ファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方を解説

ファイアウォールとは、ネットワークの出入口で通信を1つずつ検査し、あらかじめ決めたルールに合わない通信を遮断する仕組みです。社内ネットワークとインターネットの間に置く「関所」にあたります。この記事で扱うのは、通信を許可・遮断する基本の仕組み、パケットフィルタ型・アプリケーションゲートウェイ型・次世代ファイアウォールといった種類、WAF・UTM・IPS/IDSとの違い、オンプレミス機器とクラウド型の費用感、自社に合った製品を選ぶ判断基準です。ファイアウォール単体では防げない攻撃と、多層防御の組み方も後半で整理します。

目次

まとめ|ファイアウォールとは通信を許可・遮断する境界防御の関所

ファイアウォールは、通信の送信元・宛先・ポート番号などを見て「通す/通さない」を判定する境界防御の基本装置です。守る対象がネットワーク全体か、Webアプリか、社内PC1台かで選ぶ製品は変わります。まず押さえるべきは、単機能のファイアウォール・複数機能を束ねたUTM・クラウド上の通信を守るクラウド型(FWaaS)の3系統です。

一方で、ファイアウォールを1台置けば安全、という発想は現在の脅威には通用しません。正規のポートを使う攻撃やメール経由の侵入、Webアプリの脆弱性を突く攻撃は、境界のファイアウォールを素通りします。後半で扱う多層防御(ファイアウォール+WAF+IPS/IDS+端末対策)の設計こそ、被害の分かれ目です。導入時に自社の構成へどう組み込むかで迷う場合は、Webシステム開発で相談を受け付けています。

通信を許可・遮断するファイアウォールの基本の仕組みとパケットの流れ

ファイアウォールの中身は、通信パケットに対する「ふるい」です。ルールに一致するかを上から順に照合し、許可ルールに当たれば通し、当たらなければ捨てる。この単純な判定を毎秒膨大な数のパケットに対して行います。

送信元・宛先・ポート番号を照合して通信を判定するパケットフィルタリング

基本となるのがパケットフィルタリングです。パケットのヘッダにある送信元IPアドレス・宛先IPアドレス・ポート番号・プロトコル(TCP/UDP)を見て、ルールと突き合わせます。たとえば「社外から社内のWebサーバー宛て、TCP443番(HTTPS)は許可」「それ以外の社内サーバー宛ては遮断」——こうしたルールの列挙が設定作業の中身です。ポート番号は通信の用途を示す番号で、80番はHTTP、443番はHTTPS、22番はSSHが代表例。ここを絞ることが、不要な入口を閉じる第一歩になります。

ファイアウォールが担う3つの中核機能(フィルタリング・NAT・ログ)

製品によって機能は増減しますが、中核は次の役割です。

  • フィルタリング:ルールに基づき通信を許可・遮断する。ファイアウォールの本体機能。
  • アドレス変換(NAT/NAPT):社内の内部IPアドレスを外向けの1つのグローバルIPに変換し、内部構成を外から隠す。
  • ログ記録:いつ・どこから・どこへの通信を許可/遮断したかを記録する。インシデント調査と監査の土台。

このうち見落とされがちなのがログです。攻撃を受けた後に「どの通信が通ったか」を追えるかどうかは、ログ設計で決まります。導入時に保存期間と転送先(SIEMなど)を決めておくと、後の調査で困りません。

ステートフルインスペクションによる通信状態の追跡と戻り通信の判定

初期のパケットフィルタは1パケットずつ独立に判定していたため、応答を装った不正パケットを見抜けませんでした。これを改善したのがステートフルインスペクションです。行きの通信(誰がどこへ接続を開始したか)を記憶し、その応答として正当なパケットだけを通します。現在の企業向けファイアウォールは、ほぼこの方式を標準搭載。「社内から開いた通信の戻りは通すが、外から一方的に来た通信は原則遮断」という挙動も、この状態追跡で成り立っています。

ファイアウォールの種類|4つの方式と次世代ファイアウォールの位置づけ

ファイアウォールは、通信のどの階層まで見るかで方式が分かれます。上位方式ほど検査は精密になり、その分だけ処理負荷とコストが上がる。守りたい対象に対して過不足のない方式を選ぶことが、費用対効果を左右します。

パケットフィルタ型とステートフルインスペクション型の違いと使いどころ

最も基本的な方式です。IPアドレスとポート番号という「宛名」レベルで通信を仕分けます。処理が軽く高速な半面、通信の中身(アプリケーションデータ)までは見ません。単体で使うより、ルーターやサーバーの標準機能として組み込まれていることが多い方式です。状態追跡を加えたステートフルインスペクション型が、現在の企業ネットワークの基準線になります。

