ファイアウォールとルーターは違う!役割やセキュリティ効果を解説
目次
ルーターは安定したインターネット通信のために必要な機器で、ファイアウォールは名前の通り「防火壁」として機能します。インターネット経由のサイバー攻撃や、内部からの情報漏えい事故などのリスクが高まる中、ネットワーク機器のセキュリティ機能を知ることは重要です。
しかしネットワーク技術は複雑なため、ファイアウォールとルーターの違いがよく分からない方もいるのではないでしょうか。そこでこの記事では、ファイアウォールとルーターの役割やセキュリティ対策効果の違いについて紹介します。
ファイアウォールとルーターは全く違う?
ファイアウォールとルーターは、どちらも社内LANやホームネットワーク内で運用し、インターネット通信に関する機能を提供します。しかし「ファイアウォール機能を搭載したルーター」もあり、違いが分かりにくい場合もあるでしょう。まずはファイアウォールとルーターの基本的な役割や主な違いを解説します。
LAN構築に必須のルーター
ルーター(Router)とは、LANとWAN(インターネット)などのネットワーク間の接続・中継を担う機器です。LAN内のPCやスマホなどの通信データを取りまとめ、LANの外側にあるネットワークとの相互接続を中継します。
ルーターが担う最も重要な機能は「ルーティング」です。一般的に、ルーターには以下のような機能があります。
・ルーティング:ネットワーク上でパケットを転送する最適な経路を選択する
・IPアドレス割り当て:ネットワークに接続した機器にIPアドレス(IPネットワーク上の住所)を割り当てる
・アドレス変換:ローカルIPアドレス(LAN内のIPアドレス)とグローバルIPアドレス(インターネット上のIPアドレス)を変換する
・パケットフィルタリング:設定したルール(ポリシー)に従って接続・中継の許可/拒否を行う
【関連記事:【保存版】ネットワーク時代の今!ネットワークの基礎を徹底解説】
「防火壁」として機能するファイアウォール
ファイアウォール(Firewall)とは、外部ネットワークからの不正アクセスやサイバー攻撃を防ぐためのハードウェアやソフトウェアです。強力なパケットフィルタリング機能などにより、ネットワークの内部と外部を隔てる「防火壁」として機能します。ファイアウォールの主な利用形態は以下3種類です。
・ネットワーク機器としてのファイアウォール:LANとWANの境界に設置するハードウェア。LAN全体の防火壁として機能
・パーソナルファイアウォール:LAN内のPCやスマホにインストールするソフトウェア。各デバイスの防火壁として機能
・サービスとしてのファイアウォール:プロバイダやVPNサービスなどが、契約ユーザーに対する防火壁を提供
ステートフル・インスペクション(SPI)の有無
ルーターとファイアウォールの大きな違いの1つは、「ステートフル・インスペクション」の有無です。SPI(ステートフル・パケット・インスペクション)とも呼ばれます。
一般的なパケットフィルタリング機能は、事前に設定したルール(ポリシー)に従って、通信の許可/拒否を固定的に判断するものです。この「静的な」仕組みに対し、SPIは「動的な」通信制御をします。
SPIは行きと戻りのパケットを1つのセッション(セット)として捉え、送受信パケットに矛盾がないかを動的に調べる仕組みです。これにより意図した通信のみ許可し、脈絡なく送られてくるWAN側からのパケットを自動的に拒否できます。
SPIはファイアウォールを特徴付ける機能です。ただしSPIを搭載したルーターも増えています。
UTM(統合脅威管理)の一部かどうか
ファイアウォールはUTM(Unified Threat Management/統合脅威管理)の一部として提供されることも、ルーターとの大きな違いです。UTMは複数のセキュリティ機能を一体的に提供するソフトウェアやハードウェアです。
ファイアウォールはルーターより高度なパケットフィルタリング機能を持ちますが、それ単体ではウイルスやスパムメールなどには対応できません。そこでUTMは、ファイアウォール・アンチウイルス・アンチスパム・URLフィルタリングなど、ネットワークセキュリティに必要なさまざまな機能を一体的に提供します。
