🎓 レベル:標準 | 重要度:A(必須) 📎 前提:リスク評価と多層防御
要点(BLUF)
- ファイアウォールは通信を方針(ルール)に基づいて通す/止める関所。既定は拒否、必要な通信だけ明示的に許可する。
- セグメンテーションはネットワークを区画に分け、ある区画が侵害されても**横移動(lateral movement)**で全体に広がらないようにする。
- 両者の狙いは共通で、攻撃面を絞り、被害を区画内に閉じ込めること(多層防御の具体化)。
概念:関所と仕切り
ネットワーク防御の最初の一手は2つです。
- ファイアウォール=関所:どの通信を通すかを方針で決める。
- セグメンテーション=仕切り:内部を区画に分け、被害が一気に広がらないようにする。
どちらも「全部つながっている」状態を、「必要な経路だけ・区画ごとに」へ変える作業です。フラットに全部つながった社内ネットワークは、一か所の侵害が全体に波及します。
仕組み:ファイアウォールの種類
| 種類 | 判定の粒度 | 特徴 |
|---|---|---|
| パケットフィルタ | IP・ポート | 速いが文脈を見ない |
| ステートフル | 接続の状態 | 通信の流れ(戻りパケット)を理解 |
| アプリケーション層(次世代/WAF 含む) | アプリのプロトコル内容 | HTTP の中身まで見て選別 |
ファイアウォールのルールは原則 既定拒否(default deny)+最小開放で書きます。「とりあえず全許可して困ったら塞ぐ」ではなく、「全部止めて必要な通信だけ開ける」。これはフェイルセーフ・最小権限(セキュリティ設計原則)のネットワーク版です。なお ACL・NAT などの機能そのものはコンピュータネットワーク分野で、ここではセキュリティ方針としての使い方に絞ります。
Web アプリ特有の入力を見る WAF(Web Application Firewall)はアプリ層の防御で、入力検証(入力検証とインジェクション対策)を補完します。
図解:セグメンテーションで横移動を止める
flowchart LR
NET["インターネット(低信頼)"] -->|"FW:最小開放"| DMZ["DMZ(公開サーバ)"]
DMZ -->|"FW:必要経路のみ"| APP["業務セグメント"]
APP -->|"FW:厳格に制限"| DB["機密データセグメント"]
X["侵害された端末"] -. "区画を越えられず横移動が止まる" .-> DB
セグメントの境界ごとにファイアウォールを置くと、ある区画で侵害が起きても、次の区画へは許可された通信しか通れないため横移動が止まります。最小単位まで分ける考え方がマイクロセグメンテーションで、ゼロトラスト(アクセス制御モデルとゼロトラスト)と相性がよい。
防御側の使い方/設定
- 既定拒否+最小開放:必要な送信元・宛先・ポートだけ許可。許可ルールには理由とレビュー期限を。
- 区画を価値で分ける:公開(DMZ)・業務・機密データを別セグメントに。重要度は CIA(情報セキュリティとは(CIAとAAA))で判断。
- 東西トラフィックも制御:外(南北)だけでなく内部間(東西)の通信も絞る。フラット内部は危険。
- ルールの棚卸し:使われない許可・広すぎる範囲を定期的に削る。攻撃面を増やさない。
- 出口も見る:内部から外への不審通信(持ち出し・C2 通信の兆候)も監視・制限の対象。
なぜ安全か:攻撃面の縮小+被害の封じ込め
ファイアウォールの既定拒否は、そもそも届く通信を減らすことで攻撃面(脅威モデリング(STRIDEと攻撃面))を縮小します。セグメンテーションは、侵害が起きた後でも被害を区画内に閉じ込め、横移動の連鎖を断ちます。前者は「入れない」、後者は「入られても広がらない」。多層防御の予防層として両輪で働きます。
仕組みの直観
ファイアウォールはビルの入館ゲート、セグメンテーションはフロアごとの施錠ドアです。ゲートで来館者を選別し(既定は入館不可・許可者のみ)、各フロアは別の鍵で仕切る。1階の不審者が紛れ込んでも、各フロアの鍵が無ければ上階の機密エリアには行けません。フロアを細かく仕切るほど(マイクロセグメンテーション)、侵入の影響範囲は小さくなります。
⚠️ よくある誤解・設定ミス
- 既定許可で運用:「全許可して困ったら塞ぐ」は穴だらけ。既定拒否にする。
- フラットな内部ネットワーク:一か所の侵害で全社に横移動。区画化する。
- 広すぎる許可ルール(any-any):実質ファイアウォール無し。送信元・宛先・ポートを絞る。
- ルールの棚卸しをしない:一時的な許可が恒久化し攻撃面が膨らむ。
- 「ファイアウォールがあるからアプリは安全」と思う:通信の選別とアプリの脆弱性は別問題(アプリケーションセキュリティ 目次)。
対応 lab
ネットワーク構成が前提のため、本トピックに実行 lab は置きません(実環境への通信操作は防御・教育スコープ外)。設計演習として security-study/exercises/ に区画化の練習を記録します。
関連
- 検知で補う → IDS/IPSと検知
- 全体設計に束ねる → ネットワーク防御の設計
- ゼロトラストとの接続 → アクセス制御モデルとゼロトラスト