ファイアウォール
ファイアウォールは、ネットワークの出入り口で通信を監視し、 設定されたルールに基づいて許可・遮断を行うセキュリティシステムです。 不正アクセスやマルウェアの侵入を防ぎ、社内ネットワークや個人情報を保護する役割があります。 主に「パケットフィルタリング型」「ステートフルインスペクション型」「アプリケーションゲートウェイ型」などの種類があります。
パケットフィルタリング
ネットワークを流れるデータ(パケット)を IPアドレスやポート番号 などの情報をもとに許可・拒否する ファイアウォールの基本機能です。 特徴 • 通信のルールを設定し、不正アクセスや不要な通信を遮断できる • OSI参照モデルの第3層(ネットワーク層)と第4層(トランスポート層)で動作する • シンプルで高速だが、パケットの内容(アプリケーションレベル)までは検査できない 仕組み 許可:「社内ネットワーク(192.168.1.0/24)からWebサーバー(80番ポート)への通信」 拒否:「外部ネットワークから社内サーバー(22番ポート:SSH)への通信」 これにより、不要なアクセスを制限し、セキュリティを向上させます。
アプリケーションゲートウェイ
アプリケーション層(OSI参照モデルの第7層)で通信を制御するファイアウォールです。 プロキシ型ファイアウォールとも呼ばれ、パケットの中身(データ部分)を解析して、不正な通信を検知・遮断できます。 特徴 • アプリケーションごとの細かい制御が可能(例:HTTP, FTP, SMTP など) • パケットの内容を検査し、悪意のあるデータや不正アクセスを防ぐ • プロキシとして動作し、直接の通信を遮断するため、内部ネットワークのIPアドレスを隠せる • パケットフィルタリングより高度なセキュリティを提供するが、処理が重くなる 仕組み 例えば、Web通信(HTTP)を管理する場合、以下のように動作します。 1. 利用者 → アプリケーションゲートウェイ にリクエストを送る 2. ゲートウェイが通信内容を検査し、安全なら外部のWebサーバーへ送信 3. Webサーバーからのレスポンスもゲートウェイが検査し、安全なら利用者に返す この仕組みにより、ウイルスや不正アクセスをより厳しく防ぐことができます。
WAFの設置位置
WAF(Web Application Firewall)の設置位置は、Webサーバーを攻撃から保護するために 「インターネット」と「Webサーバー」の間に配置されます。 WAFの設置位置と役割 ① インターネット ⇔ WAF ⇔ Webサーバー • インターネットからの HTTP/HTTPS通信 を WAF が解析し、不正なリクエストをブロック • Webサーバーを狙う SQLインジェクション や XSS(クロスサイトスクリプティング)などの攻撃を防ぐ ② ファイアウォールとの違い • ファイアウォール:IPアドレスやポート番号を基に通信の許可/遮断を行う • WAF:Webアプリケーションの通信内容(リクエストやレスポンス)を解析し、攻撃を防ぐ WAFの種類と設置方法 1. ネットワーク型WAF(ハードウェア型): • ルーターやファイアウォールの近く に設置し、複数のWebサーバーをまとめて保護 • 高速処理が可能だが、導入コストが高い 2. ホスト型WAF(ソフトウェア型): • Webサーバー内にインストール し、そのサーバーを保護 • コストは低いが、サーバーに負荷がかかる 3. クラウド型WAF(SaaS型): • クラウドサービスを経由 してWebサーバーを保護 • 初期費用が低く、運用管理が容易 まとめ WAFは「インターネット」と「Webサーバー」の間に設置し、Webアプリケーションを狙う攻撃を防ぐ ファイアウォールとは異なり、通信の中身を解析してWebアプリ特有の攻撃(SQLインジェクションなど)を防御するのが特徴。
DMZ
DMZ(DeMilitarized Zone, 非武装地帯)は、外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の間に配置する中間領域のこと。 DMZの役割 • 外部からアクセスが必要な Webサーバーやメールサーバー を配置し、社内ネットワークを直接攻撃されるリスクを減らす • ファイアウォール を使い、インターネットとの通信は許可するが、DMZから社内LANへの直接アクセスは制限 する