【関連記事:サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説】
ルーターのセキュリティ対策効果
ファイアウォール機能を搭載したルーターは多いものの、安価な製品だとセキュリティ対策が限定的かもしれません。一般的なルーターに期待できるセキュリティ対策としてどのようなものがあるのか、ここでは代表的な2つの機能を紹介します。
PCが攻撃対象になることを防止できる
ルーターを導入することで、PCがインターネット側から直接の攻撃対象となることを防止できます。例えば光回線の場合、ONU(光回線終端装置)とPCを直接LANケーブルで接続することも可能です。この「モデム直挿し」の構成だと、PCがインターネットに直接さらされます。
ONUとPCの間にルーターがあれば、インターネットに直接さらされるのはルーターのWANポートです。この構成なら、PCを直接狙った接続要求パケットは、ルーターにより破棄できます。
ただし、ルーターの脆弱性(セキュリティ上の欠陥)を狙ったサイバー攻撃も増えていることには注意が必要です。
最低限のパケットフィルタリング機能を利用できる
ルーターは「パケットフィルタリング型のファイアウォール」としても機能します。機種によって設定の詳細さは異なりますが、以下のような条件を組み合わせてルール(ポリシー)を設定し、通信の許可/拒否をコントロールできるものが一般的です。
・送信元IPアドレス
・宛先IPアドレス
・送信元ポート番号
・宛先ポート番号
・プロトコルの種類(TCPやUDPなど)
ただし、ルーターで設定できるルールの数は、ファイアウォール製品に比べて限定的です。また基本的に、詳細な通信ログは取得できません。内側からのパケットを監視する機能もない場合があり、サイバー攻撃や情報漏えいを対策しにくいことも懸念点です。
ファイアウォール(UTM)のセキュリティ対策効果
ファイアウォールは強力なパケットフィルタリング機能だけでなく、さまざまなセキュリティ機能を搭載したUTMとして提供されることが一般的です。製品によっては、プロキシやアンチウイルスゲートウェイとして機能し、IDSやIPSを搭載するものもあります。
ここでは、ファイアウォール(UTM)が搭載する機能とセキュリティ対策効果を見ていきましょう。
スパムメールの送受信を制御できる
送受信されるメールのパケットを監視し、不正なメールを自動的に破棄できます。これは「SMTPプロキシ」と呼ばれる機能です。
例えばインターネット側からスパムメールを送り付けられた際、メールサーバで受信する前に、ファイアウォール機器で自動的に破棄できます。また、内側からのスパムメール発信も制御できるため、自社メールサーバを踏み台にして第三者にスパムメールを送り付けるタイプの攻撃も防止できる仕組みです。
接続先WebサイトやCookieを制限できる
接続しようとする Webサイトや、そのWebサイトが発行するCookieを制御することも可能です。これは「HTTPプロキシ(Webプロキシ)」と呼ばれる機能です。
事前に許可/拒否するURLやキーワードを設定し、接続しようとするURLを監視する「URLフィルタリング」や、特定のキーワードが含まれているサイトを動的に監視する「動的コンテンツフィルタリング」を利用できます。製品によっては、特定URLのCookieを許可/拒否する「Cookieフィルタリング」も可能です。
特定アプリやWebサービスの利用を制限できる
特定のアプリやWebサービスの利用をブロックできる製品もあります。ネットワーク内のPCやスマホが利用する、セキュリティ上の脅威となるアプリや、企業として好ましくないアプリなどの通信を遮断できる仕組みです。
近年はWebベースのアプリをインターネット経由で利用することが一般化しているため、特定のWebサービスの利用を禁止する機能を持つファイアウォールも増えています。
ウイルス(マルウェア)の感染や被害を防止できる
「アンチウイルスゲートウェイ」とは、メールの送受信やWeb閲覧、ファイルのダウンロードなどを監視し、ネットワークの境界で悪意あるプログラムを検知・拒否できる仕組みです。
