ステートフルインスペクションとは? ~ステートフルフェールオーバーとの違いやメリットをご紹介~

ステートフルインスペクション(Stateful Packet Inspection)とは、パケットフィルタリング型ファイアウォールの一種で、パケットの内容に合わせて許可・禁止の判断を変化させるダイナミックなパケットフィルタリング機能です。
ステートフルインスペクションを活用すれば、高い防御性能と、ルールの簡素化を実現できます。
本コラムでは、ステートフルインスペクションについて、仕組みや機能、導入のメリットなどをご紹介いたします。
1. ファイアウォールは3種類ある
ステートフルインスペクションを理解する上で知っておきたいのが、ファイアウォールの基本の仕組みについてです。
ファイアウォールとは、コンピュータネットワークの境界で情報セキュリティ保護のために通過させてはいけない通信を遮断するシステムのことです。
ファイアウォールには、「パケットフィルタリング型」「サーキットレベルゲートウェイ型」「アプリケーションゲートウェイ型」の3種類があります。
パケットフィルタリング型ファイアウォールとは
3種類のうち、パケットフィルタリング型ファイアウォールは、通信を細分化した送受信データの塊である「パケット」を監視するタイプのファイアウォールです。ネットワークを通過しようとしているパケットが、あらかじめ許可されたリスト(ホワイトリスト)に合致するパケットのみを通過させます。リストには、送信元情報(IPアドレス・ポート)や宛先情報を設定します。
シンプルな仕組みであるため、パケットだけではセキュリティリスクが判断できない攻撃を回避することができません。そのため、ほかのファイアウォールやセキュリティ製品と組み合わせて導入する必要があります。
2. ステートフルインスペクションとは
上記の「パケットフィルタリング型ファイアウォール」は、さらにスタティックなパケットフィルタリングとダイナミックなパケットフィルタリングに分けられます。
スタティックなパケットフィルタリングでは、設定されたIPアドレスやポート、宛先情報を参照してアクセスの許可や禁止を判断します。
ダイナミックなパケットフィルタリングでは、パケットの内容に合わせて許可・禁止の判断を変化させます。スタティックなパケットフィルタが、外部と内部の双方向通信を行う際に外部から内部、内部から外部の双方の通信が明示的に許可されている必要があるのに対し、ダイナミックなパケットフィルタリングでは、どちらか一方の通信が許可されれば、その場でルールが作成されて、その通信への返信に限り、通信が許可されます。
ステートフルインスペクション(Stateful Packet Inspection)とは、上記のうち、ダイナミックなパケットフィルタリングの一種で、過去のパケット通信履歴と照らし合わせて、状況や与えられた条件といったコンテキスト(文脈)からパケットが正当な手順で送信されたものであるかどうかを判断し、動的にポートを開いたり閉じたりする機能のことをいいます。
ステートフルインスペクションとステートフルフェールオーバーとの違い
ステートフルインスペクションと言葉の似た機能にステートフルフェールオーバーがあります。
ステートフルフェールオーバーとは、ファイアウォール側のサーバーに障害が発生した際に、別のファイアウォールへ処理を引き継ぐ機能のことです。
ステートフルインスペクションとステートフルフェールオーバーは、ともにファイアウォールの主要機能です。
3. ステートフルインスペクションの仕組み・機能
ステートフルインスペクションではまず、社内ネットワークなどのLAN側からWAN(インターネット)に送信したデータを、セッションログとして一時的に保存します。
そして、WAN側から到着したパケットとセッションログを照合し、整合性が取れるかどうかを確認します。
その上で、問題がないと判断された場合のみ、通信を許可します。
4. ステートフルインスペクションのメリット
ステートフルインスペクションは、通信状態を時系列で監視します。さらに、送受信の両方を監視します。また、通信の前後関係を確認することから、送信元の偽装によるアクセスも遮断することが可能です。
このため、高セキュリティである点が最大のメリットです。
また、送受信の片方のルールからもう片方のルールをその場で作成できるため、ルールを簡素化できる点もメリットです。
5. まとめ
ステートフルインスペクションはファイアウォールのうちのパケットフィルタリングの一種です。さらにパケットフィルタリングのうちのダイナミックなパケットフィルタリングに属します。
ステートフルインスペクションには、高セキュリティであったり、ルールを簡素化できたりするというメリットがあります。
ファイアウォールを導入・見直しの際は、ファイアウォールの種類の違いを知り、高セキュリティなものを選択した上で防御できる範囲を把握しましょう。1種類のファイアウォールだけで防御が不足する場合は、複数のファイアウォール製品や、その他のセキュリティソリューションと組み合わせて利用する必要があります。
Concept Book
ローコード開発・業務プロセスのデジタル化で豊富な実績を持つintra-martが、お客様のビジネスにどのような効果をもたらすのか、特長や導入効果など製品コンセプトを詳しくご紹介しています。

お困りごとがありましたら、お気軽にご相談頂ければと思います。