アプリケーションゲートウェイ型(プロキシ型)とサーキットレベル型

アプリケーションゲートウェイ型は、通信を一度ファイアウォールで受け止め、代理(プロキシ)として中身まで検査してから転送します。HTTPやFTPなどアプリケーション単位で細かく制御でき、防御は堅い半面、代理処理のぶん遅延が生じます。サーキットレベル型はその中間で、セッションの正当性を検査しつつ中身は深く見ない方式です。中身まで見るほど安全だが遅くなる——この比例関係を押さえると選定が楽になります。

次世代ファイアウォール(NGFW)の位置づけとアプリケーション識別

次世代ファイアウォール(NGFW)は、従来のIPアドレス・ポート単位の制御に加え、「どのアプリケーションの通信か」をポート番号に依存せず識別する機能を持ちます。たとえば443番を使う通信でも、それが業務用SaaSなのか個人利用のツールなのかを見分けて制御します。IPS(不正侵入防御)やアンチウイルスを内蔵する製品も一般的です。パロアルトネットワークスやフォーティネットなどが代表的な製品群で、現在の企業向け新規導入はNGFWが主流の位置にあります。ポート単位の制御では、正規ポートに相乗りする通信を止められない——この限界を埋めるのがNGFWの役割です。

ファイアウォールとWAF・UTM・IPS/IDSの違いと使い分け

「ファイアウォールがあればWAFはいらないのでは」という誤解は、守る階層を混同していることから生まれます。それぞれ防御する層と目的が異なり、多くの企業は組み合わせて使います。

WAFとの違い|ネットワーク層とWebアプリケーション層の守備範囲

ファイアウォールがIPアドレスやポートといったネットワーク層を守るのに対し、WAF(Web Application Firewall)はWebアプリケーションそのものへの攻撃を防ぎます。SQLインジェクションやクロスサイトスクリプティングは、443番の正規のHTTPS通信に紛れて届くため、ネットワーク層のファイアウォールは通してしまいます。この「正規の入口から入ってくるアプリ攻撃」を検査するのがWAFの領分です。両者は競合せず、Webサービスを公開するなら双方を置くのが基本構成になります。

UTMとの違い|単機能のファイアウォールと統合型製品の使い分け

UTM(統合脅威管理)は、ファイアウォール・アンチウイルス・IPS・Webフィルタリングなど複数のセキュリティ機能を1台の機器に統合した製品です。UTMが束ねる機能の中身・費用・導入すべき企業の判断はUTMとは?統合脅威管理の機能とファイアウォールとの違い、企業の選び方を解説で詳しく扱っています。ファイアウォールは、そのUTMを構成する一機能にすぎません。中小規模の拠点で機器と運用を1台にまとめたい場合に、UTMが選ばれます。大規模でトラフィックが多い環境では、機能の1台集約が処理のボトルネックになりやすく、専用機を分ける構成が向きます。

IPS/IDSとの違い|通信の可否判定と攻撃の検知・自動遮断

ファイアウォールが「通信を通すか遮断するか」を宛名で判断するのに対し、IDS(不正侵入検知)とIPS(不正侵入防御)は通信の中身から攻撃の兆候を見つけます。IDSは検知して警告するまで、IPSは検知して自動で遮断するところまでを担います。ファイアウォールをすり抜けた通信の「振る舞い」を見張る役割で、境界の内側を守る二段目の網です。

製品 主に守る層 判定の対象 典型的な用途
ファイアウォール ネットワーク層 IP・ポート・通信状態 ネットワークの出入口の関所
WAF Webアプリ層 HTTPリクエストの中身 公開Webサービスの防御
IPS/IDS ネットワーク〜アプリ層 攻撃パターン・振る舞い 侵入の検知・自動遮断
UTM 複数層を統合 上記機能を1台で 中小拠点の一括防御

UTMやIPS/IDSの詳細は、それぞれ個別の記事で扱います(公開後にリンクを追加します)。ここでは「ファイアウォールは境界の第一防衛線、その先を各製品が補完する」という関係だけ押さえてください。

設置形態と費用(オンプレ専用機とクラウド型ファイアウォール)

同じファイアウォールでも、物理機器を自社に置くか、クラウド上のサービスとして使うかで費用構造が変わります。自社のシステムがどこにあるかで、選ぶ形態は自ずと決まります。

オンプレミス専用機とUTM機器の費用感とスループット設計の勘所

自社のデータセンターやオフィスに物理アプライアンスを設置する形態です。初期費用は機器代として数十万円から、大規模・高スループット構成では数百万円規模。加えて、シグネチャ更新や故障対応をカバーする保守契約の年額費用がかかります。機器の性能は処理できる通信量(スループット)で決まり、拠点の回線速度に見合わない製品を選ぶと、ファイアウォール自体が通信の詰まりを生みます。金額はメーカー・構成・時点で幅があるため、実際の選定では見積もりでの確認が前提です。

