Written by Aimee
目 次
IDS/IPS・EDR・NDR
セキュリティ監視の違いとは?
脅威検出ツール「IDS/IPS」「EDR」「NDR」「SIEM」などのうち
どれが自社に最適かは悩ましい問題です。
本資料ではそれぞれの監視イメージや活用方法をご紹介します。
ファイアウォール(Firewall)とは、ネットワークの境界に配置され、通信を監視・制御するセキュリティシステムです。不正アクセス、不審な通信を検知・遮断する役割を果たします。
事前に定義されたルール・ポリシーに基づき、許可されていない通信をブロックすることで内部ネットワークへの不正侵入を防ぎ、データ漏洩、マルウェア感染といったリスクを低減します。
▼ファイアウォールのイメージ
ネットワークセキュリティの基礎として、多くの企業で導入されているファイアウォール。
一方で、近年の高度化するサイバー攻撃は、ファイアウォールによる「境界線防御」だけでは防ぎきれないといった側面もあります。
企業・組織のセキュリティ対策では、ファイアウォールとその他のセキュリティソリューションを組み合わせた「多層防御」の取り組みが欠かせません。
本稿では、今回のテーマとなるファイアウォールについて、改めて概要や主な機能、その他のネットワークセキュリティ(IDS/IPSやNDR、UTM等)との比較について、詳しく解説します。
▼この記事を要約すると
- 1.ファイアウォールの役割
内部ネットワークと外部ネットワーク間の通信を監視し、不正通信を遮断するセキュリティシステム - 2.ファイアウォールの種類
「パケットフィルタリング」「アプリケーションゲートウェイ」「サーキットゲートウェイ」の3種類 - 3.主な機能
代表的な機能は「フィルタリング機能」「アドレス変換機能(NAT)」「監視機能」
また、エムオーテックスではファイアウォールの防御壁をすり抜け侵入した、高度なサイバー攻撃や脅威検出を可能とする、NDR「Darktrace(ダークトレース)」を提供しています。
ファイアウォールとは
ファイアウォールとは、内部ネットワークと外部ネットワーク間の通信を監視し、不正または未許可の通信を遮断する機能を備えたセキュリティシステムです。
あらかじめ定義されたルール(セキュリティポリシー)に基づき、通信の許可・拒否を判断することで、ネットワーク内のデバイスおよびデータを各種脅威から防御します。
ファイアウォールは主に「ネットワークファイアウォール」と「パーソナルファイアウォール」の2種類に分類されます。
・ネットワークファイアウォール:ネットワーク全体を外部攻撃から保護。
・パーソナルファイアウォール:個別のデバイスを保護し、主要なオペレーティングシステム(WindowsやmacOSなど)に標準搭載される。
ファイアウォールを適切に導入・設定することで、不正アクセスや情報漏洩を防止し、ネットワークの安全性を向上させることが可能です。
パーソナルファイアウォールを無効化した場合のリスク
WindowsやmacOSに標準搭載されるパーソナルファイアウォールを無効化すると、不正通信が遮断できず、デバイスが様々なセキュリティリスクにさらされる危険があります。
具体的には、不正アクセスによってネットワークに侵入される危険性、マルウェア(悪意のあるソフトウェア)への感染リスクなどが増大します。
高いセキュリティを維持するには、ファイアウォールを常に「有効化」することが重要です。
IDS/IPS・EDR・NDR
セキュリティ監視の違いとは?
