ファイアウォールとVPN
ファイアウォールの基本
ファイアウォール(FW)は、ネットワーク間の通信を制御し、不正なアクセスを遮断するセキュリティ機器です。社内ネットワークとインターネットの境界に設置され、許可された通信のみを通過させる「門番」の役割を果たします。
ファイアウォールの種類
- パケットフィルタリング型:送信元/宛先IPアドレスやポート番号でフィルタリング。最もシンプル
- ステートフルインスペクション型:通信の状態(セッション)を管理し、不正なパケットを検出
- 次世代ファイアウォール(NGFW):アプリケーションレベルの識別、IPS、URLフィルタリング等を統合
- UTM(統合脅威管理):FW、アンチウイルス、IPS、VPN等をオールインワンで提供。中小企業向け
FWルール設計の基本原則
ファイアウォールのルール設計は「デフォルト拒否(Default Deny)」が原則です。
- まずすべての通信を拒否するルールを最後に配置
- 必要な通信だけを許可するルールを上位に追加
- ルールは上から順に評価されるため、順序に注意
- 定期的に不要なルールを棚卸し・削除する
| 番号 | 送信元 | 宛先 | サービス | アクション |
|---|---|---|---|---|
| 1 | 社内LAN | Any | HTTP/HTTPS | 許可 |
| 2 | 社内LAN | DNSサーバー | DNS | 許可 |
| 3 | Any | 社内Webサーバー | HTTPS | 許可 |
| 999 | Any | Any | Any | 拒否(ログ記録) |
VPNの種類と選定
VPN(Virtual Private Network)は、インターネット上に暗号化されたトンネルを構築し、安全にリモートアクセスを実現する技術です。
- IPsec VPN:レイヤー3で動作。拠点間接続(Site-to-Site)に強い。高速だが設定がやや複雑
- SSL-VPN:HTTPS(443番ポート)を利用。Webブラウザから接続可能な製品も。リモートアクセスに適する
- WireGuard:新世代のVPNプロトコル。軽量・高速・設定がシンプル
リモートアクセスVPNの設定ポイント
中小企業でリモートアクセスVPNを導入する際の注意点です。
- VPN機器のファームウェアを常に最新に保つ(脆弱性を突いた攻撃が頻発)
- VPN接続にはMFA(多要素認証)を必ず設定する
- 同時接続数を考慮したライセンスと機器スペックの選定
- スプリットトンネルの可否を検討(全トラフィックをVPN経由にするか、業務通信のみか)
- VPN接続時にクライアントのセキュリティ状態をチェックする仕組みの導入
- 接続ログの取得と定期的な確認
VPN機器の脆弱性を突いたランサムウェア被害が多発しています。機器のアップデートを最優先事項として管理し、不要な管理ポートは必ず閉じましょう。
✅ 完了済み