Zpedia 

/ Firewall as a Serviceとは

Firewall as a Serviceとは

Firewall as a Service (FWaaS)は、ネットワーク セキュリティ テクノロジーの一種で、URLフィルタリング、高度な脅威対策、侵入防止システム(IPS)、DNSセキュリティなどのアクセス制御を含む、高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウド ファイアウォールを指しています。

fs
ネットワーク セキュリティクラウド セキュリティ
  1. 重要な理由
  2. FWaaSの台頭
  3. FWaaSとNGFWの比較
  4. 必要な理由
  5. 仕組み
  6. 主なメリット
  7. Zscalerのソリューション
  8. おすすめのリソース
  9. 関連するトピック

FWaaSが重要である理由

FWaaSのコンセプトは、ネットワーク ファイアウォール アプライアンスの仮想化のみに留まるものではありません。FWaaSを使用することで、組織はファイアウォール アプライアンスを排除し、ITインフラストラクチャーを簡素化しつつ全体的なサイバーセキュリティを改善することが可能です。また、管理は単一のコンソールから一元的に行えるようになり、変更管理やパッチ管理、サービス停止期間の調整、NGFWアプライアンス関連のポリシー管理などの課題を克服すると同時に、ユーザーが接続する場所を問わず組織全体で一貫したポリシーを提供することが可能となります。

FWaaSと通常のファイアウォールの違い

従来型のオンプレミス ファイアウォールは、オフィスのネットワーク トラフィックを検査することを念頭に構築、プログラムされていました。一方で、FWaaSはその名の通りクラウド経由で配信されます。これらの主な違いは、オンプレミス ファイアウォールは変化するネットワークの要件と進化を続ける脅威の状況に合わせて拡張、適応するのが難しい点です。FWaaSはクラウド ネイティブであるためどちらにも対応でき、データの保護やエンドポイントの安全性の維持、綿密なセキュリティ検査を行うための格段に便利なツールを組織に提供できます。

業務がすべてオフィス内で行われていた時代は、従来型のファイアウォールでも十分なネットワーク セキュリティを提供できていました。この頃の脅威の範囲は、従業員が勤務時間の大半を過ごす企業のオフィスに限定されていたため、セキュリティ部門とIT部門は外部までファイアウォールのサービスを拡張する必要はありませんでした。

しかし、SaaSなどのクラウド サービスを活用する組織が増え、エンドポイントがさまざまな場所に分散し、新たな脅威が発生し続けている現在、データ センターにファイアウォールを置くだけでは十分なセキュリティを確保できません。ファイアウォールはクラウドに置き、あらゆる場所のリソースと従業員を保護できるよう拡張する必要があります。

FWaaSの台頭

企業または地域のデータ センターのNGFWにトラフィックをバックホールすることは、アプリケーションがそのようなデータ センターに存在しており、ほとんどの従業員がオフィスで働いていた時代には理にかなっていました。しかし、アプリケーションがデータ センターからクラウドに移行し始め、支店の数やリモート ワークの規模が拡大するにつれて、NGFWの効果は薄れてきています。

その後、コロナ禍で従業員が企業ネットワークから離れることを余儀なくされ、さまざまな場所から接続するようになったことで、NGFWも含め、従来のネットワークやセキュリティのアプローチは十分に機能しなくなっています。他のアプライアンス同様、NGFWはクラウドを念頭に構築されたものではないためです。

Quote

単に従来のセキュリティ ツールと機能をクラウドに移行して運用すれば良いというものではなく、適切なテクノロジーを導入する必要があります

Frederik Janssen氏, Siemens グローバルITインフラストラクチャー ポートフォリオ担当バイス プレジデント、Frederik Janssen氏

FWaaSとNGFWの比較

SalesforceやMicrosoft 365などのクラウド アプリケーションは、インターネット経由で直接アクセスできるように構築されています。しかし、高速なユーザー エクスペリエンスを提供するためには、インターネット トラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータ センターのNGFWにルーティングしてインターネットに出力することは、理にかなわなくなりました。

ただし、従来のセキュリティ アプローチをローカル インターネット ブレイクアウトに適用すると、あらゆるロケーションで企業のセキュリティ スタックを複製する必要が出てきます。これにより、NGFWまたはセキュリティ アプライアンスのスタックをすべての支店に導入する必要が生じますが、これらすべてを導入、管理することはコストと複雑性の両面から現実的ではありません。

繰り返しとなりますが、NGFWはクラウド アプリケーションをサポートできるようには構築されていません。NGFWは、クラウド アプリに関連して発生する大量かつ長時間の接続をサポートできるようなスケーラビリティーを有していないため、すぐに過負荷状態に陥ります。また、SSLで暗号化されたトラフィックをネイティブに処理することもできません。暗号化されたトラフィックが過去数年間で劇的に増加していることを考えると、この点の重要度は高まってきています。

SSLインスペクションを実行するには、NGFWにプロキシ機能を追加し、ソフトウェアでその処理を行う必要があります。ハードウェアでの処理はパフォーマンスに大きな影響を及ぼし、ユーザー エクスペリエンスの低下を招くためです。

FWaaSソリューションは、ディープ パケット インスペクションなどの機能の実行において非常に高い能力を備えています。また、クラウド ネイティブなため、情報漏洩防止においても従来のソリューションよりはるかに適していると言えます。FWaaSはクラウド上で構築されているため、NGFWでは不可能な方法でセキュリティを拡張することが可能です。ただし、NGFWのベンダーはこの点を認めないかもしれません。多くの場合、こうしたベンダーのセキュリティ ソリューションは仮想化されたファイアウォール アプライアンスに過ぎず、緩衝材としての機能は果たせても、クラウド セキュリティやハイブリッド ワーク向けのセキュリティとして長期的に機能するものではありません。

