次世代ファイアウォールとプロキシの根本的な違い：最適なアーキテクチャの重要性

ビジョンを持ち、不屈の精神と実行力で、そして運も味方にして、一企業が従来にはない考え方で大きな課題に挑んだ結果、業界全体に変革をもたらすことが稀にあります。かつて、エンタープライズアプリの増加を受けて次世代ファイアウォールが登場しました。従来の「城と堀」のセキュリティモデルが十分に通用していた時代に生まれたこのアーキテクチャは、当時のニーズに合った考え方であり、ネットワークセキュリティのあり方を変化させました。

今日、私たちは同じような転換期を迎えています。過去1年間でクラウドの採用やデジタルトランスフォーメーションに拍車がかかり、アプリ、ユーザ、ワークロードがあらゆる場所に点在するようになったことで境界線が消滅しました。現代のクラウドファースト、モバイルファーストの世界では、ネットワークセキュリティに対する従来のアプローチが通用しなくなりつつあります。企業は、単純に性能が高いだけでなく、サイバー脅威の防御とデータ保護をより高度に実現できる画期的な変革を求めています。従来のファイアウォールがNGFWへ進化した時とは異なり、WANのファブリックを再定義し、インターネットが新しい企業ネットワークになっていることを理解する、新たなアーキテクチャが必要となっています。つまり重心がデータセンタからクラウドに移行しているアーキテクチャです。かつては境界線で機能していたアプローチでは、今の時代に対応できないのです。

レガシーなベンダは、これまでの変化への対応と同様に、ファンレス設計や物理ネットワークポートの廃止といったハード面を除き、アーキテクチャを根本的に変更せずに従来製品のリフト＆シフトでクラウド移行に対応しようとしています。ファイアウォールベンダがプロキシアーキテクチャの重要性を認識していることは良いのですが、一部のベンダは、「クラウド上のファイアウォール」へトラフィックをリダイレクトするためだけにプロキシを使用しようとしています。これでは、クラウドネイティブで、真のエッジとして、高いスケーラビリティを持つプロキシアーキテクチャが持つパフォーマンスとセキュリティの利点を否定することになります。

私たちが10年以上前にネットワークとセキュリティを再定義する取り組みを開始した際に重視したのは、従業員、クラウド、顧客、そしてパートナーの間を接続する真のプロキシを中心にして、包括的なクラウドネイティブなアーキテクチャを構築することでした。これを正しく実現できれば、SSLを含むすべてのトラフィックの全トランザクションに対して高速のインスペクションが可能になります。境界線やデータセンタの端に強固な扉を付ける方法は、もはや効果がありません。今回のブログでは、クラウドファーストでデジタル化が進む今、なぜ適切なアーキテクチャが重要なのかを説明します。

1. 適切なインスペクションなしで、セキュリティの確保は不可能。Zscaler Zero Trust Exchangeのような真のプロキシは、すべてのSSL/TLSトラフィックを含めたあらゆる接続をインラインで完全にインスペクションして接続を終了させ、サイバー攻撃とデータ損失を徹底して防ぎます。プロキシを単にトラフィックの転送に使用するファイアウォールベースのパススルーアーキテクチャとは異なり、Zscalerのプラットフォームは、AIを活用して脅威やデータ漏洩のシグネチャをパケットごとに分析して判定し、しかもすべてを、ラインレートの速さで処理します。
   
   すべてのファイアウォールはストリーム単位の処理を行うため、ポリシーの適用には一定数のパケットを読み込む必要があります。この場合、対策の実施前に、コマンド＆コントロール、データ、不正ペイロードが、ふるいからこぼれるようにすり抜けることがあります。その点において、Zscalerの真のプロキシアーキテクチャは、1つのパケットも漏らしません。さらには、プラットフォームで未知のファイルを保持し、隔離してインスペクションを実施して、攻撃者が毎日大量に送りつけてくる未知のマルウェアを阻止します。適切なインスペクションが実施できなければ、巧妙な攻撃者は、「きめが粗く遅い」ことによるパケットの漏れや、最初の被害者にして感染源となる、ペイシェントゼロの保護がないことを利用して、破壊的な攻撃をしかけてくることになります。
    
2. リフト＆シフトではない、真のクラウドネイティブアーキテクチャの必要性。Zscalerのクラウドネイティブなマルチテナントプラットフォームは、独自に設計されたアーキテクチャを採用し、数十億件のトランザクションに対応し、AIや機械学習を用いて数兆のシグナルを処理して、暗号化トラフィックに対して制限なくインスペクションを実施しています。これは、仮想アプライアンスをパブリッククラウドに展開するシングルテナントのアーキテクチャとは一線を画すものです。実証済みの拡張性、パフォーマンス、信頼できる明確なSLAによって、世界最大規模の企業をいくつもサポートしています。仮想ファイアウォールのアプローチでは、SSLインスペクションの性能が限界に達すると、利用者はセキュリティを外すか、接続を中止するかのいずれかの選択を迫られますが、真のプロキシアーキテクチャではこのようなことは決して発生しません。
   
   Zscalerのプラットフォームは、GartnerのSASE（Secure Access Service Edge） フレームワークをベースに、あらゆるトラフィックを、全機能にわたってすべてシングルパスで処理します。これは、デイジーチェーン方式のプロキシのように、ポリシーを適用するために従来の仮想ファイアウォールアプライアンスにトラフィックを転送し、情報漏洩防止のためにまた別のプロキシに転送するというアプローチではありません。優れたセキュリティの実現に、複雑性は敵です。異なるテクノロジスタックをネイティブに統合できなければ、パフォーマンスや、セキュリティ、信頼性は当然のことながら低下します。　　

デジタルトランスフォーメーションによって従来のネットワークセキュリティが効力を失いつつある中、Zscalerは、真のクラウドネイティブプロキシアーキテクチャに基づき、クラウドセキュリティの技術革新を加速させています。プロキシ革命に新たな企業が参入することは、クラウドがネットワークに代わって将来のデジタルビジネスの基盤になることをさらに証明することであり、喜ばしいことです。当社はこれまで、クラウドセキュリティを牽引する立場にありましたが、健全な競争は、私たちが第一に重視するお客様にとっても良いことだと理解しています。当社は、2020年 Gartner セキュアWebゲートウェイのMagic Quadrantでリーダーの1社と評価されました。その理由とZero Trust Exchangeの詳細をぜひご覧ください。

次回のブログでは、たとえクラウド上に存在したとしてもNGFWがゼロトラストアーキテクチャを実装できない原因、クラウドホスト型の仮想ファイアウォールで最新機能を追加する際に6～9か月も要する理由、そして堅牢なクラウドネイティブエッジのあるべき姿について紹介する予定です。

最適なアーキテクチャこそが、すべてを変えることができます。