テクノロジ系

ファイアウォールとIDS/IPS — ネットワークの門番

導入

自宅の玄関に鍵をかけるように、企業のネットワークにも「門番」が必要です。ファイアウォール・IDS・IPSはそれぞれ異なる役割を担い、不正アクセスやサイバー攻撃から組織を守っています。

なぜ重要か

ネットワークセキュリティの防御装置は、ITパスポートのテクノロジ系セキュリティ分野で繰り返し出題されるテーマです。企業がインターネットと接続する以上、外部からの不正アクセスを防ぐ仕組みは必須であり、ファイアウォール・IDS・IPS・WAFはその代表的な手段として実務でも広く導入されています。試験では「IDSとIPSの違い」「WAFが守る対象」「ファイアウォールの動作原理」が特に頻繁に問われます。セキュリティ製品の役割を正確に理解することは、情報セキュリティマネジメントを学ぶうえでの土台になります。

くわしく知ろう

ファイアウォールとは、ネットワークを流れるパケット(データの塊)を監視し、あらかじめ設定したルールに基づいて通信の許可・遮断を行う仕組みです。最も基本的なパケットフィルタリングでは、送信元・宛先のIPアドレスやポート番号を確認して通信の可否を判断します。

IDS(Intrusion Detection System:不正侵入検知システム)は、ネットワーク上の通信を監視し、不正なアクセスパターンを検知した際に管理者へ通知する仕組みです。検知は行いますが、通信の遮断は行いません。「監視カメラ」に例えられることがあります。

IPS(Intrusion Prevention System:不正侵入防止システム)はIDSを発展させたもので、不正を検知するだけでなく、即座に通信を自動的に遮断する機能を持ちます。IDSが「知らせる」だけなのに対し、IPSは「知らせて止める」点が最大の違いです。

WAF(Web Application Firewall)は、通常のファイアウォールがカバーしきれないウェブアプリケーション層への攻撃を防ぐことに特化した仕組みです。SQLインジェクションやクロスサイトスクリプティングなどのウェブ固有の攻撃に対応します。DMZ(非武装地帯)とは、外部ネットワークと内部ネットワークの間に設けられる中間領域で、Webサーバーや公開サービスをここに配置することで内部ネットワークへの直接攻撃を防ぐ設計です。

具体例で理解する

たとえば企業のネットワークでは、入口にファイアウォールで不要なポートへの通信を遮断し、その内側にIPSを置いて侵入の兆候を検知・遮断します。ウェブサービスを運営する場合はさらにWAFを配置してアプリケーション層の攻撃にも備える構成が一般的です。

試験での出題パターン

【パターン1:IDS・IPS・ファイアウォール・WAFの役割を区別する問題】

「不正なアクセスを検知した際に管理者へ通知するが通信を遮断しない仕組みはどれか」「SQLインジェクション攻撃を防ぐことに特化したセキュリティ製品はどれか」というように、各製品の特徴をキーワードで問う形式が最頻出です。「検知のみ=IDS」「検知+遮断=IPS」「ウェブアプリ層への攻撃=WAF」「IPアドレス・ポート番号で制御=ファイアウォール」という対応を確実に覚えてください。

【パターン2:ネットワーク構成の中での位置づけを問う問題】

「DMZにWebサーバーを配置する目的はどれか」「ファイアウォールの内側と外側の関係はどれか」というように、ネットワーク全体の設計における各装置の位置づけを問う問題も出題されます。外部→ファイアウォール→DMZ→内部ネットワークという基本的な配置のイメージを持っておくと解きやすくなります。

よくある間違い・紛らわしいポイント

【IDSとIPSの取り違え】

最も混同しやすいのがIDSとIPSです。「IDS=検知して通知するだけ(遮断しない)」「IPS=検知して自動遮断する」という違いが試験でそのまま出題されます。IPSはIDSの上位版という位置づけですが、「IPSがあればIDSは不要か」というと必ずしもそうではなく、検知ログの細かい分析にIDSを使うケースもあります。

【ファイアウォールとWAFの守備範囲の混同】

ファイアウォールはIPアドレスやポート番号という「通信の入口」を制御するのに対し、WAFはHTTPリクエストの中身(アプリケーション層)を検査します。ファイアウォールだけではSQLインジェクションを防げない理由は、ポート80(HTTP)やポート443(HTTPS)の通信は許可されているからです。WAFはその通過した通信の中身を検査する役割を担います。

【DMZの目的の誤解】

DMZは「安全な領域」ではなく、「内部ネットワークを守るための緩衝地帯」です。Webサーバーをそこに置くのは、万が一侵害されても内部ネットワークへの被害を最小化するためです。

まとめ・試験ポイント

  • ファイアウォール=IPアドレス・ポート番号でパケットを許可/遮断
  • IDS=不正を検知して通知するのみ(遮断しない)
  • IPS=不正を検知して自動遮断(IDSの上位版)
  • WAF=ウェブアプリ層(SQLインジェクション等)に特化した防御
  • DMZ=外部と内部の中間に設ける緩衝地帯、Webサーバーを配置
  • 「IDSは検知のみ、IPSは検知+遮断」の違いが試験最頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する