1. 👋 はじめに
前回はWebアプリケーションの攻撃と防御(SQLi・XSS・CSRF)を学びました。
今回はネットワークとインフラ側のセキュリティを解説します!
「ファイアウォールって何を守っているの?」
「IDS・IPS・WAFの違いって何?」
「DDoS攻撃はどうやって防ぐの?」
「マルウェアにはどんな種類があるの?」
インフラを扱うエンジニアだけでなく、Webエンジニアにも必須の知識です💪
この記事を読めば:
- ✅ ファイアウォールの仕組みと種類がわかる
- ✅ IDS・IPS・WAFの違いがわかる
- ✅ DDoS攻撃の仕組みと対策がわかる
- ✅ マルウェアの種類と感染経路がわかる
- ✅ フィッシング・ソーシャルエンジニアリングの手口がわかる
2. 🏰 ネットワークセキュリティの全体像
まず「何がどこを守っているか」を把握しましょう。
🌍 インターネット
│
▼
🛡️ DDoS対策(AWS Shield・Cloudflare等)
│
▼
🔥 ファイアウォール(不正なパケットをブロック)
│
▼
🚨 IDS/IPS(不審な通信を検知・遮断)
│
▼
🌐 DMZ(公開サーバーを置く非武装地帯)
├─ Webサーバー
└─ メールサーバー
│
▼
🔥 内部ファイアウォール
│
▼
🏠 内部ネットワーク
├─ APサーバー
└─ DBサーバー
│
▼
🌐 WAF(Webアプリへの攻撃をブロック)
│
▼
⚙️ Webアプリケーション
3. 🔥 ファイアウォール
ファイアウォールとは?
ネットワークの入口・出口で通信を監視し、不正なパケットをブロックする仕組みです。
🏰 ファイアウォール = お城の門番
通っていいもの → 通過させる ✅
怪しいもの → 止める ❌
具体的には:
「ポート番号」「IPアドレス」「プロトコル」をもとに
通信を許可するか拒否するかを判断する
パケットとポートの基礎
📦 パケット(Packet)
└─ ネットワーク上を流れるデータの塊
└─ 宛先IP・送信元IP・ポート番号などが含まれる
🚪 ポート番号(Port)
└─ アプリケーションを識別する番号(0〜65535)
└─ 同じIPでも用途によってポートが違う
よく使うポート番号:
22 → SSH(サーバーへのリモート接続)
80 → HTTP(Webサイト・暗号化なし)
443 → HTTPS(Webサイト・暗号化あり)
25 → SMTP(メール送信)
3306 → MySQL(データベース)
5432 → PostgreSQL(データベース)
ファイアウォールの種類
① パケットフィルタリング型(第3・4層)
最もシンプルなファイアウォール
判断基準:
└─ 送信元IPアドレス
└─ 宛先IPアドレス
└─ ポート番号
└─ プロトコル(TCP/UDP)
例:ルール設定
✅ 送信元:どこでも → 宛先ポート:443 → 許可(HTTPS)
✅ 送信元:どこでも → 宛先ポート:80 → 許可(HTTP)
❌ 送信元:どこでも → 宛先ポート:3306 → 拒否(DBを外部公開しない)
❌ 上記以外 → すべて拒否
✅ メリット:処理が速い・シンプル
❌ デメリット:パケットの中身は見ない(アプリ層の攻撃は防げない)
② ステートフルインスペクション型(第3・4層)
パケットフィルタリングの進化版
「通信の状態(セッション)」を追跡して判断する
例:
内部PCがWebサーバーにHTTPS接続を開始
↓
ファイアウォールが「このセッションは正規の通信」と記憶
↓
サーバーからの返答パケットも自動で許可
(外部から突然来たパケットは拒否)
✅ パケットフィルタリングより賢い
✅ パケットを許可するルールを書かなくていいので、設定ミスが減りセキュリティも向上
✅ 現在最も広く使われる方式
③ 次世代ファイアウォール(NGFW)
アプリケーション層まで検査できる高機能版
できること:
└─ アプリケーションを識別(「これはZoom」「これはTorrent」)
└─ ユーザーIDと連携した制御
└─ SSL/TLS通信の中身を復号して検査
└─ IPS機能も内蔵
└─ マルウェアの検知・ブロック
代表例:
Palo Alto Networks・Cisco Firepower・Fortinet・Check Point
DMZ(非武装地帯)
DMZ(DeMilitarized Zone)= 外部と内部の中間にある特別なネットワーク
🌍 インターネット
│
┌───────┼────────────────────────────────┐
│ ▼ AWS/クラウド │
│ 🔥 外部ファイアウォール │
│ │ │
│ ┌────┴──────────────────┐ │
│ │ DMZ(非武装地帯) │ │
│ │ 🌐 Webサーバー │ │
│ │ 📧 メールサーバー │ │
│ └────┬──────────────────┘ │
│ │ │
│ 🔥 内部ファイアウォール │
│ │ │
│ 🏠 内部ネットワーク │
│ 🗄️ DBサーバー │
│ ⚙️ APサーバー │
└────────────────────────────────────────┘
なぜDMZが必要?
