0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ktdatascience

【図解】ファイアウォールとは? 「マンションのオートロック」で理解する仕組みと役割

0
Posted at

はじめに

「ファイアウォール(Firewall)」は、直訳すると「防火壁」です。
火事の延焼を防ぐ壁のように、ネットワークの世界で「怪しい通信」やま「攻撃」から自分のコンピュータやサーバーを守るための防御壁のことを指します。

image.png

今回は、このファイアウォールの役割と仕組みについて、身近な例を使って解説します。

【図解】イメージで理解するファイアウォール

ファイアウォールの仕組みは、よく「マンションのオートロック」や「会社の受付」に例えられます。

マンションのオートロックで考える

あなたのPCやサーバーを「あなたの部屋」、インターネットを「外の世界」と考えてみましょう。

  1. 外からの訪問者(通信)が来る
    • 宅配便(Web閲覧のリクエスト)や、友人(メール)がやってきます。
  2. オートロック(ファイアウォール)でチェック
    • セキュリティシステムが「あなたは誰ですか?」「どの部屋に用事ですか?」を確認します。
  3. ルールに基づいて判断
    • 許可: 「あ、いつもの宅配屋さんですね。どうぞ」→ 通信を通す
    • 拒否: 「知らない人で、しかも怪しい勧誘ですね。お断りです」→ 通信を遮断する

これがファイアウォールの基本的な役割です。許可された通信だけを通し、それ以外はシャットアウトすることで安全を守ります。

ファイアウォールの仕組み(3つのチェックポイント)

では、実際のネットワークでは何を基準に「通す/通さない」を決めているのでしょうか?
主に以下の3つの情報をチェックしています。

1. 送信元(Source):どこから来たか?

「誰からの通信か」を確認します。

  • IPアドレス: 192.168.1.10 からの通信はOK、それ以外はNGなど。
  • 現実世界の例:「実家からの荷物なら受け取るけど、知らない住所からの荷物は受け取らない」

2. 宛先(Destination):どこへ行きたいか?

「誰宛ての通信か」を確認します。

  • サーバーが複数ある場合、どのサーバーへのアクセスかを判断します。

3. プロトコルとポート:何の用事か?

これが一番重要です。「何をしに来たのか」を確認します。
コンピュータには「ポート番号」という、用件ごとの窓口番号があります。

  • ポート 80 (HTTP): 「Webサイトを見せてください」
  • ポート 443 (HTTPS): 「安全にWebサイトを見せてください」
  • ポート 22 (SSH): 「サーバーの設定変更(遠隔操作)をさせてください」

ファイアウォールの設定例:

「Webサイトは見せたいから 80番と443番 は誰でも通してOK」
「でも、設定変更用の 22番 は危険だから、管理者の家(特定のIP)からしか通さない!」

ステートフルインスペクションとは?

少し専門的ですが、現代のファイアウォール(特にクラウド環境)において非常に重要な機能が「ステートフルインスペクション(Stateful Inspection)」です。

これは、「行き」の通信を許可したら、「帰り」の返事は自動的に許可する機能のことです。

  • 行き: あなたがWebサイトを見ようとしてリクエストを送る(許可されているので通る)。
  • 帰り: Webサイトからデータが返ってくる。

もしファイアウォールが融通の利かない頑固者だったら、「帰りの通信も許可ルールがないと通さないぞ!」となり、いちいち「Webサイトからの返事は許可する」という設定を書かなければなりません。これは大変です。

ステートフルインスペクション対応なら、「あ、さっきあなたが送ったリクエストの返事ですね。顔パスでどうぞ!」と、自動的に通してくれます。
Google CloudやAWSのファイアウォールは基本的にこのタイプです。

クラウド時代のファイアウォール(Google Cloudの例)

従来のオンプレミス環境では、ファイアウォール専用の機械(物理アプライアンス)を設置してLANケーブルを挿していました。
しかし、Google Cloudなどのクラウド環境では、より便利で柔軟な仕組みになっています。

IPアドレス以外での制御(タグ/サービスアカウント)

クラウドならではの便利な機能です。
サーバーの台数が増えたり減ったりしてIPアドレスが変わっても、ファイアウォールの設定を変更しなくて済みます。

  • タグベースの許可: 「web-server というタグが付いているマシンへの通信は許可する」
    • 新しいサーバーを作っても、タグを付けるだけで設定完了!
  • サービスアカウント: 「この権限(ID)を持っているサーバーからの通信だけ許可する」

これにより、IPアドレスの管理地獄から解放され、より「役割」に基づいた直感的なセキュリティ設定が可能になります。

まとめ

  • ファイアウォールとは: ネットワークの関所。怪しい通信をブロックする仕組み。
  • 判断基準: 「どこから(IP)」「何の用事で(ポート)」来たかを見て判断する。
  • ステートフル: 行きの通信がOKなら、帰りの通信も自動的にOKにしてくれる賢い機能。
  • クラウドのメリット: IPアドレスだけでなく、タグなどで柔軟に管理できる。

サーバーを公開する際、最初に設定するのがファイアウォールです。
「必要なポートだけを開け、不要なポートはすべて閉じる(最小権限の法則)」を意識して、安全なネットワークを作りましょう。

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?