セキュリティー対策の詳細

セキュリティーの概要は、「セキュリティーとは」をご覧ください。

ここでは、セキュリティー対策の詳細を説明します。セキュリティー対策で使用する機能は、目的や用途に応じて以下のように使い分けます。

MACアドレスフィルター(イーサネットフィルター)

MACアドレスフィルターは、あらかじめ設定した条件に従って、フレームを通過させたり、破棄したりする機能です。条件として、フレームの「方向(送信/受信)」、「送信元 MACアドレス」、「宛先 MACアドレス」などを指定できます。

MACアドレスフィルターを使えば、たとえば、LANへのアクセスを特定の端末だけ許可、または拒否といったことが、できるようになります。

セキュリティーとは?:イメージ

MACアドレスフィルターを利用する際は、メール通知機能を併用すると便利です。不正アクセスを検知したときに、指定したメールアドレスに通知が届くようになります。

では、簡単にMACアドレスフィルターの設定方法を紹介します。
まずは、LANへのアクセスを、特定の端末だけ許可したい場合の設定です。下の図を例に、説明します。

セキュリティーとは?:イメージ

ルーターは、LAN1でフレームを受信すると「評価順:1」のフィルターを確認します。もし、送信元MACアドレスがあらかじめ設定されたアドレスと一致した場合、そのフレームを通過させます。「評価順:1」のフィルターに一致しなかった場合は、「評価順:2」のフィルターを確認します。「評価順:2」のフィルターでは、すべてのフレームが破棄されます。よって、特定の端末だけLANへアクセスできるようになります。

ちなみに、"*"は、"とりうる値すべて"という意味になります。たとえば、宛先MACアドレスが 「*:*:*:*:*:*」 となっている場合は、どのMACアドレスが宛先であっても対象になります。

今度は、LANへのアクセスを、特定の端末だけ拒否したい場合の設定です。下の図を例に、説明します。

セキュリティーとは?:イメージ

ルーターは、LAN1でフレームを受信すると「評価順:1」のフィルターを確認します。もし、送信元MACアドレスがあらかじめ設定されたアドレスと一致した場合、そのフレームを破棄します。「評価順:1」のフィルターに一致しなかった場合は、「評価順:2」のフィルターを確認します。「評価順:2」のフィルターでは、すべてのフレームを通過させます。よって、特定の端末だけLANへアクセスできないようになります。

技術情報

代表的な設定例

IPフィルター

IPフィルターは、あらかじめ設定した条件に従って、パケットを通過させたり、破棄したりする機能です。条件として、パケットの「方向(送信/受信)」、「プロトコル」、「送信元 IPアドレス」、「宛先 IPアドレス」、「送信元 ポート番号」、「宛先 ポート番号」などを指定できます。

IPフィルターを使えば、たとえば、インターネットとLANでの通信を制限したり、部門間での通信を制限したりできます。

セキュリティーとは?:イメージ

WANからLANへの通信を制御

セキュリティーとは?:イメージ

社内のLAN同士の通信を制御

では、簡単にIPフィルターの仕組みを紹介します。
IPフィルターには、静的フィルターと動的フィルターの2種類が存在します。

静的フィルター

静的フィルターは、通信を制御するための出入り口が常に開いているか、常に閉じているフィルターです。基本的に、出入り口の開閉はフィルターの設定によってあらかじめ決まっていて、途中で開いたり閉じたりはしません。

以下のように静的フィルターを設定すると、LANとインターネットでHTTP(TCP ポート番号:80)による通信だけを許可することができます。それ以外の通信は、破棄されます。静的フィルターは、"条件に一致したパケットを常に通過させる、または、常に破棄する"というのがポイントです。

セキュリティーとは?:イメージ

設定している静的フィルターのイメージは、このようになります。

セキュリティーとは?:イメージ

この例を、少しだけ説明します。ルーターは、パケットを受信すると「評価順:1」のフィルターを確認します。もし、IPアドレスやプロトコルなどの条件がフィルターと一致した場合、このパケットを通過させます。「評価順:1」のフィルターに一致しなかった場合は、「評価順:2」のフィルターを確認します。「評価順:2」のフィルターでは、すべてのパケットが破棄されます。よって、192.168.1.0/24の端末だけがHTTPで通信できるようになります。
※このフィルターの設定は、説明のために簡略化した内容になっています。このままでは、たとえば、DNSでホスト名を名前解決(UDP ポート番号:53)するためのパケットなどが通りません。

