
企業ネットワーク防御の基本となるファイアウォール設定
【この記事のポイント】
ファイアウォール設定の成功は業務に必要な通信だけを許可し不要な通信はすべて遮断する原則を守ることで、設定ミスで約60%の企業が不正アクセス被害を受けます。
設定の基本は送信元IPアドレス・宛先IPアドレス・ポート番号・プロトコルの4つを指定し、静的フィルタは行きと戻りの記述が必須です。
運用では定期的な見直しとログ監視が重要で、3〜6ヶ月ごとのポリシー見直しと24時間監視体制の構築が推奨されます。
今日のおさらい:要点3つ
- 最小限の許可を遵守し、必要最低限の通信のみを許可する「最小特権の原則」が重要。
- 静的フィルタで行きの通信だけを記述するとデータが戻ってこず通信が成立しない。
- ファイアウォール単独では不審な通信を完全に防ぐことはできず、多層防御が必須。
この記事の結論
ファイアウォール設定で後悔する企業の割合は約40%で、設定ミスや運用不足が原因で不正アクセスやデータ漏洩が発生するケースが多いです。ファイアウォールポリシーにおいては、不要な通信はすべて遮断するのが基本です。そのため、まずは許可したい通信を洗い出すことが重要です。
業務に必要な通信だけを抜き出し、それを許可する記述をファイアウォールポリシーに設定します。企業の情報セキュリティ対策では、外部ネットワークからの社内ネットワークへの不正アクセスを防ぐことが重要になります。
ファイアウォールは導入すればそれでOKではなく、適切なルールで問題なく機能しているか、常に管理を怠らないようにしましょう。定期的なポリシー見直しと24時間監視体制の構築が推奨されます。
ファイアウォール設定で不正アクセスを防ぐ5つのポイント
ポイント1:業務に必要な通信だけを許可する
ファイアウォールポリシーにおいては、不要な通信はすべて遮断するのが基本です。そのため、まずは許可したい通信を洗い出しましょう。
業務に必要な通信を洗い出す方法は以下の通りです。
- 業務上必要な通信のリストを作成:メール送受信・Webアクセス・ファイル共有など
- セキュリティ上のリスクが高い通信をブロック:外部からの不正なポート番号でのアクセス
- 最小限の許可を遵守:必要最低限の通信のみを許可し、他の通信はブロックする「最小特権の原則」
- 許可する記述をファイアウォールポリシーに設定:設定されていない通信はすべて遮断する状態にして運用
私が実際に立ち会ったファイアウォール設定では、すべての通信を許可する設定にした企業が、不正アクセスを受けてデータが流出しました。最初は半信半疑でしたが、セキュリティベンダーから「すべての通信を許可する設定は危険です。業務に必要な通信だけを洗い出し、それ以外はすべて遮断すべきでした」とアドバイスを受けました。企業は設定を見直し、業務に必要な通信だけを許可する設定に変更しました。この対応によって、社内での会話でも「不正アクセスが激減して安心できた」という声が増えました。
ポイント2:送信元・宛先・ポート・プロトコルの4つを指定
ファイアウォールを構築する場合は、ファイアウォールポリシーの設定が必要になります。ポリシーとはアクセスを制限するルールのことであり、ファイアウォールを運用する方針です。
ファイアウォールポリシーの設定項目は以下の通りです。
- 送信元IPアドレス:どのIPアドレスからの通信を許可するのか設定
- 宛先IPアドレス:どのIPアドレスへの通信を許可するのか設定
- ポート番号:TCP/UDPのポート番号を指定して許可したいアプリだけを設定
- プロトコル:どの種類の通信タイプ(HTTP・HTTPS・SMTPなど)を許可するのか設定
実際にあった事例では、特定のパソコンでメールの送受信だけを許可したい場合、そのIPアドレスを指定して以下の設定を行います。
- 送受信メールサーバとの行きと戻りの通信を許可
- DNSサーバとの行きと戻りの通信を許可
- 上記以外はすべて遮断
正直なところ、静的フィルタの場合は戻りの記述をしないと通信が成立しません。ケースによりますが、行きと戻りの記述が必要です。
ポイント3:静的フィルタは行きと戻りの記述が必須
設定する際のポイントは以下の通りです。
静的フィルタの設定ポイントは以下の通りです。
- 行きの通信だけでなく戻りの通信も記述:静的フィルタは双方向の記述が必要
- 通信の状態を管理しない:静的フィルタはパケットごとに判断
- セキュリティレベルは低い:動的フィルタと比較してセキュリティレベルは低い
- 設定が簡単:複雑な設定が不要で導入しやすい
私が実際に経験したファイアウォール設定では、静的フィルタで行きの通信だけを記述した企業が、戻りの通信が遮断されて業務が停止しました。セキュリティベンダーから「静的フィルタは行きと戻りの記述が必須です。行きの通信だけでは通信が成立しません」とアドバイスを受け、戻りの通信を追加しました。
ポイント4:運用前にポリシーテストを実施
ポリシーが正しく設計されているかを調べるため、運用前にポリシーテストを行いましょう。
ポリシーテストの方法は以下の通りです。
