ファイアウォールの許可リストについて

ファイアウォールにおける許可リスト（Allowlist／ホワイトリスト）は、ネットワークセキュリティ設計の中核となる考え方です。

特にサーバー運用や業務システムでは、「許可リストをどう設計・運用するか」が、セキュリティ強度と運用安定性を大きく左右します。

本記事では、許可リストの基本概念から、拒否リストとの違い、ステートフルファイアウォールとの関係、実務で陥りやすい落とし穴までを、正確性を重視して解説します。

許可リストの基本概念

許可リストとは、

あらかじめ「許可した通信条件」に一致する通信のみを通過させ、それ以外はすべて拒否する

という制御方式です。

この設計は、セキュリティの原則である「原則拒否（Default Deny）」を実現しやすい点が大きな特徴です。

• 許可されていない通信 → 拒否
• 明示的に許可した通信 → 通過

つまり、「何を止めるか」ではなく「何を通すか」を定義する発想です。

許可リストと拒否リストの違い

許可リストと対になる考え方として、拒否リスト（Denylist／ブラックリスト）があります。

注意点として、「拒否リスト＝必ずデフォルト許可」「許可リスト＝必ずデフォルト拒否」という意味ではありません。

実際には どのようにルールを組むか が重要であり、拒否リスト方式でも厳格な設計は可能です。

ただし現場では、拒否リストは結果的に「許可寄り」の運用になりやすく、許可リストは「拒否寄り」の設計を取りやすい、という傾向があります。

許可リストで指定できる主な条件

ファイアウォールの許可リストは、複数の条件を組み合わせて定義します。

IPアドレス

• 送信元IP
• 宛先IP
• IPアドレス範囲（CIDR表記）

ポート番号

• Web：80 / 443
• 管理用：22（SSH）
• メール、DNS、NTP など用途別

プロトコル

• TCP
• UDP
• ICMP（pingなど）

通信方向

• インバウンド（外部 → 内部）
• アウトバウンド（内部 → 外部）

多くの場合、「IP × ポート × プロトコル × 方向」の組み合わせで可否が判断されます。

許可リストの典型的な設計例

Webサーバーの基本構成例

• インバウンド
  • TCP 80 / 443：全世界から許可
  • TCP 22：管理者の特定IPのみ許可
• アウトバウンド
  • 必要な通信（DNS、更新サーバー、監視先など）のみ許可
  • その他は拒否

このように、サービス提供に必要な通信だけを最小限許可する設計が基本です。

許可リストが高い安全性を持つ理由

想定外の通信を原則遮断できる

• 未知の攻撃
• ゼロデイ攻撃
• 設定ミスによる不要通信

これらは「許可されていない」という理由だけで遮断されます。

被害の拡大を抑制しやすい

万が一システムが侵害されても、

• 外部への不正通信
• 内部ネットワークへの横展開

を制限しやすくなります。

ステートフルファイアウォールとの関係

現在主流のファイアウォール（NGFWやUTMの多く）はステートフルです。

• 内部から外部への通信を許可
• その通信に対する戻り通信は自動的に許可

この仕組みにより、

• インバウンド：原則拒否
• アウトバウンド：必要に応じて許可

という設計が現実的になります。

ただし、すべての制御がステートフルとは限りません。

ルータのACLやクラウドの一部ネットワーク制御（例：NACL）はステートレスであり、戻り通信も明示的に許可する必要があります。

許可リスト運用でよくある失敗

許可範囲が広すぎる

• 0.0.0.0/0 を安易に許可
• 全ポートをまとめて許可

これは実質的に防御になりません。

ルールの肥大化・属人化

• 追加理由が分からないルール
• 影響が怖くて削除できない設定

定期的な棚卸しとドキュメント化が不可欠です。

動的通信への理解不足

FTPなどは、通信方式やポートの扱いが複雑です。

• パッシブFTPではデータ通信にポート範囲の許可が必要
• NAT環境ではアクティブFTPが問題になりやすい

このため、SFTPなど代替手段の検討も重要になります。

クラウド環境における許可リスト

クラウドでは、許可リスト型の思想が標準です。

• セキュリティグループ / NSG
  • 許可ルール中心
  • 許可しない限り通信不可
  • ステートフル
• NACL（AWS）
  • ステートレス
  • 戻り通信も明示ルールが必要

この違いを理解しないと、通信トラブルや想定外の遮断が発生します。

許可リスト設計のベストプラクティス

• 必要最小限の通信のみ許可
• 管理用通信はIP制限必須
• アウトバウンドも可能な限り制御
• ルール追加時は理由を記録
• 定期的に不要ルールを整理

まとめ

ファイアウォールの許可リストは、

• 原則拒否を実現しやすい設計思想
• セキュリティ強度が高い一方、設計力が求められる
• サーバー・業務ネットワークでは事実上の標準

と言える重要な仕組みです。

以上、ファイアウォールの許可リストについてでした。

最後までお読みいただき、ありがとうございました。