが存在する

以下のように接続先が動的に決まる場合がある。

• クラウドサービスのリージョン切り替え
• インスタンス別のユニークURL
• 自動スケールシステムでホスト名が変動

この場合、ワイルドカード（*.example.com）や、IPレンジでの許可が必要になることもある。

HTTPS復号を行わない環境ではパス単位制御は不可

ホスト名は見えるが、URLパスは暗号化されているためホスト単位以上の粒度での制御に留まる。

URL許可リストを作成する際のプロセス（中立的な手順）

STEP 1：利用するサービスを列挙

業務で必要なクラウドサービス・Webサービスを洗い出す。

STEP 2：サービスの公式ドキュメントで必要なドメインを確認

各サービスには「Firewall / Proxy 設定ガイド」があるため、それを参照。

STEP 3：ドメイン・サブドメインを整理

例

*.example.com
api.example.com
cdn.example.net

STEP 4：CDNや依存ドメインも追加

サービス動作に必要なサブリソースも含める。

STEP 5：SSLインスペクションの要否を判断

• パス単位や高度検査が必要 → 有効化
• ホスト単位でよい → 無効のままでも可

STEP 6：設定後に動作確認

ブラウザの開発者ツールやログで通信がブロックされていないか確認。

実運用におけるベストプラクティス

• ホスト名ベースの許可を基本とする
• 可能な部分はワイルドカードを活用し過度な個別設定を避ける
• CDNドメインを見落とさない
• サービス側のドメイン追加・変更に備えて定期的に見直す
• HTTPSインスペクションを有効化する場合は証明書配布・プライバシー配慮が必要
• URLフィルタリングとDNSフィルタリングを併用すると制御が安定しやすい

まとめ

• URL許可は、IP/ポート制御に加えてアプリケーション層でアクセス先を限定する強力な手法
• 判定には SNI / カテゴリDB / SSLインスペクション など複数の技術が関与
• ホスト名単位・サブドメイン単位・パス単位など複数の粒度で制御可能
• Webサービスは複数のドメインやCDNを利用するため、許可漏れが起きやすい
• 正確な通信要件はサービスの公式ドキュメントを参照することが最も確実

以上、ファイアウォールのURLの許可についてでした。

最後までお読みいただき、ありがとうございました。