次世代ファイアウォールとは

次世代ファイアウォールと従来型ファイアウォールの比較

従来型のファイアウォールは、開放型システム間相互接続(OSI)モデルのレイヤー3および4で動作してアクションを通知し、ホストとエンド システム間のネットワーク トラフィックを管理します。そして、ポートとプロトコルに基づいたトラフィックの許可またはブロック、ステートフル インスペクション、定義されたセキュリティ ポリシーに基づく判断を下します。

ランサムウェアなどの高度な脅威は、ステートフル ファイアウォールを簡単に迂回するため、強化されたよりインテリジェントなセキュリティ ソリューションに対する需要が高まっています。

次世代ファイアウォール(NGFW)は2007年頃に登場し、Gartnerはこれを「ポート/プロトコルの検査やブロックに留まらず、アプリケーション層の検査、侵入防止、ファイアウォール外からのインテリジェンスの取り込みを追加するディープ パケット インスペクション ファイアウォール」と定義しました。従来のファイアウォールの機能を網羅し、さらにアイデンティティー、場所、アプリケーション、コンテンツに基づくポリシーの適用を可能にする、よりきめ細かい機能を備えています。

NGFWの仕組み

NGFWは、従来のファイアウォールよりネットワーク トラフィックを詳細に検査し、発信元を把握します。ネットワーク境界内に侵入して企業データにアクセスしようとしている悪意のあるトラフィックやそこに埋め込まれた脅威について、より多くの情報を集めることができます。

これまでのファイアウォールはOSIレイヤー3とレイヤー4でのみ動作しますが、NGFWはレイヤー7 (アプリケーション レイヤー)で動作可能です。つまり、最も危険で侵入しやすいアプリレベルの脅威を侵入前に阻止するため、修復にかかる時間やコストを削減することができます。

NGFWの機能

NGFWは、URLフィルタリング、ウイルス対策、リモート アクセスVPNのサポートなど、ステートフル インスペクションを行う従来のファイアウォールと同様の基本的な機能を提供するほか、高度なセキュリティ機能を多数備えており、従来のファイアウォールより優れていると言えます。

• アプリケーション認識：ポート、プロトコル、IPアドレスに関係なく、具体的なアプリケーション、そのコンテンツ、トラフィックの送信元と宛先などに基づいて、きめ細かいポリシーの適用とアプリケーション制御を可能にします。
• ディープ パケット インスペクション(DPI):ネットワーク パケットの内容を分析してアプリケーション レベルの詳細を特定し、この機能なしでは正当とみなされるトラフィックに潜む脅威を特定します。
• 侵入防止システム(IPS):トラフィックに不審なパターンや動作がないか検査することで、既知の脅威と未知の脅威のいずれをも検出してブロックします。
• ユーザー識別：ネットワーク アクティビティーを接続場所だけでなく具体的なユーザーに関連付け、ユーザーベースのポリシーおよびモニタリングに利用します。
• TLS/SSLインスペクション：現在のトラフィックの圧倒的多数を占めるTLS/SSL暗号化トラフィックを復号および検査して隠れた脅威を発見します(ただし、インスペクションはプロセッサーに大きな負荷がかかるため、ハードウェアに制約のあるファイアウォールではパフォーマンスが低下します)。
• 脅威インテリジェンスの統合：組織自身のネットワーク ノードのほか、公に得られるデータ、サードパーティーから得られるデータなど、複数のソースを使用して、新たに発見された脅威の情報に基づき保護を更新できます。

NGFWが必要な理由

サイバー脅威の現状を踏まえると、脅威に対する堅牢な保護が必要なのは明らかです。しかし、従来型のファイアウォールでは十分に対処できません。一方、NGFWはマルウェアを阻止するだけでなく、2020年にSUNBURSTにサプライ チェーン攻撃を行ったCozy Bearや、Log4Shellの脆弱性を悪用することで知られているDeep Pandaなどの高度な標的型攻撃(APT)を防ぐための豊富な機能を備えています。

さらに、脅威インテリジェンスの統合とネットワークとセキュリティの自動化のオプションにより、NGFWはセキュリティ運用を簡素化するだけでなく、組織がセキュリティ オペレーション センター(SOC)を完全に実現するための第一歩を踏み出す機会を与える役割を果たします。

このような高いポテンシャルを有するNGFWですが、いくつかの課題もあります。

NGFWの課題

物理的なNGFWアプライアンスの場合、ハードウェアを持つことによる制約のため、現在の環境のニーズを満たすような形で効果的に機能せず、いくつかの問題が生じます。

セキュリティのためのバックホール

NGFWへのバックホールは、データ センター、エンドポイント、リソースの大半がオンプレミス環境にあった時代には合理的でした。しかし現在、モバイル化やクラウド化の動きは拡大を続けており、これまでのデータ センターのNGFWハードウェアでは対応しきれなくなっています。

Microsoft 365などのクラウド アプリは、インターネット経由で直接アクセスできるように構築されています。しかし、VPNやNGFWを通じてアクセスやセキュリティを提供するには、すべてのトラフィックがその組織のデータ センターを通過する必要があり、通信速度を低下させてしまいます。高速なユーザー エクスペリエンスを提供するには、インターネット トラフィックをローカルにルーティングする必要があります。

