すべてのウェブサイトに保護が必要です。パソコンと同様に、オンラインサーバーも攻撃の対象になることがあります。ハッカーやその他の不正なトラフィックを排除する方法が必要です。そこでファイアウォールが登場します。

ファイアウォールとは何か…端的に言えば、コンピューターと「外の世界」との間にある壁です。

サイトを保護しないでいると、悪意のある行為により、サーバーに大混乱がもたらされる可能性があり、 WordPressサイトを保護するためにできる限りのことを行う必要があります。ファイアウォールの設定は、そのような手立ての最初の一歩です。

ただし、ファイアウォールにはさまざまなタイプがあり、どこから始めればよいかわからないかもしれません。

それでは、すべての種類のファイアウォール、ファイアウォールが必要なケース、サーバーにファイアウォールを設定する方法について、ご紹介します。

ファイアウォールとは? ファイアウォールが何をしてくれるの?

サイトにアクセスするときは、基本的には別のコンピューター(ウェブサーバー)に接続することになります。サーバーは特殊な種類ではあるものの、コンピューターに変わりはないため、あなたが使っているような普通のパソコンと同じ種類の攻撃を受ける可能性があります。

間に何らかの保護を設けずに別のデバイスに直接接続するのは、安全とは言えません。接続が確立されると、相手をマルウェアに感染させたり、DDoS攻撃を仕掛けたりすることがはるかに容易になります。

そこで、ファイアウォールの登場です。あなたと、接続しようとしている他のデバイスとの間、または(ウェブサーバーの場合には)サーバーと毎日何百、何千もの人々との間で、壁の役割を果たします。

ウェブサーバーへ接続する
ウェブサーバーへ接続する

それでは、ファイアウォールは一体どのように機能するのでしょうか?

ファイアウォールは、シンプルに、デバイスで送受信されるトラフィックを監視し、悪意のある行動の兆候に眼を光らせます。不審なものを検出した際には、それの目的地への到達を即座にブロックします。

コンピューターやサーバーの巨大な「ろ過システム」だとお考えください。

ファイアウォールは、それが開発されたときには、最小限のルールに基づいて受信するトラフィックを許可またはブロックする、という非常にシンプルなパケットアナライザでした。そして、これを回避するのは非常に簡単でした。

最近では、複雑なプログラミングに進化しており、あらゆる攻撃を阻止する上で有用で、すべてのデバイスに不可欠なソフトウェアとなっています。

いつファイアウォールが必要になるのか

こんな疑問をお持ちかもしれません。「ファイアウォールは、いつ必要なの?」、「…本当に必要?」と。

言うなれば、インターネットに接続するすべてのマシンにファイアウォールが必要です。パソコンだけでなく、ウェブサーバー、スマートフォン、IoTデバイスなど、インターネットを使用する機能を備えた全てが対象です。

保護のないデバイスは、システム侵入やマルウェア感染のいい餌食になります。

これにより、ハッカーによるコンピューター乗っ取りが発生。自由に何でもインストールし、銀行口座ログインなどの機密情報を入力するときに監視したり、ウェブカメラやカメラを覗いたり、マイクで聞いたりすることができます。

ウェブサーバーであれば、ハッカーが侵入に成功すると、ウェブサイトを改ざんしたり、訪問者に感染するマルウェアを組み込んだり、WordPress管理者ログイン情報を変更したり、サイトを完全に破壊したりできてしまいます。

404ページ
404ページ

ファイアウォールがないと、ウェブサイトや個人のデバイスでさえDDoS攻撃に対して脆弱です。DDoS攻撃は、数千または数百万の偽のパケットを送信してサーバーに過負荷をかけ、ウェブサイトまたはインターネットをダウンさせる攻撃です。

他にもあります。ファイアウォールは、あなたやあなたのウェブサイトを以下から守ることができます。

  • 侵入:ファイアウォールは、権限のないユーザーが遠隔でコンピューターまたはサーバーにアクセスし操作を行うことを防ぎます。
  • マルウェア:侵入に成功した攻撃者は、マルウェアを使いあなたやサーバーを感染させることができます。マルウェアは、個人情報を盗んだり、他のユーザーに拡散したり、コンピュータを損傷したりする危険性があります。
  • ブルートフォース攻撃:ハッカーが何百ものユーザー名とパスワードの組み合わせを試し、管理者(または他のユーザー)のログイン情報を見つけようとする手法です。
  • DDoS攻撃:ファイアウォール(特にウェブアプリケーションファイアウォール)は、DDoS攻撃発生時の偽トラフィックの検出を試みることができます。