脅威検出ツール「IDS/IPS」「EDR」「NDR」「SIEM」などのうち
どれが自社に最適かは悩ましい問題です。
本資料ではそれぞれの監視イメージや活用方法をご紹介します。
ファイアウォールの仕組みと種類
ファイアウォールは社内ネットワークの高いセキュリティ水準を確保するため、さまざまな仕組みを駆使して通信を制御します。
ここでは、主なファイアウォールの仕組みとして、以下の3つをご紹介します。
- ・パケットフィルタリング
- ・アプリケーションゲートウェイ
- ・サーキットゲートウェイ
パケットフィルタリング
パケットフィルタリングは、ネットワーク上に転送されるパケットを検査し、事前に設定されたルールに基づいて通信を許可または拒否する技術です。
※パケット:分割された小さなデータ単位
具体的には、パケットの送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル(例:TCP、UDP)を確認し、通信の可否を判断します。
この方式の利点は、処理速度が速くシステムへの負荷が少ないため、リアルタイムで効率的に通信を制御できる点です。一方、パケットの内容を詳細に解析する機能は備えていないため、高度な攻撃への対応は困難です。
アプリケーションゲートウェイ
アプリケーションゲートウェイは、アプリケーション層のプロトコルごとに通信を制御するファイアウォールです。
ファイアウォールが内部ネットワークのコンピューターに代わり、外部サーバと通信。その通信内容を検査した上で、内部ネットワークのコンピューターへと転送します。
アプリケーションゲートウェイの利点は、通信内容を詳細に検査できるため、より高いセキュリティを提供できる点です。これにより、悪意のあるデータや攻撃を事前に防ぐことが可能です。
一方、処理が複雑になることで通信遅延が発生する可能性や、設定および管理が難しくなるため、運用に高度な知識や経験が必要になるなどの懸念事項があります。
サーキットゲートウェイ
サーキットゲートウェイとは、通信セッションの接続確立時に動作するファイアウォールの一種で、トランスポート層にてパケットのフィルタリングを行うセキュリティ技術です。
このゲートウェイでは、接続が確立される際に認証や検証を行い、接続が信頼できると判断された後はトラフィックのデータ内容に関与せず、接続の持続を管理します。
通信のやり取り自体は、ファイアウォールを通過せず、クライアントとサーバ間で直接行われます。
サーキットゲートウェイの利点は、接続の初期段階で詳細な検証を実施するため、信頼された接続に対して高いパフォーマンスを維持できる点です。
一方で、接続確立後の通信に対する詳細な監視が困難であり、脅威が潜伏するリスクが残る場合があります。また、アプリケーション層のデータを検査できないため、高度な攻撃の検出には不向きです。
ファイアウォールの機能
ファイアウォールの主な機能として、以下の3つがあります。
- ・ フィルタリング機能
- ・ IPアドレス変換機能
- ・ 監視機能
フィルタリング機能
先述の通り、ファイアウォールのフィルタリング機能とは、ネットワークを通過する通信データ(パケット)を検査し、事前に設定されたルールに基づいて通信を許可または拒否する機能です。
不正アクセスや不必要な通信を排除し、ネットワークのセキュリティを向上させることが目的であり、ファイアウォールの基本かつ最も重要な役割と言えます。
IPアドレス変換機能
IPアドレス変換機能(NAT:Network Address Translation)は、内部ネットワークのプライベートIPアドレスを外部ネットワークのグローバルIPアドレスに変換する機能です。
この機能により、内部ネットワークのプライベートIPアドレスが外部から直接参照されることを防ぎ、ネットワークのセキュリティを向上させます。また、1つのグローバルIPアドレスを複数の内部デバイスで共有できるため、IPアドレスの有効活用が可能です。
ロギングおよび監査機能
ロギングおよび監査機能は、ファイアウォールがネットワークトラフィックをリアルタイムで監視・分析し、異常や不正アクセスの兆候を検知するための機能です。不審な通信や攻撃の痕跡が検出された場合、管理者にアラートを送信し、迅速な対応を促します。
さらに、この機能で収集されたログデータを基に、ネットワークのトラフィック傾向や潜在的な脅威を分析することが可能です。これにより、ファイアウォールの設定やポリシーを見直し、セキュリティ対策の継続的な強化を図ることができます。
ファイアウォールとネットワークセキュリティ
(IDS/IPS / WAF / NDR / UTM)の違い
外部脅威を防ぐ「ネットワークセキュリティ」には、ファイアウォール以外にも下記のような選択肢があります。
- ・ IDS/IPS(Intrusion Detection System/Intrusion Prevention System)
- ・ WAF(Web Application Firewall)
- ・ NDR(Network Detection and Response)
- ・ UTM(Unified Threat Management)
以下では、それぞれのセキュリティソリューションとファイアウォールの違いについて解説します。
IDS/IPSとの違い
IDS/IPSは、ネットワーク上のトラフィックを監視し、不正アクセスや異常な振る舞いを検知・防御するためのセキュリティソリューションです。
