Skip to content Skip to navigation Skip to footer

ステートフルファイアウォールとステートレスファイアウォールの違い

ファイアウォールは、特定のトラフィックの種類のみを通過させることでネットワークを保護するアクセス制御技術です。インターネットはサイバー脅威で満ちています。特定の種類のデータを阻止しなければ、安全にアクセスすることはできません。阻止しなければ、マルウェアがネットワークに侵入し、接続されているあらゆるデバイスに感染を広げてしまう恐れがあります。

ファイアウォールは、パケットデータを監視・制御します。パケットデータは基本的にデータの集合体であり、宛先に到達するためにそのデータがどのように処理されるべきかという指示子を含んでいます。ファイアウォールは、パケット内のデータに脅威が含まれているかどうかを、データのネットワークへの接続方法や通過方法などから検証します。

ファイアウォールは、各パケットのデータの振る舞いやデータそのものを検証し、それが脅威であるかどうかを判断します。ファイアウォールは、悪意のあるデータを検知して排除することで、ネットワークを保護します。

ファイアウォールはどれも同じでは?

ファイアウォールにはいくつかの種類があるため、組織の目的に応じて最適なものを選択する必要があります。ネットワークファイアウォールは、ネットワークハードウェア上で動作します。一方、ホストベースのファイアウォールは、ホストコンピュータ上で動作し、コンピュータ環境内からネットワークトラフィックをフィルタリングします。

また、データとアプリケーションの両方を検証し、同時に侵入防御やWebフィルタリングを実行する次世代ファイアウォール(NGFW)もあります。

ステートフルファイアウォールとは?

テートフルファイアウォールは、パケットデータ、データの特性、通信経路のすべてを検証します。ステートフルファイアウォールは、パケットデータの振る舞いを検証し、疑わしいデータをフィルタリングします。また、ステートフルファイアウォールは、データの振る舞いを追跡し、振る舞いのパターンをカタログ化します。

パケットデータの検査で疑わしい振る舞いが見つかった場合、たとえそのような振る舞いが管理者によって手動で入力されていなかったとしても、ファイアウォールはそれを脅威として認識し、対応します。ステートフルファイアウォールは、ネットワークのエッジで使用することも、インターナルセグメンテーションファイアウォールのようにネットワークの特定のセグメントを保護し、悪意のあるコードが内部に侵入した場合に備えて内部で使用することもできます。

ステートレスファイアウォールとは?

ステートレスファイアウォールは、パケットデータの送信元や送信先などのパラメータを使用して、そのデータが脅威であるかどうかを判断します。このパラメータは、管理者または製造者があらかじめ設定したルールに基づいて入力する必要があります。

パケットデータが想定したパラメータの許容範囲を超えると、ステートレスファイアウォールプロトコルは、脅威を特定し、その脅威を含むデータを制限または阻止します。

ステートレスファイアウォールとは

あらゆる規模のあらゆるネットワークエッジを保護

方法を見る

ステートフルファイアウォール対ステートレスファイアウォールの良い点と悪い点

ステートレスファイアウォールは、パケットデータがどこに向かっているのか、どこから送信されたのかなどの情報をもとに、そのデータが脅威であるかどうかを判断します。パラメータは、管理者または製造者があらかじめ設定したルールに基づいて入力する必要があります。

ステートレスファイアウォールは、パケットデータが想定した許容範囲を超えると、脅威を特定し、その脅威を含むデータを制限または阻止します。

ステートフルファイアウォールの良い点

  1. ステートフルファイアウォールは、ネットワークへ侵入しようとする不正データを検知します。
  2. ステートフルインスペクションファイアウォールは、ネットワーク接続の重要な要素をログに記録し、保存します。
  3. ステートフルファイアウォールは、多くのポートを開放しなくてもスムーズな通信を確保します。
  4. ステートフルネットワークファイアウォールは、攻撃の振る舞いを記録し、その情報を使って、潜在的な攻撃をより効果的に防きます。これは、ステートレスネットワークファイアウォールに勝る最大の利点の1つです。例えば、特定のサイバー攻撃に遭遇した場合、アップデートすることなく、自動的にその攻撃を阻止することができます。   
  5. ステートフルファイアウォールは動作しながら学習し、過去のイベントに基づいて、どのような保護を実行すべきかを決定します。つまり、1つのデバイスで複数のセキュリティ機能を実行する強力な統合脅威管理(UTM)ファイアウォールソリューションなのです。

