SOHOでのファイアウォール設定
ルーター(境界)でのファイアウォール設定
- 「ステートフル・パケット・インスペクション(SPI)」の有効化: 通信の整合性をチェックし、内部から要求していない外部からの勝手なアクセスを遮断する基本機能をオンにする。
- 不要なポートの閉鎖(ポート開放の最小化): NASや防犯カメラのためにポートを開放している場合、必要最小限に絞る。可能な限りポート開放ではなく「VPN」経由でのアクセスに切り替える。
- IPv6ファイアウォールの確認: 近年の接続方式(IPoEなど)ではIPv6が標準だが、ルーター側でIPv6のフィルタリングが適切に設定されているか(外部から素通しになっていないか)を確認する。
- UPnP(ユニバーサル・プラグ・アンド・プレイ)の無効化: アプリが勝手にルーターのポートを開けてしまう機能をオフにし、予期せぬ外部経路が作られるのを防ぐ。
PC・サーバー(エンドポイント)側の設定
- OS標準ファイアウォールの常時有効化: Windows Defender ファイアウォールや macOS のファイアウォールを「オン」にする。公共のWi-Fiに接続する可能性があるラップトップは「パブリックネットワーク」プロファイルに設定する。
- 「内向き」通信の制限: 外部からの接続だけでなく、同じLAN内の他のPCからの通信も必要最小限(ファイル共有など必要なものだけ)に絞り、万が一1台が感染した際の被害拡大を抑える。
- アプリケーションごとの許可設定: 通信を許可するアプリを厳選し、身に覚えのないアプリや古いソフトが通信を行おうとした際に警告が出るように設定する。
NASやIoT機器専用のフィルタリング
- NAS内蔵ファイアウォールの活用: NASの管理画面から、接続を許可するIPアドレスの範囲(例:日本のIPアドレスのみ、あるいは社内のIPレンジのみ)を限定するホワイトリスト運用を検討する。
- 不必要なサービスの停止: SSH、FTP、Telnetなど、業務で使用しない管理用プロトコルはファイアウォールレベル、またはサービス設定レベルで無効化する。
- 国別ブロック(ジオブロッキング): 海外からのアクセスが必要ない場合は、特定の国からの通信を国別に一括で遮断する設定を行い、海外発のサイバー攻撃の確率を下げる。
ログの監視と定期的な見直し
- 拒否ログのチェック: 定期的にファイアウォールのログを確認し、特定のIPから執拗なアクセス試行がないかを確認する。あまりに攻撃が激しい場合は、そのレンジを明示的に拒否リストに加える。
- 設定変更時の即時反映: 新しいデバイスを追加したり、ネットワーク構成を変えたりした後は、ファイアウォールのルールが意図通りに機能しているか(穴が開いていないか)を再点検する。
- 「IDS/IPS(侵入検知・防止システム)」との連携: 高機能なルーターやUTMを利用している場合は、単なるパケット遮断だけでなく、通信パターンから攻撃を検知する機能を併用して防御力を高める。