ちなみに、"*"は、"とりうる値すべて"という意味になります。たとえば、宛先IPアドレスが 「*.*.*.*」 となっている場合は、どのIPアドレスが宛先であっても対象になります。また、宛先ポート番号が「*」となっている場合も同様で、どのポート番号が宛先であっても対象になります。

動的フィルター

動的フィルターは、通信の状態に応じてドアを開閉させるフィルターです。具体的には、通信が始まったらドアを開け、通信が終了したらドアを閉じます。"通信がないときは、ドアは閉まったまま"なのがポイントです。必要のない限りは、ドアが開くことはありません。

もう少し具体的に動きを見てみましょう。LANからインターネットへの出口に、静的フィルターを設定します。そして、もう1つ動的フィルターを設定します。イメージは、このようになります。

セキュリティーとは?:イメージ

これで、LANからインターネットへの方向(OUT)は、パケットが自由に出て行けます。一方、インターネットからLANへの方向(IN)は、開いているドアがありません。このままでは、HTTPサーバーからの戻りパケットが通れません。

ここで動的フィルターが登場します。LANからインターネットへパケットが通過すると、これをきっかけとして、動的フィルターのドアが開きます。ドアが開いたので、HTTPサーバーからの戻りのパケットが無事に通れるようになりました。

セキュリティーとは?:イメージ

セキュリティーとは?:イメージ

以降、HTTPサーバーとPCでやりとりされるパケットは、この動的フィルターの出入り口を通ります。
そして、必要なやりとりが終了したら、再びドアは閉まります。

セキュリティーとは?:イメージ

セキュリティーとは?:イメージ

設定しているIPフィルターのイメージは、このようになります。

セキュリティーとは?:イメージ

上で説明したように、動的フィルターは、必要なときだけドアを開け閉めします。ドアを常に開けたままの状態にするより、必要なときだけ開けた方がセキュリティーは高くなります。そのため、インターネットに接続するなど、セキュリティーが求められる場面では、静的フィルターと動的フィルターを組み合わせて設定することをオススメしています。

ここまで、静的フィルターと動的フィルターの概要を説明しました。IPフィルターの条件を厳しく制限することで、ネットワークの機密性、完全性を高めることができます。しかし、その反面、条件が厳しすぎて、可用性が失われて使いづらいネットワークになることもあります。実際にIPフィルターを設定するには、機密性、完全性、可用性のバランスの見極めがポイントです。IPフィルターを設定する前に、要求分析や設計をオススメします。

技術情報

代表的な設定例

※ 上記以外でも、ほとんどの設定例で、IPフィルターは使用されています。

不正アクセス検知(IDS:Intrusion Detection System)

不正アクセス検知は、インターネットからの侵入や攻撃を検知して、警告あるいはこれらの通信を遮断する機能です。不正なパケットが持つパターンを比較することで、侵入や攻撃を検出します。

サーバーを公開している場合など、インターネットから不特定の人がアクセスしてくる場合、本機能を使うと安心です。

セキュリティーとは?:イメージ

不正アクセス検知では、たとえば、LAND攻撃(IPヘッダーの始点IPアドレスを偽装した攻撃)や不正なフォーマットのパケットを送る攻撃などを検出できます。ただし、侵入に該当するか否かを正確に判定することは難しく、完全な検知は不可能であることに注意してください。

不正アクセス検知を利用する際は、メール通知機能を併用すると便利です。不正アクセスを検知したときに、指定したメールアドレスに通知が届くようになります。

技術情報

代表的な設定例

URLフィルター

一般的に、よく使うアプリケーションには、より多くのリスクが潜んでいます。アプリケーションレベルでの危険な通信を検知して、警告、遮断する仕組みの1つがURLフィルターです。

URLフィルターは、HTTP通信においてアクセス可能なURLを制限する機能です。利用者が、ふさわしくないURLや危険なURLにアクセスしようすると、ブロックします。