Webサーバーはインターネットに公開が必要
でもDBサーバーは絶対に公開してはいけない!
→ DMZで「公開してOKなゾーン」と「厳重に守るゾーン」を分ける
4. 🚨 IDS・IPS:不審な通信を検知・遮断
IDSとIPSの違い
🔍 IDS(Intrusion Detection System:侵入検知システム)
└─ 不審な通信を「検知して警告する」
└─ 通信はそのまま通す(止めない)
└─ 「火災報知器」のようなもの 🔔
🛑 IPS(Intrusion Prevention System:侵入防止システム)
└─ 不審な通信を「検知してブロックする」
└─ 通信を止めることができる
└─ 「自動消火システム」のようなもの 🧯
【配置の違い】
IDS:ネットワークをコピーして監視(インライン不要)
IPS:通信経路上に置く(インライン配置・通信を通過させて検査)
検知の方式
① シグネチャベース検知
└─ 既知の攻撃パターン(シグネチャ)と照合
└─ 例:「このパターンはSQLインジェクション」とDBに登録済み
✅ 既知の攻撃に強い
❌ 新しい攻撃(ゼロデイ)には無力
② アノマリ(異常)ベース検知
└─ 「通常の通信パターン」を学習して外れを検知
└─ 例:「このユーザーは通常日本からアクセスしているのに
突然ロシアからログイン」→ 異常と判断
✅ 未知の攻撃にも対応できる
❌ 誤検知が多い(正規の通信を攻撃と誤認することも)
5. 🌐 WAF(Webアプリケーションファイアウォール)
WAFとは?
通常のファイアウォール:
ポート番号・IPアドレスで判断
→ 443(HTTPS)は通す → Webアプリへの攻撃を素通り
WAF:
HTTPリクエストの「中身」まで検査
→ SQLインジェクション・XSS・CSRFなど
Webアプリ特有の攻撃をブロック!
WAFが守るもの
WAFが検知・ブロックする攻撃:
💉 SQLインジェクション
📜 XSS(クロスサイトスクリプティング)
🔄 CSRF
📂 ディレクトリトラバーサル
🌐 SSRF
🤖 不審なボット・スクレイピング
💥 DDoS攻撃の一部
WAFの種類
| 種類 | 特徴 | 例 |
|---|---|---|
| ☁️ クラウド型 | 導入が簡単・DNSを向き先変更するだけ | Cloudflare・AWS WAF |
| 🖥️ アプライアンス型 | 物理機器をネットワークに設置 | Fortinet・Imperva |
| 💻 ソフトウェア型 | サーバーにソフトをインストール | ModSecurity |
AWS WAFの実例
AWS WAFでできること:
① IPアドレスのブロック
特定のIP・国からのアクセスを拒否
② マネージドルール
AWSが提供する攻撃パターンをワンクリックで適用
└─ SQLインジェクション対策ルール
└─ XSS対策ルール
└─ Amazonが既知の悪意あるIPをリスト化したルール
③ レートリミット
同一IPからの大量リクエストをブロック(DDoS対策)
④ カスタムルール
「このURLへのアクセスは日本のIPだけ許可」など
独自のルールを追加
6. 💥 DDoS攻撃
DDoSとは?
DoS(Denial of Service)攻撃は、大量のリクエストを送りつけてサーバーをダウンさせる攻撃です。DDoS(Distributed DoS) はこれを複数の場所から分散して行う攻撃です。
【DoS攻撃】
攻撃者PC ──→ 大量リクエスト ──→ サーバー 💀
【DDoS攻撃】
感染PC① ╮
感染PC② ┤ 一斉に大量リクエスト → サーバー 💀
感染PC③ ┤
⋮(数万〜数百万台)╯
→ 攻撃者は乗っ取ったPC(ボット)を大量に使う
被害者(感染PC)のユーザーは気づいていない!
