ファイアウォールポリシー整理と棚卸しの方法【定期メンテの実務】

企業ネットワークにおいて、ファイアウォール（FW）ポリシーの整理と棚卸しは、 年1〜2回必ず実施すべき重要メンテナンスです。

以下のような問題は、FWポリシーの「放置」が原因で起こります。

• どこにも使われていない“幽霊ルール”によりFWが複雑化
• ANY許可ルールが残り、セキュリティリスク増大
• ルールの順序が原因で通信が想定通りに制御されない
• 誰が・何のために設定したルールか分からない

本記事では、実務で使われている ファイアウォールポリシー整理・棚卸しの完全手順をまとめます。

結論：FWポリシー棚卸しの最適解

• 棚卸しは年1回必ず実施（推奨は年2回）
• 使用状況をログで確認してから削除判断
• 削除は即時NG、まず“無効化（Disable）期間”を挟む
• ANY許可ルールは上位から削減していく
• ルール順序の最適化（上から重要度・頻度順）
• アクセス元/宛先・サービスの分類体系を統一する

ここから実務で使える明確な手順を解説します。

1. 棚卸しの目的と実施タイミング

■ なぜ棚卸しが必要か？

• 運用が長く続くとポリシーが“増えるだけ”で整理されない
• ルールが多いほど障害調査が難しくなる
• 古いルールが残る＝セキュリティリスクが高い

■ いつ行うべきか？

• 推奨：半年に1回
• 最低ライン：年1回
• 大規模変更（NW刷新、クラウド移行）の後も必ず実施

2. 棚卸しの全体フロー

• 現状ポリシーを全件エクスポート
• ポリシーを分類（用途別・システム別）
• ログから使用状況を分析（Hit/未使用）
• 未使用ルールを抽出
• リスク評価（削除可否判断）
• 無効化（Disable）運用を一定期間実施
• 問題が無ければ削除
• ルール順序・記述統一を行い最適化

これだけで大規模FWも綺麗に整理できます。

3. 現状ルールをエクスポートして分類する

■ エクスポート項目例

• ルール名
• 送信元/宛先
• サービス（Port/Protocol）
• アプリケーション（次世代FWの場合）
• 動作（Allow/Deny）
• ログ出力設定
• 作成者・作成日（ある場合）
• Hit Count（可能な場合）

■ 分類の仕方（これが重要）

分類例：

• 【業務系】ERP、基幹、ファイルサーバ
• 【社内システム】Active Directory、DNS、NTP
• 【インターネット系】Web公開、メール
• 【機器管理】NW機器、監視サーバ（Zabbix等）
• 【VPN/拠点間通信】拠点VPN、クラウド接続

分類を行うだけで「何のためのルールか」が明確になります。

4. ログから使用状況を確認する（必須）

棚卸しで最も重要なのは 未使用ルールを洗い出すことです。

■ 確認ポイント

• Hit Count（ヒット数）
• 最終ヒット日時
• ログ未出力のルールは出力をONにする

■ 未使用判定の基準

• 過去1年間 Hit Count = 0 → “ほぼ不要”
• 半年間 Hit Count = 0 → “要調査”

使用状況を確認せずに削除するのは絶対にNGです。

5. 削除してよいルールの判断基準

■ 削除OKなルール

• 過去1年 Hit Count = 0
• 担当部署が「不要」と回答したルール
• プロジェクト終了済みの通信ルール
• 古いサーバ・廃止アプリ向け通信

■ 注意が必要なルール

• 管理系（監視・バックアップ）
• AD / DNS / NTP などの基盤通信
• 拠点VPNの心拍・Keepalive通信

特に管理系はログが少なく「未使用に見える」ため注意。

6. 安全な削除手順：まず無効化（Disable）期間を挟む

実務では、FWルールは即削除しません。 理由は、本番での想定外トラブルを避けるためです。

■ 正しい削除プロセス

1. 対象ルールを Disable（無効化） にする
2. 1〜2週間 影響が出ないか確認
3. 問題がなければ削除

特に基幹系システムでは“Disable→確認→削除”が常識です。

7. ANY許可ルールの削減方法

ANYのまま使われ続ける理由は
「怖くて触れない」
「用途が管理されていない」
の2つがほとんどです。

■ ANY削減の正しいやり方

1. ANYルールのHitログを確認
2. 使用されているポートだけに絞る
3. 未使用ポートは順次ブロックへ移動
4. 残したい通信を明文化し、他は遮断

いきなり “ANY → 特定ポート” に書き換えるのは危険なので、 必ず実運用ログから必要ポートを抽出します。

8. ルール順序の最適化（上位→下位）

FWは上位ルールから評価されるため、順番が非常に重要です。

■ 最適なルール順序（目安）

1. 拒否（Deny）ルール（緊急遮断）
2. 管理系（監視、バックアップ）
3. 基盤系（AD/DNS/NTP）
4. 業務システム（ERP、DB）
5. ユーザ通信（PC→サーバ）
6. 一般インターネット通信

重要な通信ほど上位へ置きます。

9. ルール名・コメントの記述を統一する

実務では、記述ルールの統一だけで管理性が大幅に向上します。

■ 推奨フォーマット

【カテゴリ】送信元→宛先：サービス名（用途）
例：ADDC_PC→DNS：TCP53（名前解決）

■ コメント欄の最低限の記述

• 用途
• 担当部署
• 有効/無効化日時
• チケット番号

これがあるだけで棚卸し時の判断速度が圧倒的に速くなります。

10. 棚卸しチェックリスト（コピペ用）

□ ポリシーを全件エクスポートしたか？
□ ルールを用途ごとに分類したか？
□ Hit Count（最終ヒット日時）を確認したか？
□ 1年間未使用のルールを洗い出したか？
□ 未使用ルールをDisableで一定期間運用したか？
□ コメント欄に用途・担当を記述しているか？
□ ANY許可ルールをログベースで最適化したか？
□ ルール順序を見直したか？
□ 新旧ルールの差分を記録したか？
□ 年次棚卸しのスケジュールを組んだか？

まとめ

ファイアウォールポリシーの棚卸しは、セキュリティ強化だけでなく、 障害対応のスピードや運用効率を大きく改善するメンテナンスです。

特に次の3点は鉄則です。

• ログを見て使用状況を判断する
• 削除前に“Disable期間”を設ける
• コメント・分類・順序を統一する

この3つを押さえるだけで、FW運用は格段に安定します。