クラウド型ファイアウォール(FWaaS)の従量課金と向いている環境

クラウド上にシステムを置く場合は、クラウド事業者が提供するファイアウォール(AWS Network Firewall、Azure Firewall、Google Cloudのファイアウォールなど)やFWaaS(Firewall as a Service)を使います。機器を持たず、通信量や稼働時間に応じた従量課金が基本。初期投資を抑えつつ需要に合わせて増減できます。テレワークやクラウド移行で通信の出入口が社内だけでなくなった環境では、クラウド側で通信を検査する形が現実解になります。料金は構成と通信量で大きく変わるため、各クラウドの料金計算ツールでの試算が確実です。クラウド環境全体の設計をあわせて相談したい場合は、Webシステム開発で構成段階から対応しています。

企業がファイアウォールを選ぶ判断基準と、単体では守れない領域

ここからは製品カタログではなく、判断の話をします。規模と構成に対して過剰でも過小でもない選択をするための線引きと、ファイアウォールを過信してはいけない場面を、条件付きで言い切ります。

規模・構成別の選び方(オンプレ専用機・UTM・クラウド型の使い分け)

選択は3つに整理できます。拠点が1〜数か所で情シスの人手が限られる中小規模なら、UTMで機能を1台にまとめるのが運用負荷とコストの両面で合理的です。個別の専用機を並べる構成は、この規模では過剰投資になります。通信量が多く可用性要件が高い大規模環境では、ファイアウォール専用機を冗長化し、IPS/IDSやWAFを別建てにするほうが、1台集約のボトルネックを避けられます。システムがクラウド中心なら、オンプレ機器を持たずクラウド型(FWaaS)に寄せるのが素直です。判断軸はシンプルで、「守る対象がどこにあるか(社内LAN/公開Web/クラウド)」と「運用にかけられる人手」の2つで決めます。ボリュームが大きい製品ほど良い、という選び方は費用の無駄を生みます。

ファイアウォールだけでは防げない攻撃と多層防御・ゼロトラストの考え方

ファイアウォールを見送る、あるいは過信すべきでない場面は明確です。メールの添付ファイルや本文リンク経由の攻撃は、正規のメール通信としてファイアウォールを通過します。フィッシングやマルウェア添付は境界では止まりません(メール経由の脅威はスパムとは?迷惑メール・SMS・SNSの手口と企業が取るべき対策で整理しています)。Webアプリの脆弱性を突く攻撃はWAFの領分で、ファイアウォールは無力です。社外から社内システムへ安全に接続する経路は、ファイアウォールで穴を開けるのではなくVPNなど暗号化された接続で確保します。つまりファイアウォールは境界防御の一枚目にすぎず、その後ろにWAF・IPS/IDS・端末側の対策(EDR)・メール対策を重ねる多層防御が前提です。テレワークとクラウド化で「社内=安全」の境界自体が薄れ、すべての通信を検証するゼロトラストへの移行も進みます。ファイアウォール1台で守れた時代ではない、という認識が出発点です。

よくある質問

ファイアウォールの導入検討でよく挙がる質問に回答します。

ファイアウォールとWAFの違いは何ですか?

守る層が違います。ファイアウォールはIPアドレスやポート番号といったネットワーク層で通信を許可・遮断し、WAFはWebアプリケーションへの攻撃(SQLインジェクションなど)をHTTP通信の中身から防ぎます。WAFが守る攻撃は正規のHTTPS通信に紛れて届くため、ファイアウォールでは止められません。Webサービスを公開する場合は両方を併用するのが基本です。

Windows標準のファイアウォールで企業のセキュリティは足りますか?

足りません。Windowsに搭載されているのは、そのPC1台を守るパーソナルファイアウォールです。ネットワーク全体の出入口を守るものではなく、社内サーバーや他端末は保護対象外になります。企業では、ネットワーク境界に置く専用機やUTM、クラウド型と組み合わせ、端末側の対策と多層で構成します。

次世代ファイアウォール(NGFW)は従来型と何が違いますか?

通信を識別する粒度が違います。従来型はIPアドレスとポート番号で制御するのに対し、NGFWはポート番号に依存せず「どのアプリケーションの通信か」を見分けて制御します。443番を使う通信でも、業務用SaaSと個人利用ツールを区別できる点が強みです。IPSやアンチウイルスを内蔵する製品も多く、現在の企業向け新規導入の主流です。

クラウド型ファイアウォールの費用相場はどのくらいですか?

構成と通信量で大きく変わります。物理機器のような初期費用がない代わりに、稼働時間や処理した通信量に応じた従量課金が基本です。小規模なら月額数万円規模から始められる一方、大量のトラフィックを処理すると費用は積み上がります。正確な金額は各クラウドの料金計算ツールで試算し、通信量の想定とあわせて見積もることをおすすめします。

ファイアウォールとルーターは何が違いますか?

目的が違います。ルーターは通信を正しい経路へ届ける「道案内」が主な役割で、ファイアウォールは通信を許可・遮断する「関所」が役割です。多くのルーターに簡易なパケットフィルタ機能はありますが、ステートフルインスペクションやアプリケーション識別といった本格的な防御は専用のファイアウォールやUTMが担います。

関連記事

資料請求

RELATED POSTS 関連記事