●IDS(Intrusion Detection System)
脅威を検知し、アラートを発出する機能を持つ。
ただし、トラフィックそのものを遮断することはできない。
●IPS(Intrusion Prevention System)
IDSの機能に加え、脅威に対して自動応答し、通信を遮断する能力を備えている。
IDS/IPSが「通信の内容」を解析して異常や攻撃を検出するのに対し、ファイアウォールは「通信の送信元および宛先」を基に通信の許可・拒否を判断するという機能に違いがあります。
▼ファイアウォールとIDS/IPSの対象範囲の違い
WAFとの違い
WAFは、Webアプリケーションファイアウォールの略称であり、Webアプリケーションに対する攻撃防御に特化しています。
WAFを導入することで、Webサイト/ アプリケーションを狙う「SQLインジェクション」や「XSS(クロスサイトスクリプティング)」といった攻撃を早期に検知し、サイトの改ざんや不正アクセスといった被害を防止することが可能です。
ファイアウォールがネットワークを通じた外部攻撃や脅威の侵入を防ぐのに対し、WAFはWebアプリケーションに特化して、さらに細かい攻撃への対策を行う点に違いがあります。
NDRとの違い
NDRとは、ネットワーク全体のトラフィックや通信パターンを監視し、異常な振る舞いや潜在的な脅威を検知・分析し、対応するためのセキュリティソリューションです。
ネットワーク内部で発生する高度な脅威に対応することを目的として設計されており、未知の攻撃やサイバー侵害の早期発見に重点を置いています。
ファイアウォールがシグネチャやルールに基づく、ネットワークの境界(入口・出口)防御に特化(外部からの侵入を防ぐ第一防衛線)として機能するのに対し、NDRはファイアウォールをすり抜けた脅威、内部発生した不審な活動を検知する、第二防衛線としての機能を持ちます。
・ファイアウォールのセキュリティ焦点:ネットワーク境界での侵入防止
・NDRのセキュリティ焦点:ネットワーク内部の脅威や異常における検出・対応
UTMとの違い
UTMは、複数のセキュリティ機能を統合したソリューションです。ファイアウォールに加えてIDS/IPS、アンチウイルス、Webフィルタリングなどの機能を備えており、包括的なセキュリティを提供します。
ファイアウォールは特定の機能に特化しているのに対し、UTMはファイアウォール機能を含む複数のセキュリティ機能を、一つのプラットフォームで提供できるという点が異なります。
ただし複数の機能を統合することで、トラフィック量が多い環境ではパフォーマンスに影響が出やすいといったデメリットもあります。
| 製品 | 主な目的 | 監視対象 | 主な機能 |
|---|---|---|---|
| ファイア ウォール |
ネットワークの入口で通信を制御し、不正なアクセスを防止 | 送信元と宛先のIPアドレス、ポート、プロトコル | パケットフィルタリング、ステートフルインスペクション、NAT |
| IDS/IPS | ネットワークトラフィックの監視 不正アクセスの検知・防御 |
ネットワーク全体のトラフィック | トラフィック監視、アラート(IDS)および遮断(IPS) |
| WAF | Webアプリケーションへの攻撃防御(例: SQLインジェクション、XSS) | Webアプリケーション通信(HTTP/HTTPS) | Webアプリケーション層での通信内容の解析、防御 |
| NDR | ネットワーク内の異常な振る舞いを検知・分析(脅威ハンティング) | ネットワーク全体の振る舞いとパターン | ネットワーク全体の脅威をリアルタイムに検出・可視化・対応 |
| UTM | 複数のセキュリティ機能を統合し包括的な保護を提供 | ネットワーク全体(多層的) | ファイアウォール、IDS/IPS、アンチウイルス、Webフィルタリングの統合 |
ファイアウォールの選定ポイント
ファイアウォールを選定する際のポイントは、以下の通りです。
- 1. 防御方法
- 2. スケーラビリティ
- 3. 機能
- 4. コスト
- 5. サポート体制
1.防御方法
「ファイアウォールの仕組みと種類」で説明したように、ファイアウォールには、パケットフィルタリング、アプリケーションゲートウェイ、サーキットゲートウェイなど、さまざまな防御方法があります。それぞれに異なるメリット・デメリットがあるため、自社のネットワーク構成やセキュリティ要件に応じて適切な防御方法を選択することが重要です。
2.スケーラビリティ
ファイアウォールが将来的な拡張性を備えているか(スケーラビリティが高いか)も、選定時の重要な要素です。企業の成長やネットワーク規模の拡大に対応できる製品を選ぶことで、長期的な運用が可能となります。
3.機能
組織の求めるセキュリティ機能、要件を製品が満たしているかを確認しましょう。
例えば、ステートフルインスペクション、VPNサポート、侵入防御(IPS)などの機能が自社環境にとって適切かなどを十分に検討します。
4.コスト
コスト評価では初期費用だけでなく、運用コストやメンテナンス費用を含めた総コストを考慮する必要があります。自社の予算に見合った製品を選択することで、経済的負担を軽減しつつ、適切なセキュリティ対策を実現できます。
5.サポート体制