ステートフルファイアウォールの悪い点

  1. ステートフルファイアウォールのソフトウェアを最新版に更新しないと、ハッカーに脆弱性を悪用され、乗っ取られてしまう恐れがあります。
  2. 一部のステートフルファイアウォールは、悪意のあるネットワークへの接続を見破れず許可してしまうものもあります。
  3. ステートフルファイアウォールは、攻撃者がトラフィックを盗み見たり、トラフィックに変更を加える目的で2者間の通信を傍受する中間者攻撃(MITM)の影響を受けやすくあります。
ステートフルファイアウォールの良い点と悪い点を参照

ステートフルファイアウォールとステートレスファイアウォール、どちらを選ぶべき?


ステートフルとステートレスのファイアウォールプロトコルの違いを理解した上で、どちらを選ぶべきかについて考えてみましょう。どのファイアウォールを組織内に展開するかを決める際には、以下の点を考慮する必要があります。

個人に対するファイアウォールのニーズ

ステートフルファイアウォールはコストが高いので、個人ユーザーは、ステートレスファイアウォールでも問題ないでしょう。しかし、ステートフルファイアウォールは、過去の事象や受信するデータからトラフィックのフィルタリング方法を学習する「インテリジェント」なソリューションであることを覚えておくことは有益でしょう。

一方、ステートレスファイアウォールは、ネットワークに影響を与えるトラフィックや攻撃の種類に精通した人物による詳細な設定が必要となる場合が多くあります。このため、ステートレスファイアウォールを使用する前に、ファイアウォールに関する知識をより多く習得する必要があります。しかし、実際は、時間や工数の制約から、なかなか難しいのが現状です。

小規模企業に対するステートフルファイアウォール対ステートレスファイアウォールのニーズ

中小企業向けのファイアウォールについては、手頃な価格のステートレスファイアウォールがお勧めです。中小企業は大企業に比べ、トラフィックが少ないため、脅威に直面することも少なくなります。このため、中小企業のオーナーは比較的簡単にステートレスファイアウォールを設定することができます。

エンタープライズに対するステートフルファイアウォール対ステートレスファイアウォールのニーズ

大企業の場合は、ステートフルファイアウォールが適しています。ステートフルファイアウォールは、動的なパケットフィルタリングが可能で、過去のネットワークアクティビティから収集したデータを使用して、新しい脅威の危険度を把握し、あらゆる脅威に対応することができます。

フォーティネットのファイアウォール

フォーティネットが提供するさまざまなファイアウォールは、異なる種類のネットワークアーキテクチャーに適合するように設計されています。FortiGate NGFW の機能は、自動的にアップデートされ、常に進化する脅威に対応し、ネットワークに侵入するマルウェアを防御します。FortiGateは、攻撃者の一歩先を行く柔軟な保護機能を提供します。

フォーティネットはWebアプリケーションファイアウォール(WAF)も提供しており、ゼロデイ脅威、OWASPトップ10攻撃、既知および未知の脆弱性からビジネスクリティカルなアプリケーションを保護します。フォーティネットのWAFは、デスクトップとモバイルの両方のインターネットユーザーを保護するだけでなく、多くの企業が中断のない運用のために使用しているアプリケーションプログラミングインターフェース(API)も保護します。WAFは、機密データの漏洩、インジェクション攻撃、および既知の脆弱性を含むコンポーネントを守ります。

現代の企業の多くは、アプリケーションによって支えられています。アプリケーションは、オンプレミスのサーバーに置かれている場合もあれば、さまざまなクラウドインフラストラクチャーに置かれている場合もあります。組織が円滑に機能するためには、組織と、組織がサービスを提供する企業や人々が、アプリケーションに安全にアクセスできることが不可欠です。このためには、応答性と適応性を兼ね備えたネットワーキングとセキュリティのソリューションが必要となります。

このニーズに応えるため、フォーティネットはソフトウェア定義型広域ネットワーク(SD-WAN)とNGFWを組み合わせ、適応性のあるクラウドセキュリティを提供しています。セキュリティを犠牲にすることなく、あらゆるクラウドに必要なアプリケーションを展開できるため、ユーザーは、使用しているデバイスの種類やアプリケーションがホストされている場所に関係なく、NGFWの保護を享受することができます。