ファイアウォールの種類

ファイアウォールにはさまざまな種類があり、それぞれ個別の状況向けに設計されています。単一のコンピューターに適したものもあれば、ネットワーク全体のフィルタリングのために用意されるものもあります。

これらはすべて動作が異なり、特定の種類のトラフィックをブロックするのに効果を発揮します。どれを使うべきかわからない人のために、主なファイアウォールの種類を個別にご紹介します。

まずは、簡単な方向性からです。独自のサーバースタックを管理(自らのインターネットを使いサイトを公開)しているケースを除き、主に考慮する必要があるファイアウォールの種類は、パーソナルファイアウォール、ソフトウェアファイアウォール、ウェブアプリケーションファイアウォールとなります。

これら3つが最も重要です。ただし、ファイアウォールがどのように機能しているのか、そして、ファイアウォールが長年にわたってどのように進化してきたかを詳しく理解したい場合は、残りの部分にも目を通してみてください。

パーソナルファイアウォール

ファイアウォールの動作は、単一のコンピューター、ネットワーク全体(オフィス内など)、またはウェブサーバーのどれで使用されるかによって大きく異なります。パーソナルファイアウォールは、1台のコンピューターでの使用を目的としています。これは、WindowsやMacにプリインストールされているファイアウォール、またはウイルス対策ソフトウェアに付属するファイアウォールです。

これはサーバーファイアウォールと同様の役割を果たし、予め定義された一連のルールに基づいて、他のデバイス、アプリケーション、IPからの接続を許可または拒否しますが、実際の機能は少し異なります。

パーソナルファイアウォールは、ウェブサイトやオンラインアプリケーションへの接続に使用するポートを保護(攻撃者に対して、これが開いていることがわからないようにするためにステルス状態にする)し、ネットワークを介しての攻撃から身を守り、他のユーザーによるコンピューターへのアクセスと乗っ取りを防ぎます。すべての受信、送信するトラフィックが分析されます。

これはまた、アプリケーションファイアウォールとしても機能し、デバイス上のアプリの挙動を監視し、安全でないまたは不明なソフトウェアとの接続を拒否します。

最近では、パーソナルファイアウォールの入手はかなり簡単です。最新バージョンのWindowsを使用しているならば、デフォルトですでに実行されているはずです。

Windows Defenderファイアウォール
Windows Defenderファイアウォール

Macにも付属していますが、自分でオンにする必要があります。これを行うには、「システム環境設定」>「セキュリティとプライバシー」>「ファイアウォール」をクリックします。

macOSのファイアウォールアプリケーション
macOSのファイアウォールアプリケーション

多くの場合、ウイルス対策ソフトウェアにも独自のファイアウォールが付属します。例として、Avastアンチウイルス があります。このソフトウェアファイアウォールはWindowsと互換性があり、防御の第2層として機能します。

有料のサードパーティのパーソナルファイアウォールも存在しますが、これはデフォルトのセットアップと競合してしまう可能性があります。

ハードウェアファイアウォールとソフトウェアファイアウォール

ファイアウォールには、ハードウェアファイアウォールとソフトウェアファイアウォールの2種類があります。ソフトウェアファイアウォールは、ダウンロードするタイプのプログラムであり、中央のコントロールパネルからすべてを監視します。ハードウェアファイアウォールは同様の機能を提供しますが、物理的に建物に設置されます。

気づいていないもしれませんが、おそらくあなたの家にもある種のハードウェアファイアウォールがあります。インターネットに接続するための機械であるルーターです。専用のハードウェアファイアウォールデバイスと完全に同じとは言えませんが、接続を監視し、許可または拒否する同様の機能を備えています。

ソフトウェアファイアウォールとハードウェアファイアウォールの両方がコンピューターと外界の間に位置し、侵入を試みる接続を注意深く分析します。これらのいずれかまたは両方をネットワーク上で実行することができます。

ただし、ハードウェアファイアウォールにはいくつかの欠点があります。セットアップが難しく、継続的なメンテナンスが必要であるため、一般に、単一のコンピューターや、IT部門のない非常に小規模な企業には適していません。特にソフトウェアファイアウォールと組み合わせると、パフォーマンスの問題が発生する可能性があります。また、デバイス上のアプリケーションのブロックやユーザーベースの制限には適していません。

一方、ハードウェアファイアウォールはコンピューターのネットワーク全体を保護できますが、そのためのソフトウェアのセットアップはより困難な作業になります。その他の特徴として、攻撃者が侵入を成功させた場合にソフトウェアを無効にすることはできますが、物理的デバイスを改ざんすることはできません。

