ファイアウォールの構築の注意点について

ファイアウォールは「導入しただけで安全になる装置」ではありません。

設計 → 構築 → 運用 → 見直しまでを一体で考えなければ、むしろ障害や情報漏洩の原因になります。

本記事では、現場で実際に事故やトラブルにつながりやすいポイントを中心に、ファイアウォール構築の注意点を体系的に解説します。

ファイアウォール構築で最初にやるべきこと（設計フェーズ）

守るべき資産（アセット）を明確にする

最初に決めるべきは「何を守るのか」です。

• 公開Webサーバー
• 社内システム
• 顧客データベース
• 管理画面（CMS・管理ツール）
• ネットワーク機器の管理系インターフェース

ここが曖昧なまま構築すると、

• 不要な通信を通してしまう
• 必要な通信を塞いで業務停止する

という典型的な失敗につながります。

通信要件を徹底的に洗い出す（最重要）

ファイアウォール設計の成否は、ここでほぼ決まります。

最低限、以下をすべて具体化します。

• 送信元（誰が）
• 宛先（誰に）
• プロトコル（TCP / UDP など）
• ポート番号
• 通信方向（Inbound / Outbound）
• NAT有無（変換前 / 変換後）

例

• インターネット → Webサーバー：TCP 443
• 社内APサーバー → DBサーバー：TCP 3306

「必要な通信だけを許可する」ことが原則であり、不明な通信を安易に許可するのは設計放棄と同義です。

ゾーン設計（ネットワーク分離）

ネットワークは必ずゾーンに分けて設計します。

• インターネット
• DMZ（公開サーバー領域）
• 社内ネットワーク
• 管理ネットワーク

ゾーン間通信は必ずファイアウォールを経由させます。

これにより、万一侵入されても被害を限定できます。

ファイアウォール設定時の注意点（構築フェーズ）

デフォルト拒否（Deny All）を前提にする

基本原則は以下です。

• すべて拒否
• 必要な通信のみ個別に許可

「とりあえず通す」「あとで閉じる」は、ほぼ確実に“あとで閉じられない負債”になります。

ルール評価順序を必ず確認する

多くのファイアウォールはルール順に評価されますが、評価ロジックは製品・モードにより異なります。

• 上から順に最初にマッチしたルールを適用
• pre-rule / post-rule など複数階層
• 例外ルールや除外条件の扱いが独特

必ず自製品の評価方式を確認し、

• 狭い条件のルールは上
• 広い条件のルールは下

という原則を守ります。

Any（0.0.0.0/0）の扱いに注意

Any の多用はリスクですが、完全禁止が現実的でない場合もあります。

重要なのは以下です。

• 代替策を検討（IPレンジ、FQDN、プロキシ）
• 利用理由をコメントで明記
• 期限・責任者を設定
• 定期的に見直す

「なぜ Any なのか説明できないルール」は危険信号です。

ステートフル前提を必ず確認する

多くのファイアウォールはステートフルですが、クラウド環境や製品によって挙動が異なる場合があります。

• 戻り通信は自動許可されるか
• 関連通信（FTP等）はどう扱われるか
• 非対称経路でステートが崩れないか

これを理解せずに設計すると、

• 通信が不安定
• 想定外に穴が空く

といった問題が発生します。

NATとルーティングは設計の中核

ファイアウォール障害の多くはNAT・経路設計ミスです。

注意点

• SNAT / DNAT の使い分け
• ログに表示されるIPは変換前か後か
• 冗長構成時の非対称経路
• 複数回線利用時の戻り経路

「ルールは合っているのに通信できない」場合、ほぼNATか経路です。

IPv6を忘れない

IPv4だけを意識した設計は危険です。

• IPv6が有効な端末から想定外通信
• IPv6用ルールが未設定
• デュアルスタックによる抜け道

IPv4 / IPv6 両方を対象にレビューするのが現代の前提です。

管理アクセスの厳重な保護

ファイアウォール自身の管理系は最重要ポイントです。

優先順位

1. 管理ネットワークの分離
2. 送信元IP制限（固定IP/VPN）
3. MFAや証明書認証
4. ログ取得と監査
5. 管理ポート変更（補助的）

ポート変更だけで安心してはいけません。

運用フェーズでの注意点（ここが最重要）

ログ設計まで含めて初めて完成

ログは「取る」だけでは不十分です。

• 集中管理（外部転送）
• 改ざん耐性
• 保存期間の明確化
• 時刻同期（NTP）
• 個人情報・機密情報の記録範囲配慮

ログがなければ、事故時に何も証明できません。

アウトバウンド通信は段階的に制御

理想は最小許可ですが、現実には以下が必要です。

• OS更新
• クラウドAPI
• SaaS
• DNS / NTP / 認証基盤

対策

• まずログで実態を観測
• 業務影響を把握
• 徐々に制限を強化

いきなり厳格化すると業務が止まります。

定期的なルール棚卸し

放置されたルールはリスクです。

• 利用目的不明
• 既に不要なサーバー向け
• 担当者不在

最低でも半年〜1年に一度は見直します。

変更管理とロールバック

安全な運用には以下が必須です。

• 変更前後の差分管理
• 二重チェック
• メンテナンス時間帯の明確化
• 即時ロールバック手段の確保
• フェイルオープン / クローズ方針の明示

更新管理（FWの種類に応じて）

• L3/L4 FW：ファームウェア更新・脆弱性対応
• UTM / NGFW：シグネチャ・エンジン更新

使っている機能に応じた更新計画が重要です。

まとめ

• 設計が8割、設定は2割
• 通信要件を曖昧にしない
• NAT・経路・IPv6を軽視しない
• 管理系は最優先で守る
• ログと運用が安全性を決める

以上、ファイアウォールの構築の注意点についてでした。

最後までお読みいただき、ありがとうございました。