🛡️ ファイアウォールの進化:Stateless FilteringからSPI、そして次世代ファイアウォールへ
はじめに
ファイアウォールは、ネットワークセキュリティの基盤として長年にわたり進化してきました。その歴史は大きく分けて3つのステージに分類できます。
-
Stateless Packet Filtering – パケット単位の単純なルール判定
-
Stateful Packet Inspection(SPI) – 通信の状態を追跡して精度を高めた仕組み
-
次世代ファイアウォール(NGFW) – アプリケーション層まで踏み込んだ多機能防御
この記事では、それぞれがどのような課題に応えて生まれたかを歴史の流れで解説します。
⏳ 第1世代:Stateless Packet Filtering
仕組み
-
パケットごとに 送信元IP・宛先IP・ポート番号・プロトコル を見て通過/拒否を判断
-
ルータや基本的なACL(Access Control List)が典型例
課題
-
通信全体の「文脈」を理解できない
-
正規のポートを使った攻撃(例:ポート80/TCP経由の不正アクセス)を防げない
Statelessはシンプルで高速だが、「表面的なパケットの情報」しか見ないためセキュリティ強度は低い。
🔄 第2世代:Stateful Packet Inspection(SPI)
誕生の背景
1990年代、インターネット利用が拡大し、ポート偽装や不正セッション確立を狙う攻撃が多発。Statelessでは不十分となり、より「通信の流れ」を追える仕組みが求められました。
仕組み
-
セッション(状態)を追跡して正規の流れかどうかを判断
-
TCPなら3ウェイハンドシェイクを確認してから通過を許可
-
UDPやICMPも「擬似セッション」として状態テーブルで管理
メリット
-
セッション単位で防御でき、不正なパケットを高精度で遮断
-
内部からの通信に合わせて外部からの応答を許可(ダイナミックルール)
課題
-
状態テーブル管理によるリソース消費
-
DoS攻撃で状態テーブルが溢れる可能性
-
アプリ層攻撃(SQLインジェクション、XSSなど)は防げない
SPIは第1世代の限界を克服し、企業・家庭ルータに広く実装され、現在も標準的な技術として使われ続けている。
🚀 第3世代:次世代ファイアウォール(NGFW)
誕生の背景
2000年代に入ると、攻撃の主戦場は「アプリケーション層」へと移行しました。Webアプリの脆弱性を突く攻撃やマルウェア通信は、ポート番号だけで判断するSPIでは見抜けませんでした。
仕組み
-
アプリケーション識別(例:ポート80でもHTTPかP2Pかを判定)
-
コンテンツ検査(マルウェア、侵入パターンを識別)
-
IDS/IPS、アンチウイルス、URLフィルタリングなどの統合
メリット
-
アプリ層攻撃にも対応
-
セキュリティ機能を一元化(UTM的役割)
-
業務アプリと不要アプリを区別可能
課題
-
処理が重く、スループット低下の懸念
-
導入コスト・運用コストが高い
NGFWは強力だが、性能・コスト・運用負荷を理解せず導入すると逆にリスクを抱えることになる。
📊 進化の流れまとめ
| 世代 | 特徴 | 防げる攻撃 | 限界 |
|---|---|---|---|
| 第1世代 (Stateless) | パケット単位 | 不正なIPやポート利用 | ポート偽装、セッション乗っ取り |
| 第2世代 (SPI) | セッション単位 | 不正接続、セッション異常 | アプリ層攻撃 |
| 第3世代 (NGFW) | アプリ層+多機能統合 | アプリ層攻撃、マルウェア通信 | 処理負荷、コスト |
🎯 まとめ
ファイアウォールの進化は「どの層まで見えるか」という視点で理解できます。
-
第1世代:ヘッダ情報だけを見る(速いが浅い)
-
第2世代:通信の流れを見る(現代でも標準)
-
第3世代:アプリケーションの中身まで見る(高度だが重い)
試験や実務では「進化の流れ」と「各世代の得意・不得意」を理解しておくと、ファイアウォール技術を整理しやすい。