DDoS攻撃の種類
① ボリューム型(帯域幅を枯渇させる)
└─ 大量のパケットを送りつけて回線を埋める
└─ 例:UDPフラッド・ICMPフラッド
└─ 規模:数百Gbps〜数Tbps
② プロトコル型(サーバーリソースを枯渇させる)
└─ TCP接続の仕組みを悪用
└─ 例:SYNフラッド
TCPの3ウェイハンドシェイクを開始して
完了させない → サーバーが接続待ちで詰まる
③ アプリケーション型(Webサーバーを狙う)
└─ 少ないパケットで大きな処理を発生させる
└─ 例:HTTPフラッド・Slowloris
└─ WAFで対策が必要
実際の事例:
2023年:ChatGPTがDDoS攻撃でサービス停止(数時間)
2022年:Google Cloudが2.54Tbpsの攻撃を防いだ(当時最大規模)
DDoS対策
✅ クラウド型DDoS対策サービス(最も効果的)
AWS Shield:
├─ Standard(無料):一般的なDDoSを自動防御
└─ Advanced(有料):大規模攻撃・サポート付き
Cloudflare:
└─ DNSをCloudflare経由にするだけで保護
└─ 世界中のエッジで攻撃を吸収
✅ その他の対策:
□ CDNで通信を分散(Cloudflare・CloudFront)
□ レートリミット(同一IPからの大量リクエストを制限)
□ IPブロックリスト(既知の攻撃元IPを拒否)
□ Anycastルーティング(攻撃を世界中のPOPに分散)
7. 🦠 マルウェアの種類と感染経路
マルウェアとは?
悪意を持って作られたソフトウェアの総称です。「malicious(悪意ある)」+「software」の造語です。
マルウェアの種類
🔒 ランサムウェア(Ransomware)
└─ ファイルを暗号化して「身代金」を要求
└─ 最も被害が大きいマルウェア
└─ 実例:2021年 IPA(情報処理推進機構)が
「最も脅威となるサイバー攻撃」の1位に認定
└─ VPN機器の脆弱性・メールの添付ファイルから感染
🕵️ スパイウェア(Spyware)
└─ ユーザーの行動・情報を密かに収集・送信
└─ キーロガー(キー入力を記録)を含む場合も
└─ パスワード・クレジットカード番号が盗まれる
🤖 ボット(Bot)
└─ 攻撃者に遠隔操作されるマルウェア
└─ DDoS攻撃の「兵隊」として使われる
└─ 感染端末のユーザーは気づかないことが多い
🐛 ワーム(Worm)
└─ ネットワークを通じて自己増殖する
└─ 人の操作なしに自動で拡散する
└─ 実例:WannaCry(2017年)→ 150カ国・30万台に感染
🐴 トロイの木馬(Trojan Horse)
└─ 正規のソフトを装って侵入するマルウェア
└─ インストールされると内部でバックドアを開く
└─ 無料ソフト・クラック版ソフトに混入されることが多い
📢 アドウェア(Adware)
└─ 広告を強制表示する
└─ それ自体は軽微だが、スパイウェアと組み合わさることも
🚪 バックドア(Backdoor)
└─ 攻撃者が後で侵入するための「裏口」
└─ 他のマルウェアによって設置されることが多い
└─ 長期間気づかれずに潜伏することも
マルウェアの感染経路
📧 メールの添付ファイル・リンク(最も多い!)
