ネットワークを構築するうえで、「つながること」と同じくらい重要なのが守ること=セキュリティ対策です。
本記事では、セキュリティ設計の基礎であるファイアウォール・ACL・VPNの役割やしくみ、設計時のポイントを解説します。
特にプリセールスにとっては、“抜け”が許されない領域。エンジニアにとっては障害対応で頻出のトピックです。
ネットワークセキュリティとは?
ネットワークセキュリティは、許可されていないアクセスや通信を防ぎ、内部資産を保護することを目的とします。
守るべき対象は多岐にわたります
- サーバーやPCなどの機器
- 機密情報を含む通信
- 攻撃者からの外部アクセス
セキュリティは「あとから足すもの」ではなく、最初から組み込む設計思想(Security by Design)が理想です。
ファイアウォール(Firewall)の役割と動作
ファイアウォールとは?
ファイアウォールは、ネットワーク間の通信に対して通過可否を制御する装置・機能です。
基本的には「誰が・どこから・どこへ・どんな通信を」行うかを条件に、通信を許可または拒否します。
主な制御基準
| 条件 | 例 |
|---|---|
| 送信元IP | 192.168.1.100 |
| 宛先IP | 10.0.0.10 |
| ポート番号 | TCP 80, UDP 53 |
| プロトコル | TCP / UDP / ICMP |
種類
| タイプ | 特徴 |
|---|---|
| パケットフィルタ型 | L3/L4レベルで制御(シンプル・高速) |
| ステートフル型 | セッション単位で通信を追跡(多くのFWが該当) |
| アプリケーション型 | L7まで解析。HTTP/HTTPSの中身まで検査(UTMなど) |
ACL(Access Control List)との違い
ACLは、スイッチやルーターが持つアクセス制御の仕組みで、機能としてはファイアウォールと似ています。
◆ ACLの特徴
| 項目 | 内容 |
|---|---|
| 実装対象 | L3スイッチ、ルーター |
| 制御レベル | IP/ポート単位(L3/L4) |
| 主な用途 | VLAN間通信の制御、社内アクセス制御など |
| メリット | シンプルで高速 |
| デメリット | セッション管理やアプリケーション制御は不可 |
ACLとファイアウォールの使い分け
- 社内ネットワーク内の簡易制御:ACLで十分
- 外部との境界防御や詳細制御:ファイアウォールを使用
→ 両方をレイヤ的に併用する設計が多い(ACLは“前さばき”、FWは“深い検査”)
ゾーンとトラストの概念(セキュリティゾーン設計)
ファイアウォール製品では、ネットワークを「ゾーン(信頼区分)」に分けて管理します。
ゾーンの例
| ゾーン名 | 内容 |
|---|---|
| Trusted(内部) | 社内ネットワーク |
| Untrusted(外部) | インターネット |
| DMZ | 公開サーバー(Web、DNSなど)用ネットワーク |
| VPN Zone | リモートアクセス専用ゾーン |
ゾーン間通信には、ポリシー定義が必須です。
「DMZから社内へは基本NG」など、ゼロトラストに近い思想で設計するのが望ましいです。
VPN(Virtual Private Network)の基礎
VPNとは?
VPNは、インターネットなどの“信用できないネットワーク”を使いながら、安全な通信経路(トンネル)を確保する技術です。
種類と違い
| 種類 | 特徴・用途 |
|---|---|
| IPSec VPN | 拠点間接続向け。高セキュリティ。機器間で構成 |
| SSL-VPN | リモートアクセス向け。ブラウザベースで利用可 |
| L2TP/IPSec | Windowsなどで使いやすいが、設定がやや複雑 |
| クラウドVPN | AWS/AzureでのVPC間接続など。IPSecが主流 |
設計時のポイント
- 認証方式(ユーザー名/パスワード、証明書など)
- VPN接続のゾーン分離(VPNユーザーが社内全体にアクセスできて良いか)
- クライアント数の同時接続上限
設計・提案時に聞くべきセキュリティ要件
| 観点 | 質問例 |
|---|---|
| 外部公開 | Web/DNSなど外部公開サーバーはありますか? |
| セグメント分離 | 社内ネットワークは部署や業務で分かれていますか? |
| リモートアクセス | 社員のVPN接続は必要ですか? 何名分ですか? |
| 通信制御 | 外部と内部の通信制御ポリシーは定義されていますか? |
| ログ監視 | 通信ログの保存や監視は必要ですか?(UTM連携など) |
セキュリティでありがちな落とし穴
- ケース1:VPN経由のアクセスが遅い
-
- 原因:すべての通信を社内経由にしていた(フルトンネル構成)
- 対策:スプリットトンネル構成で社内アクセスだけをVPN経由に変更
- ケース2:ファイアウォールにポートを空けたら通信できない
-
- 原因:通信は双方向。戻り通信が遮断されていた
- 対策:ステートフルインスペクションを利用 or 明示的に戻りポートも開ける
まとめ
ネットワークセキュリティは、“守る”ための設計と制御の技術です。
ファイアウォールやACL、VPNの基本を理解することで、セキュアかつ柔軟なネットワーク構成を提案・運用することができます。
特にプリセールスにおいては、セキュリティの設計要件を“聞けるかどうか”が大きな差になります。