U「ファイアウォールを入れているから安心」という話を聞くたびに、「それだけでは足りないのでは…」と感じるようになりました。ファイアウォール・VPN・DMZ・IDS/IPSはそれぞれ守る対象が違います。ネットワークセキュリティの仕組みを層ごとに整理してみました。
この記事でわかること
- ファイアウォールの仕組みと種類(パケットフィルタ・SPI・ALG)
- DMZ(非武装地帯)とセキュリティゾーンの設計
- VPN(仮想専用線)の種類とSSL-VPN・IPsec VPNの違い
- IDS・IPS(不正侵入検知・防止システム)の役割
- WAFとDDoS対策の基本
目次
ファイアウォールの種類と仕組み
| 種類 | 動作レイヤー | 特徴 |
|---|---|---|
| パケットフィルタ型 | ネットワーク層(L3) | 送信元/宛先IPアドレス・ポート番号でフィルタ。シンプルで高速。通信の中身は見ない |
| ステートフルインスペクション(SPI) | トランスポート層(L4) | 通信の「状態(コネクション)」を追跡して判断。応答パケットを自動的に許可できる |
| アプリケーションゲートウェイ(ALG)型 | アプリケーション層(L7) | HTTPやSMTP等のプロトコルの中身を解析してフィルタ。最も精密だが処理が重い |
| WAF(Webアプリケーションファイアウォール) | アプリケーション層(L7) | SQLインジェクション・XSS等のWebアプリへの攻撃を特化して防御 |
DMZとセキュリティゾーン設計
DMZ(DeMilitarized Zone:非武装地帯)
外部(インターネット)と内部(社内LAN)の間に設ける中間セキュリティゾーン。Webサーバー・メールサーバー・DNSサーバーなど外部からアクセスが必要なサーバーを置く。なぜDMZを作るか:WebサーバーをそのままLAN内に置くと、外部から攻撃を受けた際に社内システムに侵入されるリスクがある。DMZに隔離することで、攻撃の被害範囲を限定できる。
構成:インターネット ← FW1 → DMZ(Webサーバー等)← FW2 → 社内LAN(基幹システム等)
VPNとIDS/IPS
| 技術 | 目的・概要 | 主な使用場面 |
|---|---|---|
| IPsec VPN | IP層で暗号化するVPN。ネットワーク全体のトンネリング。ルーター間での拠点間接続に向く | 本社↔支社の拠点間VPN |
| SSL-VPN(TLS VPN) | TLS/SSL暗号化を使ったVPN。Webブラウザだけで接続可能。導入が簡単 | リモートワーク(従業員が自宅からアクセス) |
| IDS(不正侵入検知システム) | 通信を監視して不正アクセスを検知・通報する。遮断はしない(検知のみ) | 攻撃の記録・分析・アラート |
| IPS(不正侵入防止システム) | IDSに通信の遮断機能を追加。不正な通信を自動ブロック | リアルタイムの攻撃防御 |
主な攻撃手法と対策
試験によく出る攻撃と対策のセット
- DDoS攻撃:大量のリクエストでサービスを停止させる攻撃 → 対策:CDN・DDoS対策サービス・帯域制限
- SQLインジェクション:フォームにSQL文を入力してDBを不正操作 → 対策:WAF・プレースホルダ(バインド変数)
- クロスサイトスクリプティング(XSS):悪意あるスクリプトをWebページに埋め込む → 対策:WAF・入力値のエスケープ処理
- フィッシング:偽サイト・偽メールで認証情報を詐取 → 対策:多要素認証・SPFレコード・DMARC設定
- ゼロデイ攻撃:パッチ公開前の脆弱性を突く攻撃 → 対策:WAF・ネットワーク監視・迅速なパッチ適用
Uのメモ
学習メモ
- FWの種類:パケットフィルタ(L3)・SPI(L4)・ALG(L7)・WAF(L7/Web特化)
- DMZ:Webサーバー等を外部と内部の「中間ゾーン」に置いて内部LANを保護
- VPN:IPsec(ルーター間・拠点接続)/ SSL-VPN(ブラウザ・リモートワーク向け)
- IDS(検知のみ)+遮断機能=IPS
- SQLインジェクション→WAF・バインド変数 / DDoS→CDN・帯域制限
