ファイアウォールの機能について

ファイアウォールは、ネットワークセキュリティの中核を担う仕組みです。

しかし「通信を遮断するもの」という漠然とした理解に留まっているケースも多く、実際にどのような基準で、どこまで制御できるのかは誤解されがちです。

ここでは、ファイアウォールの機能を事実関係を厳密に整理しながら、体系的に解説します。

ファイアウォールの基本的な役割

ファイアウォールの本質的な役割は、

ネットワークを行き来する通信を監視し、事前に定めたルール（ポリシー）に従って許可または拒否すること

です。

具体的には、

• インターネットなどの外部ネットワーク
• 社内LANや家庭内ネットワークなどの内部ネットワーク

この境界点に配置され、不正アクセスや不要な通信が内部へ侵入するのを防ぎます。

通信の許可・遮断（アクセス制御）

ファイアウォールの最も基本的な機能

ファイアウォールは、すべての通信に対して

• 許可（Allow）
• 拒否（Deny / Block）

のいずれかを判断します。

この判断は、管理者が設定したセキュリティポリシー（ルール）に基づいて行われます。

例

• 社内PCからWebサイトへの通信：許可
• 外部から社内PCへの直接通信：拒否

なお、製品や設定によっては、

• 拒否応答を返す（Reject）
• 応答せず破棄する（Drop）
  といった動作差もあります。

ポート制御機能

通信が「どの用途で使われているか」を判断する手がかり

ネットワーク通信では、ポート番号が使われます。

サービス例	一般的なポート番号
HTTP	80
HTTPS	443
SMTP（メール送信）	25
FTP	21

ファイアウォールはこのポート番号を基準に、

• 特定のポートのみ許可
• 危険性の高いポートを遮断

といった制御を行います。

注意点

ポート番号はサービス内容を推測する目安であり、実際の通信内容を厳密に保証するものではありません。

そのため、ポート制御は従来型ファイアウォールの基本機能として位置づけられます。

IPアドレスによる制御

通信相手そのものを制限する

ファイアウォールは、

• 送信元IPアドレス
• 宛先IPアドレス

を条件に通信を制御できます。

具体例

• 特定のIPアドレスからの通信を拒否
• 社内管理者のIPアドレスのみ管理画面を許可
• 悪意のあるIPアドレスをブラックリスト化

これにより、通信内容以前に「誰と通信するか」を制限できます。

ステートフルインスペクション（通信状態管理）

正規の通信かどうかを「流れ」で判断する

多くの現代的なファイアウォールは、ステートフル（状態保持型）です。

これは、単一のパケットだけを見るのではなく、

• 通信の開始
• 継続
• 終了

までをひとつのセッションとして管理する仕組みです。

その結果、

• 内部から開始された正規通信の「応答」は許可
• セッションと無関係な外部からの通信は拒否

といった制御が可能になります。

※ 受信サービスとして明示的に許可している通信は、例外として通過します。

アプリケーション制御（次世代ファイアウォール）

ポート番号だけに依存しない通信識別

次世代ファイアウォール（NGFW）では、

• 通信の振る舞い
• ヘッダ情報
• シグネチャ

などをもとに、アプリケーション単位で通信を識別します。

例

• Web会議ツール：許可
• 動画配信サービス：制限
• 特定SNS：業務時間中は禁止

重要な補足（HTTPS通信）

現在の通信の多くはHTTPSで暗号化されています。

• 通信を復号（SSL/TLSインスペクション）する構成の場合
  → より高精度なアプリ識別が可能
• 復号しない場合
  → 証明書情報や通信パターン等による推定となり、精度に限界があります

ログ記録・監視機能

通信の履歴を記録し、分析に活用する

ファイアウォールは、

• 許可された通信
• 拒否された通信
• 不審と判断された通信

をログとして記録できます。

ただし実運用では、

• 全通信を常に記録することは少ない
• 重要な通信や拒否ログに絞る

といった運用設計が一般的です。

ログは、インシデント調査・不正検知・監査対応に重要な役割を果たします。

不正通信の検知・遮断（IDS / IPSとの関係）

多くの製品では、ファイアウォールに

• IDS（侵入検知）
• IPS（侵入防止）

機能が統合されています。

これにより、

• ポートスキャン
• 既知の攻撃パターン

などを検知・遮断することが可能です。

ただし、大規模なDDoS攻撃などはファイアウォール単体では対処しきれず、回線事業者やクラウド側の専用対策が必要になる場合もあります。

NAT（アドレス変換）との関係

NAT（Network Address Translation）は、

• 内部IPアドレスを外部に直接公開しない
• 外部から内部端末への直接到達性を下げる

という効果があります。

ただし、NATは本来アドレス変換の仕組みであり、ファイアウォールそのものではありません。

結果としてセキュリティ効果を高める副次的要素になる、という位置づけが正確です。

ルール（セキュリティポリシー）管理

ファイアウォールの強さは、どのようなルールを設定するかに大きく依存します。

• 誰が
• どこへ
• 何を
• どの条件で

通信できるのかを明確に定義する必要があります。

設定次第で、

• 非常に強固な防御にも
• 形だけの存在にも

なり得る点が、ファイアウォールの特徴です。

まとめ

ファイアウォールとは、

通信の相手・内容・状態を多角的に判断し、不正または不要な通信をネットワークの入口で制御する仕組み

です。

万能ではありませんが、他のセキュリティ対策と組み合わせることで、ネットワーク防御の基盤として非常に重要な役割を果たします。

以上、ファイアウォールの機能についてでした。

最後までお読みいただき、ありがとうございました。