ソフトウェアファイアウォールは、その名前が示すように、コンピューター上のプログラムを操作するのに最適です。ネットワーク上のアプリケーションのブロック、ユーザーの管理、ログの生成ユーザーの監視が専門です。ネットワーク全体としての設定をするとなると簡単ではありませんが、複数のデバイスにインストールすることで、より細かく制御できます。

パケットフィルタリングファイアウォール

最も単純なタイプであり、初期に開発されたのが、このパケットフィルタリングファイアウォールです。パケットとは、コンピューターとサーバーの間で交換されるデータです。リンクをクリックしたり、ファイルをアップロードしたり、メールを送信したりすると、パケットがサーバーに送信されます。そして、ウェブページを読み込むと、そこからあなたにパケットが送られます。

パケットフィルタリングファイアウォールは、上述のパケットを分析し、事前に定義された一連のルールに従ってパケットをブロックします。たとえば、特定のサーバーまたはIPアドレスから送信されたパケット、またはあなたのサーバー上の特定の場所を目指したパケットをブロックできます。

欠点:このファイアウォールは単純で、簡単にやり過ごせます。高度なルールを適用する術はありません。トラフィックによる特定のポートの通過を許可すると、パケットフィルタリングファイアウォールは、すべてを通過させてしまいます。たとえ、最新のファイアウォールにとって明らかに怪しいトラフィックであってもです。

唯一の利点は、非常にシンプルであるため、パフォーマンスにほとんど影響を与えないことです。トラフィックの検査、ログの保存、高度な機能の実行はありません。最近では、はるかに優れたソリューションがあるため、パケットフィルタリングファイアウォールは使用しないか、少なくとも、より高度な選択肢と併用する必要があります。

ステートフルファイアウォール

「ステートレス」の後、シンプルなパケットフィルターがステートフルファイアウォールテクノロジーへと変貌しました。これは、革新的な進化です。ステートフルファイアウォールは、ある特定の点を通過しようとするパケットを分析し単純なパラメータに基づいて拒否するのではなく、動的な情報を処理しながら、ネットワークを移動するパケットを監視し続けます。

単純なパケットフィルタリングファイアウォールは、IPアドレスやポートなどの静的な情報に基づいてのみブロックすることができます。一方、ステートフルファイアウォールは、パターンやその他の高度な概念を認識でき、不正なトラフィックの検出とブロックにより高い効果を発揮します。

ステートレスファイアウォールと比較した時の欠点として、パケットデータをメモリに格納してより厳密に分析することに加え、ブロックしたものと通過したもののログを保持するため、負荷がより大きくなります。しかし、これ自体は優れたソリューションでしょう。

ウェブアプリケーションファイアウォール

ウェブアプリケーションファイアウォールの仕組み
ウェブアプリケーションファイアウォールの仕組み

ステートフルテクノロジーは現在も使用されているものの、これだけでは、ネットワークを安全かつ効果的に維持するには不十分です。次の大きな進歩が、アプリケーションとウェブアプリケーションファイアウォールです。

従来のファイアウォールは、ネットワーク上の一般的なトラフィックのみを監視します。アプリ、サービス、またはその他のソフトウェアとの間で送受信されるトラフィックの検出には手間どうか、完全に失敗します。一方で、アプリケーションファイアウォールは、これらのプログラムに対応する設計で、ソフトウェアの脆弱性を利用し過去のファイアウォールをすり抜けるハッカーを捕えます。

また、ビジネスに便利なペアレンタルコントロールシステムとしても機能し、特定のアプリやウェブサイトへのアクセスを完全にブロックすることもできます。

ウェブアプリケーションファイアウォール(WAF)もこれと同様に機能しますが、コンピューター上のプログラムではなくウェブアプリを監視する点が異なります。ウェブアプリの例としては、サードパーティのフォームやショッピングカートのプラグインなど(サーバーにマルウェアを送信するために利用されることがある)が挙げられます。WAFがないと、これらの攻撃に対して脆弱になります。

多くのWAFはクラウドベースです。つまり、WAFの設定のためにサーバーに根本的な変更を加える必要はありません。ただし、ハードウェアやサーバーソフトウェア上に存在するケースもあります。

ウェブサイトを保護するファイアウォールサービスが必要な場合は、CloudflareSucuriなどのクラウドベースのWAFが便利です。これらは、複雑なウェブホストの設定をいじったり、高価なハードウェアをセットアップしたりすることなくインストールできます。

次世代ファイアウォール

最後にご紹介するのが、次世代ファイアウォール(NGFW)。最新のセキュリティテクノロジーの賜物です。これはエンタープライズグレードのツールであり、ここまでのすべてを1つにまとめた選択肢だとお考えください。ディープパケットフィルタリング、侵入防止、アプリケーションモニタリングなどなど、豊富なセキュリティ機能が搭載されています。