運用中のトラブルに備え、ベンダーや提供元のサポート体制が充実しているかを確認することも重要です。信頼できるサポートがあれば、問題発生時に迅速な対応が可能となり、業務への影響を最小限に抑えられます。
適切なファイアウォールの選定は、ネットワーク全体のセキュリティを確保するだけでなく、長期的な運用の効率化にも直結します。これらのポイントを考慮し、自社のニーズに最適な製品を導入することが求められます。
ファイアウォールをすり抜けて侵入した、高度な脅威検出も可能
NDR「Darktrace(ダークトレース)」
ファイアウォールは、外部・内部ネットワークの境界に配置され、外部攻撃や不正アクセスを防御するセキュリティソリューションです。
しかし、近年のサイバー攻撃の高度化に伴い、境界型防御だけではすべての脅威を検知することは難しいという背景から、 ネットワーク全体を監視し、ネットワーク侵入後の脅威検出も可能とするNDR製品「Darktrace」が注目されています。
「Darktrace」の特長
Darktraceは、企業や組織のネットワークおよびクラウドのトラフィックを収集し、ネットワーク全体の通信状況を可視化するとともに、異常な挙動を検知する高度なNDRソリューションです。
1. AIと機械学習による脅威検知
AI技術を活用した自己学習型の通信分析により、通常とは異なる通信パターンを検知し、未知の脅威に対応します。さらに、脅威レベルを自動で判断し、危険な通信を自動遮断する機能により、管理負荷を大幅に軽減します。
2. 広範な監視対象
ネットワークに加えて、クラウド、テレワーク環境、Eメール、SaaSアプリケーションなど、広範なデジタル環境を包括的に監視・一元管理します。これにより、多様な環境で発生する脅威を迅速に検知・対策可能です。
3. 情報セキュリティ10大脅威への対応
「Darktrace」は、IPA(情報処理推進機構)が発表する2024年度 情報セキュリティ10大脅威に対する対策を網羅しています。以下は主な対処内容の一部です。
〇ランサムウェア(1位):ランサムウェアの予兆から実行段階まで検知し、被害を未然に防止(実績:5,000件以上の文書暗号化を阻止)。
〇サプライチェーン攻撃(2位):取引先や関連業者からのなりすまし行動を検知し対処可能。
〇ゼロデイ攻撃(5位):シグネチャでは防御できない未知の脅威も、異常な挙動として検知・対応。
〇ビジネスメール詐欺(8位):不正なメールを検知・ブロックする機能(オプション)。
〇ニューノーマル環境への攻撃(9位):テレワークやリモート環境でも異常を検知・対処可能(オプション)。
またDarktraceでは、自動化された脅威判定と対処により運用負荷を軽減。自社のIT環境を包括的に監視・保護したいと考える企業に最適です。
詳細については、以下をご覧ください。
まとめ
本記事では「ファイアウォール」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- 1.ファイアウォールの役割
内部ネットワークと外部ネットワーク間の通信を監視し、不正通信を遮断するセキュリティシステム - 2.ファイアウォールの種類
「パケットフィルタリング」「アプリケーションゲートウェイ」「サーキットゲートウェイ」の3種類 - 3.主な機能
代表的な機能は「フィルタリング機能」「アドレス変換機能(NAT)」「監視機能」
▼ネットワークセキュリティの比較
| 製品 | 主な目的 | 監視対象 | 主な機能 |
|---|---|---|---|
| ファイア ウォール |
ネットワークの入口で通信を制御し、不正なアクセスを防止 | 送信元と宛先のIPアドレス、ポート、プロトコル | パケットフィルタリング、ステートフルインスペクション、NAT |
| IDS/IPS | ネットワークトラフィックの監視 不正アクセスの検知・防御 |
ネットワーク全体のトラフィック | トラフィック監視、アラート(IDS)および遮断(IPS) |
| WAF | Webアプリケーションへの攻撃防御(例: SQLインジェクション、XSS) | Webアプリケーション通信(HTTP/HTTPS) | Webアプリケーション層での通信内容の解析、防御 |
| NDR | ネットワーク内の異常な振る舞いを検知・分析(脅威ハンティング) | ネットワーク全体の振る舞いとパターン | ネットワーク全体の脅威をリアルタイムに検出・可視化・対応 |
| UTM | 複数のセキュリティ機能を統合し包括的な保護を提供 | ネットワーク全体(多層的) | ファイアウォール、IDS/IPS、アンチウイルス、Webフィルタリングの統合 |
ネットワークの安全を確保し、情報漏洩やサイバー攻撃のリスクを最小限に抑えるためには、信頼性の高いファイアウォール、及び最適なセキュリティソリューションの導入と多層防御の導入が不可欠です。
また、本稿でも紹介した「IDS/IPS」や「NDR」といったセキュリティ監視ツールの機能や特徴の違いについて、ダウンロード資料にまとめました。
「自社のセキュリティ対策として最適なソリューションを知りたい」という方は、ぜひあわせてご活用ください。
IDS/IPS・EDR・NDR
セキュリティ監視の違いとは?
脅威検出ツール「IDS/IPS」「EDR」「NDR」「SIEM」などのうち
どれが自社に最適かは悩ましい問題です。
本資料ではそれぞれの監視イメージや活用方法をご紹介します。
おすすめ記事