IDS(Intrusion Detection System, 不正侵入検知システム)
IDSは、ネットワークやシステムに対する不正アクセスや攻撃を検知するセキュリティ対策。 主な種類 1. NIDS(ネットワーク型IDS) • ネットワーク上の通信を監視し、不正なパケットを検知 • 例)DDoS攻撃やポートスキャンを検知 2. HIDS(ホスト型IDS) • サーバーやPCのログや動作を監視し、不審な挙動を検知 • 例)システムファイルの改ざんや不正ログインを検知 ポイント • IDSは 攻撃を防ぐのではなく、検知する仕組み • 攻撃を検知すると 管理者に通知し、対応を促す • 侵入を防ぐには、IPS(Intrusion Prevention System, 不正侵入防止システム)の導入が有効 セキュリティ監視の基本となるシステムで、SOC(セキュリティオペレーションセンター)などで活用される
IPS(Intrusion Prevention System, 不正侵入防止システム)
IPSは、ネットワークやシステムへの不正なアクセスを検知し、自動的に遮断するセキュリティ対策。 IDSとの違い • IDS(不正侵入検知システム) → 検知のみ(管理者に通知) • IPS(不正侵入防止システム) → 検知+自動防御(通信をブロック) 主な動作 1. 攻撃パターンの検知(シグネチャベース) • 既知の攻撃と一致するパケットを遮断 2. 異常な通信の検知(ヒューリスティック・ビヘイビアベース) • 通常と異なる不審な動きを検知しブロック 設置場所 • ファイアウォールの内側(LANとインターネットの間)に設置されることが多い ポイント • IPSは リアルタイムで攻撃を防ぐため、迅速な対応が可能 • しかし、誤検知による正常な通信の遮断に注意が必要 • IDSと組み合わせて利用されることが多い 「攻撃の検知+ブロック」を行う、より積極的なセキュリティ対策
ハニーボット
ハニーボットは、攻撃者をおびき寄せる「おとり」のシステム。 目的 1. 攻撃手法の分析 → どのように侵入しようとするかを観察 2. セキュリティ対策の強化 → 新しい脅威への対応を準備 3. 攻撃の陽動 → 本物のシステムを守るために攻撃者の注意を引く 仕組み • わざと脆弱なシステムを用意し、攻撃者に侵入させる • 攻撃の記録・分析を行い、セキュリティの向上に役立てる 種類 1. 低対話型(Low-Interaction) → 最小限の機能で攻撃を記録 2. 高対話型(High-Interaction) → 実際に攻撃を受ける環境を再現 攻撃者を誘導し、攻撃の手口を学ぶための「おとり」
ペネトレーションテスト(Penetration Test)
ペネトレーションテストは、システムやネットワークに対するセキュリティテストで、実際に攻撃者の立場でシステムの脆弱性を探し出し、 侵入を試みる方法です。 目的 1. 脆弱性の発見 → 攻撃者が悪用できる弱点を見つける。 2. セキュリティ対策の強化 → 実際の攻撃シナリオをシミュレートし、防御力を向上させる。 特徴 • 実際に攻撃を行うため、リスクが伴う。 • ブラックボックス方式(攻撃者の情報が限られている)や、ホワイトボックス方式(システムの詳細な情報を持っている)などがある。 実施例 • ネットワーク、Webアプリケーション、内部システムの脆弱性をチェック。 攻撃者になりきってシステムの安全性をチェック
ファジング
ファジングは、ソフトウェアのセキュリティテスト手法の一つで、 **無作為に生成したデータ(異常値や予期しない入力)**をソフトウェアに送り込み、脆弱性や不具合を検出する方法です。 目的 • バグや脆弱性の発見:異常な入力に対するソフトウェアの反応をチェックし、予期しない挙動(クラッシュやセキュリティホール)を探す。 特徴 • 自動的に大量の入力を生成してテスト。 • 入力データは、ランダムまたは体系的に変化させることが多い。 • 特に入力検証不足や境界条件に弱い部分を突く。 実施例 • Webアプリケーションに無効な入力を送る。 • バイナリファイルに異常なデータを挿入し、処理の異常をチェック。 目的は、予測不可能な入力によって隠れたバグを発見すること