セキュリティーとは?:イメージ

URLフィルターのイメージ

セキュリティーとは?:イメージ

URLフィルターのブロック画面

では、簡単にURLフィルターの仕組みを紹介します。
URLフィルターは、データベースを参照して、ふさわしくないURLや危険なURLを判断します。参照するデータベースは、内部参照型と外部参照型の2種類があります。

  • 内部データベース参照型のURLフィルター
    URLの全部または一部をキーワードとして、ルーターに登録する方式です。そのキーワードと一致した文字列を含むURLへのアクセスを、制限することができます。また、フィルター設定時に始点IPアドレスを指定することで、特定のホストまたはネットワークからの接続を制限することもできます。
  • 外部データベース参照型のURLフィルター
    外部のURLフィルタリングサービス事業者のデータベースに問い合わせる方式です。通知された当該URLの評価結果を元に、アクセスを制限します。

技術情報

代表的な設定例

メールセキュリティー

一般的に、よく使うアプリケーションには、より多くのリスクが潜んでいます。アプリケーションレベルでの危険な通信を検知して、警告、遮断する仕組みの1つがメールセキュリティーです。

メールセキュリティーでは、LANとWANとでやりとりされるパケットに対して、スパム対策やウイルス対策をします。

  • アンチスパム機能
    スパムメールか否かを判定する。
  • アンチウイルス機能
    メールの添付ファイルに対してウイルススキャンを行う。

ファイアウォール配下の端末(端末、スマートデバイスなど)やメールサーバーに対して、特定のアプリケーションをインストールする必要はありません。また、使用している端末のメーカーやOSによらず本機能を利用できるのが特長です。

セキュリティーとは?:イメージ

メールセキュリティーを利用するためには、ファイアウォール(製品名:FWX120)とオプションのライセンス(YSL-MC120)が必要です。メールのチェックはクラウドサーバーで実行されるため、ファイアウォールはインターネットに接続できる環境に設置する必要があります。ちなみに、ライセンス(YSL-MC120)を購入すると、メールセキュリティーのほかに、URLフィルターの外部データベース(ヤマハのセキュリティークラウド)を利用できるようになります。

技術情報

代表的な設定例

Winnyフィルター、Shareフィルター

ファイル共有ソフトである「Winny」や「Share」を使用すると、情報の漏洩(ろうえい)のリスクが高まります。そこで、これらのソフトによる通信を制限するのがWinnyフィルター、Shareフィルターです。「Winny」や「Share」が利用するパケットを検出したら、該当パケットを破棄し、通信を遮断します。「Winny」や「Share」のパケットを検出した場合、不正アクセス検知の履歴に記録するため、ソフトを使用した端末の特定にも有効です。

セキュリティーとは?:イメージ

本機能は、不正アクセス検知を有効にすることにより、利用できます。

不正アクセス検知を利用する際は、メール通知機能を併用すると便利です。不正アクセスを検知したときに、指定したメールアドレスに通知が届くようになります。

技術情報

代表的な設定例

透過型ファイアウォール

透過型ファイアウォールは、既存のルーターやPCの設定を一切変更せずにファイアウォールを設置できる機能です。

すでにインターネット接続用のルーターが設置されていてルーターを変更したくない場合や、多数の拠点に一斉にファイアウォールを追加したい場合などは、透過型ファイアウォールを利用すると容易に導入することができます。

セキュリティーとは?:イメージ

透過型ファイアウォールは、ファイアウォール(製品名:FWX120)が対応しています。

では、簡単に透過型ファイアウォールの仕組みを紹介します。

従来のルーター型のファイアウォール機能では、ルーターに接続するネットワークは、異なるセグメントでなければなりませんでした。そのため、ファイアウォール機能だけを利用したい場合でも、各インターフェースに異なるIPアドレスを割り当てなければならず、 既存のネットワークに気軽にファイアウォールを追加できませんでした。
その課題を解決したのが本機能です。透過型ファイアウォールは、LAN1とLAN2をブリッジ接続し同じセグメントにするため、IPアドレスを変更する必要がありません。

関連用語

透過型ファイアウォールに関連する用語です。透過型ファイアウォールをより理解したいときに、ご覧ください。

  • ブリッジ機能
    複数のインターフェースを1つの仮想インターフェースに収容し、収容したインターフェース間をつなげる機能です。収容された各インターフェースは、1つのセグメントになります。

技術情報

代表的な設定例