日本 Select Language : English 日本語

×閉じる

南北アメリカ

アメリカ: English
ブラジル: English / 日本語 / Português do Brasil

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:

イギリス,
ベルギー,
フランス,
ドイツ,
オランダ,
スペイン,
アラブ首長国連邦
English
日本語
Español
Deutsch
Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語
Select Language : English 日本語

南北アメリカ

ブラジル: English / 日本語 / Português do Brasil
アメリカ: English

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:
(ベルギー, フランス, ドイツ, オランダ, スペイン, アラブ首長国連邦, イギリス)
English / 日本語 / Español / Deutsch / Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

ファイアウォールだけでは足りない企業のセキュリティ対策

ファイアウォールは、企業のコンピューターネットワークにおけるセキュリティの基本です。しかし、ネットワークに対する脅威や攻撃がますます高度化し、かつ複雑化して増えている現状においては、ファイアウォールだけでセキュリティ対策は十分とはいえません。
これまでのファイアウォールではなぜ不十分なのか?そして、将来的に導入をおすすめしたいUTM(統合脅威管理)のメリットについて詳しくご説明します。

ファイアウォールとは?

ファイアウォール(Fire Wall)とは、元々「防火壁」を意味する言葉です。これがITの分野では、あらかじめ設定しておいたルールに従って、通してはいけないデータを止める機能のことを指します。
ファイアウォールは、不正アクセスによるデータの改ざんや情報漏えいなどを防ぐ、セキュリティ対策では必須の機能です。このファイアウォールの機能は、ソフトウェアとして提供されたり、ルーターなどのネットワーク機器に実装されたりするもののほか、ファイアウォール単体の専用機器も存在します。

ファイアウォールのしくみと種類

では、ファイアウォールのしくみを確認していきましょう。
ファイアウォールは、外部から送られてくるパケット(ネットワークを流れるひとかたまりのデータ)の情報から、社内ネットワークへの通過を許可するか遮断するかという判断をします。不正なアクセスであると判断した場合には、通過を拒否し、管理者に通報します。
] このように、ネットワークへの接続を許可するか拒否するかを判断する技術は、「フィルタリング」と呼ばれています。フィルタリングは、パケットがルーターやゲートウェイを通る際に行われますが、近年のファイアウォールでは、以下のような3つのタイプのフィルタリングを状況に応じて組み合わせ実行する製品やソフトウェアが提供されており、それぞれの機能を補えるようになっています。

パケットフィルタリング

パケットフィルタリングとは、インターネットで送られる分割データ「IPパケット」の先頭についている「ヘッダ」部分を解析し、通過させるか遮断するかを判断するしくみのことです。ヘッダは、送信元や宛先のIPアドレス、オプション情報などを記録している部分で、これをフィルタリングのルール設定と照らし合わせて接続するか遮断するかを判断します。パケットごとに柔軟性のある制御ができますが、許可されているパケット以外はすべて拒否(破棄)することもできますので、設定には注意が必要です。

さらに、「ステートフルパケットフィルタリング」と呼ばれる方式もあります。これは、パケット単位でフィルタリングをするのではなく、データのやりとりをアプリケーションのレベルでチェックして、そのパケットを通過させるかどうかを判断していく方式です。通常のパケットフィルタリングよりも設定が簡単で、効果の高い、拡張版のパケットフィルタリングともいうべきものです。
このパケットフィルタリングは、ルーターの基本機能となっています。

アプリケーションレベルゲートウェイ

アプリケーションレベルゲートウェイ(アプリケーションゲートウェイ型ファイアウォール)は、社内のPCと外部のインターネットが直接通信しないように、プロキシ(代理)サーバーを介して切り離す方式で、プロキシ型ファイアウォールともいいます。プログラムによりパケットの通過をフィルタリングして制御し、認証を行うしくみです。設定自体は比較的簡単にできるというメリットがありますが、細かい制御を設定するのは難しいというデメリットもあります。

サーキットレベルゲートウェイ

サーキットレベルゲートウェイは、「トランスポート層」で動作するファイアウォールです。トランスポート層とは、コンピュータの持つべき通信機能を7階層に分割した「OSI参照モデル」の中の第4層のこと。上位のセッション層と下位のネットワーク層のあいだでフィルタリングを行い、通信における信頼性を確保する役割を持ちます。
サーキットレベルゲートウェイでは、パケットフィルタリングのIPパケットによる通信制御に加えて、トランスポート層でのセッション(データのやりとり)状態を認識した上でフィルタリングによるアクセス制御ができ、ルールの設定も簡単にできます。

ファイアウォールの設置場所

社内ネットワークとインターネットのあいだに設置されるファイアウォールですが、メールサーバーやWebサーバーといった公開サーバーがある場合、設置場所は次の3通りが考えられます。

全社内ネットワークをファイアウォールの内側に置く

すべての社内ネットワーク(公開サーバー含む)をファイアウォールの内側に置く方法です。こうすることで社内から公開サーバーへアクセスすることが簡単になる反面、万が一、公開サーバーへ悪意のある侵入などがあった場合には社内ネットワーク全体に危険がおよぶ可能性が出てきます。

公開サーバーのみファイアウォールの外側に置く

ファイアウォールの外側に公開サーバーのみ設置する方法です。この方法であれば、公開サーバーに悪意のある侵入があっても社内ネットワークには影響しません。ただ、公開サーバーにも個人情報や機密情報が入っているので、セキュリティ設定に注意する必要があります。