ウイルス定義ファイルを元にパターンマッチングをするものもあれば、プログラムの「振る舞い検知」により未知のマルウェアまで検知・拒否できるものもあります。
IDSやIPSによりサイバー攻撃を検出・防御できる
サイバー攻撃の検出や防御に対応したいなら、「IDS(Intrusion Detection System/侵入検知システム)」や「IPS(Intrusion Prevention System/侵入防止システム)」を搭載している製品を選びましょう。
検出・防御できるサイバー攻撃の例は、SYNフラッドや過大フラグメントといった「DoS攻撃(サービス拒否攻撃)」により、LAN内のPCやサーバをクラッシュさせるものです。
ファイアウォールはパケットの出入りを監視しますが、攻撃的な意図を持ったパケットがすり抜ける場合もあります。IDS対応の製品はサイバー攻撃の検知・通知ができ、IPS対応の製品なら攻撃を未然に防ぐことが可能です。
標的型攻撃による情報漏えいを防止できる
ファイアウォール製品によっては、サイバー攻撃でよく利用される特定国との通信を遮断し、情報漏えいを防止できます。特定企業にターゲットを定め情報窃取しようとする「標的型攻撃」は、多くの企業にとって情報セキュリティ上の重大なリスクです。
マルウェア感染などの被害に遭った場合でも、標的型攻撃に悪用されるアプリや特定国への通信を遮断することで、機密情報や個人情報の漏えいを防止できます。
【関連記事:情報漏えいとは?原因や警戒すべき理由、対策をわかりやすく解説】
Wi-FiセキュリティにはWi-Fiネットワーク機器による対応が必須
ルーターはLAN構築に必須の機器です。しかし単体ではセキュリティ機能が弱いこともあるため、ビジネスユースならファイアウォール(UTM)との組み合わせをおすすめします。
無線LAN(Wi-Fi)環境を構築する場合、Wi-Fiネットワーク機器によるセキュリティ対策も必要です。Wi-Fiセキュリティが貧弱だと、Wi-Fi経由でLAN内のPCやサーバに不正アクセスされたり、通信内容を傍受・解読されたりする恐れがあります。インターネット経由だけでなくWi-Fi経由のサイバー攻撃も想定し、万全のセキュリティ対策を講じましょう。
【関連記事:Wi-Fiのアクセスポイントとは?LANの仕組みや機器の機能も一挙解説】
イッツコムの「かんたんWi-Fi」で手軽にセキュリティを強化!
Wi-Fiセキュリティを強化するなら、セキュリティ機能に優れたWi-Fiネットワーク機器の導入が必要です。しかし機器の導入や設定に不安がある方もいるでしょう。
イッツコムが提供する「かんたんWi-Fi」なら、高性能なWi-Fiアクセスポイント(AP)を簡単に増設できます。必要な作業は、設定済みのAPを自由なレイアウトで設置し、LANケーブルと電源ケーブルを接続するだけです。ルーターなどのネットワーク機器の設定を変更する必要はありません。
「ハイエンド6」プランのAPなら、最新のWi-Fiセキュリティ規格「WPA3」に標準対応する「Wi-Fi6」により、快適かつ安全なWi-Fi通信ができます。ゲスト用・従業員用のネットワークを分離できる「ゲストWi-Fi」機能にも対応するため、ゲストにはWi-Fi経由のインターネット接続だけを提供し、安全なフリーWi-Fiの運用ができることも利点です。
イッツコムはWi-Fiネットワーク機器に加え、ファイアウォールやUTMも含めたネットワークの統合構築にも対応できます。ネットワークセキュリティのお悩みはイッツコムにご相談ください。
まとめ
ルーターはLAN構築に必須の機器です。ファイアウォール(UTM)はLANとインターネットの境界でさまざまなセキュリティ機能を提供します。
インターネット経由のサイバー攻撃や、内側からの情報漏えいを防ぐなら、ファイアウォールは有用なセキュリティソリューションです。ただしWi-Fi経由のサイバー攻撃には、Wi-Fiネットワーク機器によるセキュリティ対策が求められます。
イッツコムなら「かんたんWi-Fi」による高性能APと、ファイアウォール(UTM)のセット導入が可能です。APやファイアウォールの導入をお考えなら、関連サービスのトータルサポートに強みがあるイッツコムにご相談ください。