ローカル インターネット ブレイクアウトの保護

ローカル インターネット ブレイクアウトはNGFWハードウェアで保護可能ですが、そのためには、各拠点に個別のセキュリティ スタックが必要になります。NGFWや場合によってはさらに多くのアプライアンスを、それぞれの拠点にすべて手作業で展開して維持する必要があり、最終的には交換も必要となるため、非常に複雑でコストがかかります。

TLS/SSL暗号化トラフィックの検査

現在、Webトラフィックのほぼすべてが暗号化されています。SSLインスペクションを実行するために、NGFWの大半はハードウェアではなくソフトウェアでインスペクションを実行するボルトオンのプロキシ機能を使用します。これはパフォーマンスに大きな影響を及ぼし、ユーザー エクスペリエンスを損ないますが、インスペクションを実施しなければ攻撃の85%以上を認識できません。

NGFWの種類

定義上、NGFWは、アプリケーション レベルで動作し、侵入防止と脅威インテリジェンスの統合を含むディープ パケット インスペクション ファイアウォールです。コア機能とは別に、NGFWには異なる3つの形式があります。

• ハードウェアNGFW:オンプレミス展開用に構築された物理アプライアンスです。専用のセキュリティ ハードウェアとして、主にデータ センターや物理アプライアンスを必要とするその他のユース ケースで使用されます。
• 仮想NGFW:仮想マシン(VM)上で実行されるソフトウェアベースのNGFWです。ハードウェアのみのNGFWよりも仮想化されたクラウドベースのアプリケーションやサービスに適した柔軟性や拡張性を備えていますが、組織自身のインフラストラクチャーに依存する点は変わらず、分割元のハードウェアが持つ処理能力の制約を受けます。
• クラウドベースのNGFWクラウドからサードパーティーのファイアウォール サービスを提供し、従来のデータ センターを通過しないトラフィックの保護を可能にします。クラウドネイティブ環境、分散型ネットワーク、リモート ユーザーの保護を目的に設計されており、スケーラビリティーの向上とセキュリティ管理の一元化を実現します。

クラウド ファイアウォールが今後主流となる理由

現代の企業はクラウドファーストであり、データを保護するためのセキュリティとアクセス制御を確立するためにより動的で最新の機能を必要としていますが、NGFWはそのニーズを満たせるような設計にはなっていません。

特にAWSやAzureのようなクラウド プロバイダーを利用する企業にとっては、依然としてローカル インターネット ブレイクアウト全体において企業用ファイアウォール機能が必要となります。NGFWはクラウド アプリケーションやインフラストラクチャーをサポートするようには構築されておらず、仮想ファイアウォールに相当する機能にも同様に制限があり、従来のNGFWアプライアンスと同じ課題を抱えています。

したがって、アプリがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。

クラウド ファイアウォールの4つの主なメリット

• プロキシベースのアーキテクチャー：この構造により、すべてのユーザー、アプリケーション、デバイス、場所のネットワーク トラフィックを動的に検査します。SSL/TLSトラフィックの大規模かつネイティブな検査によって、暗号化されたトラフィックに潜むマルウェアを検知するほか、ネットワーク アプリ、クラウド アプリ、完全修飾ドメイン名(FQDN)、URLに基づいて、複数のレイヤーにまたがるきめ細かいネットワーク ファイアウォール ポリシーを実現します。
• クラウドIPS:クラウドベースのIPSは、接続の種類や場所にかかわらず、常時有効の脅威対策とカバレッジを提供します。そして、検査が困難なSSLトラフィックだけでなく、ネットワーク内外のすべてのユーザー トラフィックを検査し、ユーザー、アプリ、インターネットの接続を完全に可視化します。
• DNSのセキュリティと制御：防御の最前線として、クラウド ファイアウォールはユーザーが悪意のあるドメインに到達するのを防ぎます。DNS解決を最適化することによって、CDNベースのアプリにとって特に重要である、ユーザー エクスペリエンスとクラウド アプリケーションのパフォーマンスの向上を実現します。また、きめ細かい制御も可能なため、DNSトンネリングの検知と防止も行えます。
• 可視化と管理の簡素化：クラウドベースのファイアウォールは、プラットフォーム全体にわたってリアルタイムの可視性や制御を提供し、セキュリティ ポリシーも即座に適用します。すべてのセッションを詳細に記録し、高度な分析を使用してイベントを関連付けるほか、すべてのユーザー、アプリケーション、API、場所に関する脅威と脆弱性のインサイトを単一のコンソールから提供します。

クラウド ファイアウォール機能をすべて実装できるプロバイダーはごく少数で、実績のある包括的なクラウド セキュリティ プラットフォームの一部として提供できるのはZscalerだけです。

Zscaler Cloud Firewall

Zscaler Firewallは、コストや複雑さの問題を伴わずに、NGFWアプライアンスよりも強力な機能を提供します。統合されたZscaler Zero Trust Exchange™の一部であり、次世代ファイアウォールの制御と高度なセキュリティを場所やポート、プロトコルに左右されることなくすべてのユーザーに提供し、高速で安全なローカル インターネット ブレイクアウトを可能にします。また100%クラウドで提供されるため、ハードウェアの購入、展開、管理は一切必要ありません。

NGFWを使用すると、無数のセキュリティ機能を後付けすることになり、セキュリティ態勢は全体的として柔軟性に欠け脆弱なものになります。一方、Zscaler Firewallでは、以下のようなことが可能です。

• きめ細かいポリシーを定義し瞬時に適用する
• 全体的な可視性の確保し、リアルタイムで実用的な情報に転換する
• 常時稼働のIPSをすべてのユーザーに適用する