ファイアウォールを2台設置してDMZ(非武装地帯)を設ける

社内ネットワークと公開サーバーのそれぞれを守るファイアウォールを2台直列に設置して、DMZ(非武装地帯)を設ける方法です。
公開サーバーは、外部に公開しておく必要があるため、内部ネットワークと同じ場所に置くことはできません。かといって無防備に外に置くわけにもいかず、外部のインターネットとも異なる特殊な位置に置いて、比較的自由に外部からアクセスできる場所を作ります。このエリアを、DMZ(非武装地帯)と呼んでいます。
この方法を採用すると、ファイアウォールの管理は煩雑にはなりますが、上記両方の問題点を解消できます。現在、多くの企業が採用しているのもこの方法です。

ファイアウォール以外に必要な企業のセキュリティ対策は?

ファイアウォールだけでは、企業ネットワークに対する攻撃や脅威から、すべてを防げるわけではありません。例えば、ワームやウイルスの対策としては「アンチウイルス」、スパムの対策としては「アンチスパム」といったソフトウェアのインストールが必要になります。
また、悪意のあるサイトや有害サイトに対しては、社内ネットワークからアクセスできないようにするWeb(URL)フィルタリングが必要となってきます。
そのほか、不正アクセスや不正な内部情報の持ち出しを検知したり、未然に遮断したりといったことはファイアウォールだけではできないため、IDS(Intrusion Detection System/不正侵入検知システム)やIPS(Intrusion Prevention System/不正侵入防御システム)といった機能が必要になってきます。

統合セキュリティ対策「UTM」の必要性

企業ネットワークでは、アンチウイルス、アンチスパム、Web(URL)フィルタリング、IDS、IPSといった、さまざまなセキュリティ対策も併せて導入していく必要があります。しかし、企業ネットワークに必要なセキュリティ対策を個別に導入していると、管理・運用の手間が煩雑となり、システム担当者やセキュリティ担当者の手間を増大させます。その上、個別にソフトウェアや機器を導入していくと、コストがかさんでいくというデメリットがあります。

そこで検討したいのが、複数のセキュリティ対策の機能を統合して、包括的に実施できる統合脅威管理「UTM」(Unified Threat Management)です。

クラウド型UTMという選択も

これまでのUTMは、ソフトウェアとハードウェアが一体化した製品として提供されていました。そのため、ハードウェアが故障するリスクに備えて、バックアップ用のUTMを用意する必要がありました。しかし、それではせっかくUTMのコストメリットが薄れてしまいます。

そこで近年は、ハードウェアのトラブルを気にせずに使えるクラウド型のUTMが登場してきています。このクラウド型UTMは、特に複数の拠点からそれぞれインターネットに接続している場合に効果を発揮します。

これまで複数の拠点を持っている企業では、インターネット回線の開設やファイアウォール、UTMの設置は拠点ごとに行い、個々のPCにもアンチウイルスソフトをインストールするといった場合が多くありました。このような場合、拠点数が多くなればなるほど、ファイアウォールやUTMの管理・運用に手間やコストがかかるようになります。

IPoE回線にUTMがついた「OCN光 IPoE vUTMセット」

OCNでは、クラウド型UTMサービス「vUTM」(virtual UTM)を提供しています。また、IPoE光回線サービスにvUTMを組み込んだ「OCN光 IPoE vUTMセット」の提供も開始しています。クラウド型UTMの導入とともに、快適なインターネット接続回線の導入もセットで検討されてみてはいかがでしょうか?

「法人向けOCNサービスとは」関連情報

新サービス! OCN光 IPoEサービス

OCN光 IPoEサービス 標準プラン

従来サービスから2倍の帯域設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離
快適なインターネット利用環境を実現

  • 法人向け設計

  • 従来サービスから2倍の帯域設計!

  • 固定IPアドレス利用可能

OCN光 IPoEサービス ワイドプラン

標準プランから3倍の帯域設計(従来サービスの6倍)
Windows Updateによる通信を
そのほかの業務用の通信から分離。
安定した通信が可能

  • 標準プランから3倍の帯域設計

  • Windows Updateによる通信をそのほかの業務用の通信から分離

OCN光 IPoE vUTMセット

IPoEインターネット接続とクラウド化されたUTMをセットで提供。アップデートや保守はNTT Comが行うため、常に最新のセキュリティ対策を実現。
クラウド利用時のセキュリティ対策にも最適

  • インターネット接続とセキュリティ対策 セットで提供

  • 専門スキルを有する人材不要

  • 常に最新のセキュリティ対策を実現

通信事業者向けローミングサービス

OCNバーチャルコネクトサービス(IPoE接続)

NTT東日本・西日本が提供するIPoEに対応した「フレッツ 光ネクスト」ならびに光コラボレーション回線を、事業者さまの独自ブランドでIPoE方式のインターネット接続サービスが提供できます。

ご検討中のお客さま

ご検討にあたり、ご不明点などはお電話もしくは、お問い合わせフォームで承ります。お気軽にお問い合わせください。

お電話によるお問い合わせ

0120-106107

受付時間 9:30~17:00
(土日祝日を除く)

このページのトップへ