企業がFWaaSを必要とする理由

組織はスケーラビリティーを高めるためにAWSなどのクラウド インフラストラクチャー プロバイダーを採用していますが、それでもすべてのユーザーと場所に対し、組織全体でエンタープライズ ファイアウォール機能を提供する必要があります。残念ながら、10年以上前に構築されたNGFWはクラウド アプリケーションやクラウド コンピューティング全般の動的な要件のサポートを念頭に置いていません。

これらの仮想ファイアウォールに相当するものも、従来型のNGFWアプライアンスと同じ制限と課題を多く抱えており、現代のサイバー攻撃に対する有効性は高くありません。したがって、アプリケーションがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。

FWaaSの仕組み

FWaaSを使用することで、セキュリティ アプライアンスの購入や導入、管理の必要なく、すべてのアプリケーションに対して安全なローカル ブレイクアウトを確立できます。完全なレイヤー7ファイアウォールを含むセキュリティ機能が弾力的に拡張できるクラウド サービスとして提供され、SSLインスペクションや増え続ける帯域幅とユーザーからの要求、および長時間にわたるクラウド アプリケーションのトラフィックを処理することが可能です。

単一のコンソールから一元管理することで、組織は本社、支店、自宅など、接続する場所を問わず、あらゆるユーザーやデバイス、宛先に対して同じ保護を提供できます。

FWaaSの特長

FWaaSは、NGFWに比べ以下のような点で優れています。

  • プロキシベースのアーキテクチャー:このアーキテクチャーでは、すべてのユーザー、アプリケーション、デバイス、場所におけるトラフィックを動的に検査することが可能です。SSL/TLSトラフィックを大規模かつネイティブに検査して、暗号化されたトラフィックに潜むマルウェアを検出し、ネットワーク アプリ、クラウド アプリ、ドメイン名(FQDN)、URLに基づく複数のレイヤーにわたってきめ細かいファイアウォール ポリシーを適用します。
  • クラウドIPS:クラウドベースのIPSは、接続の種類や場所にかかわらず、常時有効な脅威対策とカバレッジを提供します。検査の難しいSSLトラフィックも含め、ネットワーク内外のすべてのユーザー トラフィックの検査を実行し、ユーザー、アプリ、インターネット接続を完全に可視化します。
  • DNSのセキュリティと制御:防御の最前線として、クラウド ファイアウォールは悪意のあるドメインにユーザーが到達しないように保護します。DNS解決を最適化することで、CDNベースのアプリにとって特に重要なユーザー エクスペリエンスとクラウド アプリケーションのパフォーマンスを向上します。また、DNSトンネリングを検知、防止するためのきめ細かな制御も可能です。
  • 可視性と簡素化された管理:クラウドベースのファイアウォール サービスは、プラットフォーム全体にわたりリアルタイムの可視化、制御、ポリシーの即時適用を実現します。また、すべてのセッションの詳細なログを作成し、高度な分析を使用してイベントを関連付けるだけでなく、すべてのユーザー、アプリケーション、API、場所の脅威と脆弱性に関するインサイトを単一のコンソールから提供します。
  • ゼロトラストの準備:クラウド セキュリティに関しては、ゼロトラスト フレームワークより優れた選択肢はありません。ゼロトラストの一要素としてFWaaSを活用することで、リモート ワークの時代に必須のセキュア アクセス サービス エッジ(SASE)フレームワークに沿って、エンドポイントのユーザーにセキュリティ ポリシーを適用できます。さらに、ゼロトラストではネットワークにアクセスする必要性がなくなるため、レイテンシーを低減できます。

以上、FWaaSによってセキュリティ態勢を改善する仕組みを見てきましたが、「では、FWaaSの導入を進めるにはどうすればよいのか」という疑問が浮かぶかもしれません。データ、エンドポイント、クラウド、IoTに対する保護を強化できるサービス プロバイダーは数多く存在するものの、クラウドのためのファイアウォールをクラウドで構築しているベンダーは1社しかありません。それがZscalerです。

Zscaler Cloud Firewallの特長

Zscaler Firewallは統合されたZscaler Zero Trust Exchange™の一部であり、すべてのポートとプロトコルを対象に、あらゆる場所のすべてのユーザーに次世代ファイアウォールの制御と高度なセキュリティを提供します。高速で安全なローカル インターネット ブレイクアウトが可能になるほか、100%クラウド上にあるため、ハードウェアの購入や導入、管理の必要がなくなります。

NGFWを使用すると、無数のセキュリティ機能を後付けすることになり、セキュリティ態勢は全体的として柔軟性に欠け脆弱なものになります。一方、Zscaler Firewallでは、以下のようなことが可能です。

  • きめ細かいポリシーを定義し瞬時に適用する
  • 全体的な可視性の確保し、リアルタイムで実用的な情報に転換する
  • 常時稼働のIPSをすべてのユーザーに適用する
promotional background

Zscaler Firewallは、FWaaSとして優れた保護を提供し、組織のアジリティーとセキュリティを強化します。

デモを依頼する

おすすめのリソース

クラウド世代ファイアウォールによるゼロトラスト セキュリティの実現
ウェビナーを見る(英語)
Zscaler Cloud Firewallによるネットワーク トランスフォーメーションの簡素化
eBookを読む
Zscalerの次世代クラウド ファイアウォール
Zscaler Cloud Firewall - 安全なクラウドへの移行を実現するガイド
ホワイト ペーパーを入手
クラウド ファイアウォールのないSD-WANでは不十分な理由
ブログを読む
01 / 03