次世代クラウドファイアウォールはオンラインサービスとして存在しますが、WAFの方がはるかに一般的であり、さらに提供される機能は似通っています。ただし、1つのプログラムに完全なセキュリティ機能が詰め込まれた、最も高度なファイアウォールテクノロジーを利用したい場合には、NGFWが答えでしょう。

ファイアウォールを設定する方法

自らと、自分のサイトを守るためには、攻撃者を寄せ付けないための、質の高いファイアウォールが必要です。

パーソナルファイヤウォールについては、通常は、わざわざ自分で用意する必要はありません。Windows標準搭載のファイヤウォールがデフォルトでいい働きをしてくれます。さらに、ウイルス対策ソフトウェアに一般的に付属するアプリケーションファイアウォールと、ルーターのパケットフィルターもあれば、コンピューターには通常、何重もの保護が施されることになります。

自分のファイヤウォールがちゃんと有効になっていて、アンチウィルスソフトがインストールされていて、ルーターが適切に設定されていることを確認しましょう。同じことが、もちろんMacユーザーにも言えます。

それでは、保護を適用する必要のあるウェブサイトを所有している場合はどうでしょうか。

非常に話が違ってきます。サイトを保護してくれるビルトインツールは、それほど多くありません。多くの場合、サイトの保護はユーザー次第です。たとえば、WordPressには、ファイアウォールやサーバーを保護するその他のものはなく、だからこそ、セキュリティ強化プラグインを使用するのが一般的です。

WordPress開発者は普通、コードを最適化するために最善を尽くすものですが、脆弱性が発生した時に、(策を講じない限り)侵入を防ぐ術はありません。

すべてのサイトが須らくWAFの恩恵を受けられます。SucuriWordfenceCloudflareなどのオンラインサービスでは、セットアップにかかる時間はものの数分です。

Kinstaは、セキュリティ向上のために能動的、受動的な策を講じています
Kinstaは、セキュリティ向上のために能動的、受動的な策を講じています

ファイアウォールを自分でインストールすることに加えて、サーバーを適切に管理できるウェブホストを選択する必要があります。多くの安価なサーバーが、セキュリティを気にしておらず、サイトが攻撃を受けた際には、大きな問題が発生する可能性があります。

Kinstaは、ハードウェアファイアウォール、ブルートフォース攻撃検出、セキュリティ保証を含む、セキュアなWordPressホスティングをご提供しています。

KinstaとGoogle Cloud Platformのファイアウォール

Kinstaは、GCPファイアウォールを活用し、すべてのKinsta契約プランにセキュリティの層を追加しています。ご存じない方のために補足をしておくと、当社インフラストラクチャはGoogle Cloud Platform上に構築されており、サーバーでホストされている各ウェブサイトには、独自の独立したコンテナが用意されています。

サイトがGoogleの誇る一流テクノロジーで守られるため、すでにありとあらゆるホスティングを上回る安全性があります。そして、Google Cloud Platformファイアウォールのリリースにより、さらに上のレベルへ進化しました。

当社契約プランを利用するすべてのサイトは、Googleのファイアウォールにより保護されます。

これは、サードパーティのWAFとうまく機能するようにできています。競合はなく、ウェブサイトにさらなる保護がもたらされます。SucuriやCloudflareなどのサービスもあわせれば、サーバーは文字通り無敵状態です。

まとめ

最新のパソコンでは、ほとんどのオペレーティングシステムにファイアウォールがプリインストールされているため、通常はそれほど多くのことを行う必要はありません。ウェブサイトに関して言えば、あまりにも多くのホストがサーバーのセキュリティを真剣に捉えておらず、自分のサイトを守るのはあなた自身の仕事になります。

どんなサイズのサイトであってもサポートできる、信頼性の高いセキュリティインフラストラクチャに基づいたウェブホストをお探しであれば、Kinstaを是非ともご検討ください。セキュリティが保証されているため、ハッキングの被害に悩むことはありません。そして、万が一、鉄壁の守りが突破された際には、マルウェア除去を無料で実施いたします。

堅牢なセキュリティを備えた信頼性の高いホストを選択した場合でも、さらなる防御として、ウェブアプリケーションファイアウォールのインストールをお勧めします。Sucuriなどの優れたサービスや、WordPressセキュリティプラグインなどが利用できます。

Matteo Duò Kinsta

Head of Content at Kinsta and Content Marketing Consultant for WordPress plugin developers. Connect with Matteo on Twitter.