用語説明

ファイアウォール(防火壁)

fire wall

外部からの不当なアクセスに対してサーバ上の情報資源を保護するための技術の総称。外部ネットワークと内部ネットワークとの接続点に設置され,“防火壁”の役目をする。IPルータでパケットを選別するパケット・フィルタリング技術やサーバ上のソフトウェアにより内部のアドレスを保護する代理サーバ技術などがある。LANLAN相互をつなぐプライベートネットワーク(内部ネット)と,社外他組織のネットワークや不特定多数の人々が利用するインターネット(外部ネット)とを接続する際には,内部ネット上の情報やシステムを外部ネットからの侵入や破壊,データの漏洩,盗用,改ざんなどから保護することを考える必要がある。ファイアウォール(防火壁)は,内外の交信ポイントを絞り込み,セキュリティ方針に基づいて通過するトラヒックを制限するための機能を持つ(図1,2)。

種類としては,以下の2つに大別できる(図3)。

(1) パケットフィルタ

個々のパケットの送信元と送信先のIPアドレスとサービス内容等によって,パケットの通過制御を行う。設定されたルールと通過するパケットのヘッダ情報を基に通過/破棄の判断処理を行う。一般にこの制御はルータを使って行われるが,この目的で使われるルータを「スクリーニングルータ」あるいは「フィルタリングルータ」と呼ぶ。

(2) アプリケーションレベルゲートウェイ

ホストコンピュータ(最近はパソコンもある)上で動作するソフトウェアプログラム。パケットフィルタと違い,パケットを直接通過制御するのではなく,「プロキシ」という中継用のアプリケーションが送信元のマシンに代わって,送信先との接続を行う。許可されている接続要求のみを転送する。一般的なアプリケーションとしてはWWWftp,telnet等がある。

◆ 《セキュア・ファイアウォール》

ファイアウォールの基本機能(ネットワークにおける犯罪者の攻撃から内部ネットワークを守る「壁」の役割)を備えたまま,さらにセキュリティ技術を用いて,外部ネットワークからでも限られたユーザ/端末だけでは自由で安全な接続を実現する利便性を向上させたファイアウォール(図)。

セキュア・ファイアウォールの特徴は以下のとおりである。

 ① ファイアウォールの構造に依存しない。したがって,すでにセキュリティポリシーを策定し,ファイアウォールを導入している場合に,それを効果的に補完して仮想私的通信網(Virtual Private Network)を形成し,利用者間のセキュリティを確保する。

 ② NTTのセキュリティ技術であるFEAL,ESIGNと楕円DHを用いて認証,通信パケットの暗号化を行い,認証機関と連動した確かな「Perseus」の認証技術によって安全な通信を行うことができる環境を提供する。

 ③ 暗号化はインターネットのIP層で行う。これによってユーザは何も意識せず,かつ使用しているアプリケーションを変更することなく安全な通信を行うことが可能になる。

◆ 《セキュリティポリシー

安全に情報を交換するための方針,あるいはやり方・手段等をシステムの運用方針として定めること。

図1_ファイアウォール図2_ファイアウォール構成概要図3_ファイアウォール構築例図_セキュア・ファイアウォールの構成