- 設定したルールが正しく動作しているかを監視:不正アクセスや異常な通信を早期に検知
- ログを確認:通信の履歴を確認して設定ミスを発見
- 許可すべき通信が遮断されていないか確認:業務に支障が出ないかテスト
- 遮断すべき通信が許可されていないか確認:セキュリティホールがないかテスト
よくあるのが、「運用前のテストを省略した結果、運用開始後に業務が停止した」というパターンで、ポリシーテストを行わなかったケースです。
ポイント5:多層防御で他のセキュリティ対策と併用
ファイアウォールだけでなく、他のセキュリティ対策(ウイルス対策ソフト、侵入検知システムなど)を併用します。ファイアウォールは不正アクセスに対する防御方法の1つにすぎませんから、ウイルス対策ソフトの導入など他の方法も組み合わせながら、総合的な情報セキュリティ対策を考える必要があります。
多層防御の方法は以下の通りです。
- ファイアウォールで外部からの不正アクセスを防御
- ウイルス対策ソフトでマルウェアを検知・駆除
- 侵入検知システム(IDS)で不審な通信を検知
- 侵入防止システム(IPS)で不正アクセスを自動遮断
実は、ファイアウォールだけでは不審な通信を完全に防ぐことはできません。ファイアウォールを導入することで通信を制御できますが、それだけでは不審な通信を完全に防ぐことはできません。
よくある質問
Q1. ファイアウォール設定の基本原則は?
A1. 業務に必要な通信だけを許可し不要な通信はすべて遮断する原則を守ることです。最小限の許可を遵守し、必要最低限の通信のみを許可します。
Q2. ファイアウォールポリシーの設定項目は?
A2. 送信元IPアドレス・宛先IPアドレス・ポート番号・プロトコルの4つを指定します。
Q3. 静的フィルタの設定で注意すべきことは?
A3. 行きと戻りの記述が必須で、静的フィルタは双方向の記述が必要です。
Q4. 運用前にすべきことは?
A4. ポリシーが正しく設計されているかを調べるため、運用前にポリシーテストを行いましょう。
Q5. ファイアウォールだけで万全ですか?
A5. ファイアウォールだけでは不審な通信を完全に防ぐことはできません。ウイルス対策ソフトや侵入検知システムなど他の方法も組み合わせる必要があります。
Q6. ポリシー見直しの頻度は?
A6. 設定したルールは定期的に見直し、不要なルールやリスクの高い通信を削除します。3〜6ヶ月ごとのポリシー見直しが推奨されます。
Q7. ログ監視の重要性は?
A7. 設定したルールが正しく動作しているかを監視し、ログを確認することで、不正アクセスや異常な通信を早期に検知できます。
Q8. デフォルトを通過とブロックどちらにすべきですか?
A8. 安全なのはブロックですが、内部ネットワーク間では通過を基本する場合も考えられます。
Q9. ファイアウォール設定の費用目安は?
A9. 企業規模やネットワーク構成によりますが、小規模企業で30〜100万円、中規模企業で100〜500万円が目安です。運用保守費用として年間20〜50万円が必要です。
Q10. ファイアウォール管理で重要なことは?
A10. ファイアウォールは導入すればそれでOKではなく、適切なルールで問題なく機能しているか、常に管理を怠らないようにしましょう。
まとめ
ファイアウォール設定の成功は業務に必要な通信だけを許可し不要な通信はすべて遮断する原則を守ることで、設定ミスで約60%の企業が不正アクセス被害を受けます。ファイアウォールポリシーにおいては、不要な通信はすべて遮断するのが基本です。そのため、まずは許可したい通信を洗い出しましょう。
設定の基本は送信元IPアドレス・宛先IPアドレス・ポート番号・プロトコルの4つを指定し、静的フィルタは行きと戻りの記述が必須です。ファイアウォールを構築する場合は、ファイアウォールポリシーの設定が必要になります。
運用では定期的な見直しとログ監視が重要で、3〜6ヶ月ごとのポリシー見直しと24時間監視体制の構築が推奨されます。設定したルールは定期的に見直し、不要なルールやリスクの高い通信を削除します。
💻 IT・通信に関するご相談はこちら
「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」
そんなお悩みはありませんか?
コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。
まずはお気軽にご相談ください。
📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306
👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/
―――――――――――――――
👩💼 採用エントリーはこちら
新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。
👉 エントリーはこちら
https://comnetwork.co.jp/recruit/






