└─ 「請求書.pdf.exe」のような偽装ファイル
└─ Officeファイルのマクロを悪用
└─ フィッシングメールのリンクから感染
🌐 Webサイト経由(ドライブバイダウンロード)
└─ 悪意あるサイトを閲覧するだけで感染
└─ ブラウザの脆弱性を突く
└─ 正規サイトが改ざんされて罠になることも
💾 USBメモリ・外部記録媒体
└─ 拾ったUSBを刺すだけで感染
└─ 取引先からもらったUSBに混入
📦 ソフトウェアのインストール
└─ 無料ソフト・クラック版に混入
└─ 公式を装った偽のアップデート通知
└─ サプライチェーン攻撃(正規の開発環境に混入)
🔓 脆弱性の悪用
└─ パッチが当たっていないOSやソフトの欠陥を突く
└─ VPN機器・ルーターの脆弱性からネットワーク侵入
マルウェア対策
✅ エンドポイント対策:
□ アンチウイルス・EDR(Endpoint Detection and Response)
□ OSとソフトウェアを常に最新に保つ
□ 不審なメール・添付ファイルを開かない
□ 出所不明のUSBを刺さない
✅ ネットワーク対策:
□ ファイアウォール・WAF・IDSでネットワーク境界を守る
□ 怪しいサイトをブロックするDNSフィルタリング
□ メールのマルウェアスキャン
✅ バックアップ・復旧対策:
□ 定期的なバックアップ(ランサムウェア対策に必須)
□ バックアップをオフライン・別ネットワークに保管
□ 復旧手順を事前に確立・テストする
✅ 人的対策:
□ セキュリティ教育(フィッシングメール訓練等)
□ 最小権限の徹底(感染しても被害範囲を限定)
□ インシデント発生時の報告フローを整備
8. 🎣 フィッシングとソーシャルエンジニアリング
フィッシング攻撃の最新手口
📧 ビジネスメール詐欺(BEC:Business Email Compromise)
└─ 経営幹部・取引先を装ったメールで送金を指示
└─ 「至急!社長の〇〇です。△△に送金してください」
└─ 年間被害額:世界で数十億ドル規模
🎯 スピアフィッシング
└─ 特定の人・組織を狙い撃ちした高度なフィッシング
└─ 本人の名前・役職・業務内容を調べて
「本物らしいメール」を送る
└─ LinkedInやSNSの情報を悪用することも
📱 スミッシング(SMS フィッシング)
└─ SMSで「荷物が届いています」「口座に問題があります」
└─ URLをタップさせてフィッシングサイトへ誘導
└─ 宅配便・銀行・マイナポータルを装うことが多い
フィッシングの見分け方
| チェックポイント | 確認方法 |
|---|---|
| 📧 送信元メールアドレス | ドメインが微妙に違う(arnaz0n.co.jp等) |
| 🔗 リンクのURL | 実際のURLをマウスオーバーで確認 |
| 😰 焦らせる文言 | 「今すぐ」「24時間以内」「アカウント停止」 |
| 🖊️ 日本語の不自然さ | 機械翻訳っぽい表現・誤字 |
| 📎 不審な添付ファイル | .exe・.zip・Officeファイル(マクロ注意) |
9. 📋 まとめ
| 技術・概念 | 役割 | 守るもの |
|---|---|---|
| 🔥 ファイアウォール | パケットを許可・拒否 | ネットワーク全体 |
| 🌐 DMZ | 公開・非公開ゾーンを分離 | 内部ネットワーク |
| 🔍 IDS | 不審な通信を検知・警告 | ネットワーク全体 |
| 🛑 IPS | 不審な通信を検知・遮断 | ネットワーク全体 |
| 🌐 WAF | Webアプリへの攻撃をブロック | Webアプリケーション |
| 💥 DDoS対策 | 大量リクエストを吸収・分散 | サービスの可用性 |
| 🦠 マルウェア対策 | 感染防止・検知・復旧 | エンドポイント全体 |
| 🎣 フィッシング対策 | 人的な騙しを防ぐ | 認証情報・金銭 |
ネットワークセキュリティは「多層防御」の考え方が基本です。ファイアウォール→IDS/IPS→WAFと複数の壁を重ねることで、1つが突破されても次の層で止めることができます🛡️
次回はセキュリティ設計と運用を解説します!多層防御の設計・セキュアコーディング・ログ監視・インシデント対応・脆弱性管理など、実務で必要な知識をまとめます🌟
💬 質問や感想があれば、コメント欄でお気軽にどうぞ!
👍 役に立ったら、いいね&ストックをお願いします!
🎓 ここまで読んでくださって、本当にありがとうございました!
🔗 シリーズ記事
- 【第一回】CIA三原則・脅威・脆弱性・リスクをやさしく解説
- 【第二回】認証・認可・暗号化・ソーシャルエンジニアリング
- 【第三回】Webアプリケーションの攻撃と防御
- 【第四回】ネットワークセキュリティ(この記事)
- 【第五回】セキュリティ設計と運用(近日公開)
- 【第六回】最新のセキュリティトレンド(近日公開)