[インターネット接続エリア]社内LANを社外へ導く

 次にインターネット接続エリアを見てみよう(図3)。一般家庭と同じように、企業でもインターネットに接続する場合にはISPに接続する。その際、社内ネットワークとインターネット(社外ネットワーク)をつなげる仲介役となる機器が必要だ。

図3●インターネット接続エリア
インターネット接続エリアは、社内のLANとインターネットを結びつける機器が存在する。ファイアウオールに代表されるゲートウエイ機器が代表的だ。また社外に公開するサーバーなどもここに設置される。DMZ(DeMilitarized Zone、安全地帯の意味)と呼ぶ。
[画像のクリックで拡大表示]

 教科書的にはここで「ルーター」が登場する。しかし実際の企業ネットワークでは、純粋なルーターはほとんど出てこない。ルーティング機能に加えて、セキュリティ機能を備えた、ファイアウオールやUTMを使うのが一般的である。

 インターネット接続エリアでは、内部(社内)、外部(インターネット)、DMZの3つにゾーンを分ける。ゾーン分割とは、データやアプリケーションを配置する場所をセキュリティレベル(ポリシー)の違いに合わせて変えることだ。それぞれに適切なセキュリティルールを適用できる。ゾーン分けもファイアウオールの提供機能の1つである。

外部の攻撃から守る

 インターネットは不特定多数の利用者が存在するネットワークである。ファイアウオールの第1の役割は外部の攻撃から社内ネットワークを守ることだ。不要な外部からの接続を禁止する。

 昨今のファイアウオールには、多くのセキュリティ機能が実装されている。そのうちの1つがアプリケーションの識別だ。従来のファイアウオールにも、ポート番号をチェックして、プロトコルの種別によって通信の可否を決める機能はあった。これを「パケットフィルタリング」と呼ぶ。しかし、最近は「BitTorrent」のようなファイル共有ソフトやSNSの「Facebook」、音声通話の「Skype」など、あらゆるアプリケーションがHTTPを使って外部にアクセスする。ポート番号だけで判別するパケットフィルタリングではこうした通信をそれぞれ区別して、止めたりできない。

 そこで、通信データの中身を検査してアプリケーションの種類を判別し、許可したアプリケーションのパケットだけを通す。この機能は高いCPU性能が必要だが、最近では多くのファイアウオールが搭載している。

▼ISP
Internet Service Providerの略。インターネット接続事業者。
▼ファイアウオール
「防火壁」という意味がある。
▼UTM
Unified Threat Managementの略。各種セキュリティ機能を1台にまとめたゲートウエイ機器。
▼DMZ
DeMilitarized Zoneの略。
▼ポート番号
TCPやUDPのポート番号は利用するアプリケーションに紐付いている。
▼SNS
Social Networking Serviceの略。
▼HTTP
HyperText Transport Protocolの略。Webの通信に使うプロトコル。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら