Firewall as a Serviceとは Firewall as a Service (FWaaS)は、ネットワーク セキュリティ テクノロジーの一種で、URLフィルタリング、高度な脅威対策、侵入防止システム(IPS)、DNSセキュリティなどのアクセス制御を含む、高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウド ファイアウォールを指しています。

fs
見る

FWaaSが重要である理由

FWaaSのコンセプトは、単にネットワーク ファイアウォール アプライアンスの仮想化に留まりません。FWaaSを使用することで、組織はファイアウォール アプライアンスを排除でき、ITインフラを簡素化しつつ全体的なサイバー セキュリティを改善することが可能です。また、管理は単一のコンソールから一元的に行えるようになり、変更管理やパッチ管理、サービス停止期間の調整、NGFWアプライアンス関連のポリシー管理などの課題を克服すると同時に、ユーザーが接続する場所を問わず組織全体で一貫したポリシーを提供することが可能となります。

FWaaSが通常のファイアウォールと異なる点とは

従来型のオンプレミス ファイアウォールは、オフィスのネットワーク トラフィックを検査することを念頭に構築、プログラムされていました。一方で、FWaaSはその名の通りクラウド経由で配信されます。これらの主な違いは、オンプレミス ファイアウォールは変化するネットワークの要件と進化を続ける脅威の状況に合わせて拡張、適応するのが難しい点です。FWaaSはクラウド ネイティブであるためどちらにも対応でき、データの保護やエンドポイントの安全性の維持、綿密なセキュリティ検査を行うための格段に便利なツールを企業組織に提供できます。

業務がすべてオフィス内で行われていた時代は、従来型のファイアウォールでも十分なネットワーク セキュリティを提供できていました。この頃の脅威の対象は、従業員が業務時間の大半を過ごす企業のオフィスに限定されていたため、セキュリティ部門とIT部門は外部までファイアウォールのサービスを拡張する必要はありませんでした。

ところが現在は、SaaSなどのクラウド サービスを活用する企業組織が増え続けており、エンドポイントが至る所にあるようになり、新しい脅威も発生しているため、ファイアウォールを単にデータ センターに導入するだけでは事足りなくなりました。ファイアーウォールは、クラウド上に配備して、あらゆる場所のリソースと従業員を保護するために拡張する必要があるのです。

FWaaSの台頭

企業または地域のデータ センターのNGFWにトラフィックをバックホールすることは、アプリケーションがそのようなデータ センターに存在しており、ほとんどの従業員がオフィスで働いていた時代には理にかなっていました。しかし、アプリケーションがデータ センターからクラウドに移行し始め、支店の数やリモート ワークの規模が拡大するにつれて、NGFWの効果は薄れてきています。

その後、コロナ禍により従業員が企業ネットワークから離れることを余儀なくされ、どこからでも接続するようになったことで、NGFWを含むネットワークとセキュリティへの従来のアプローチでは不十分になりました。これは、他のアプライアンスと同様に、NGFWがクラウドを念頭に置いて構築されていないことに起因しています。

単に従来のセキュリティ ツールと機能をクラウドに移行して起動すれば良いということではなく、適切なテクノロジーを導入する必要があります。

Frederik Janssen氏, Siemens グローバルITインフラストラクチャー ポートフォリオ担当バイス プレジデント、Frederik Janssen氏

FWaaSとNGFWの比較

SalesforceやMicrosoft 365などのクラウド アプリケーションは、インターネット経由で直接アクセスできるように構築されています。しかし、高速なユーザー エクスペリエンスを提供するためには、インターネット トラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータ センターのNGFWにルーティングしてインターネットに出力することは、理にかなわなくなりました。

ただし、従来のセキュリティ アプローチをローカル インターネット ブレイクアウトに適用すると、あらゆるロケーションで企業のセキュリティ スタックを複製する必要が出てきます。これにより、NGFWまたはセキュリティ アプライアンスのスタックをすべての支店に導入する必要が生じますが、これらすべてを導入、管理することはコストと複雑性の両点において現実的ではありません。

繰り返しとなりますが、NGFWはクラウド アプリケーションをサポートできるようには構築されていません。NGFWは、クラウド アプリが作成する大量の長期間の接続をサポートできるようなスケーラビリティーを有していないため、容易に過剰負荷の状態に陥ってしまいます。また、SSLで暗号化されたトラフィックをネイティブに処理することもできません。暗号化されたトラフィックが過去数年間で劇的に増加していることを考えると、この点の重要度は高まってきています。

SSLインスペクションを実行するには、NGFWはチップ レベルではなくソフトウェアでSSLインスペクションを実行するプロキシー機能を追加する必要があります。しかし、それによりパフォーマンスに大きな影響が生じ、ユーザー エクスペリエンスが低下してしまいます。

FWaaSソリューションは、ディープ パケット インスペクションなどの機能を実行するより高い能力を備えており、クラウドネイティブでもあるため情報漏洩防止にもはるかに適しています。また、FWaaSはクラウド上で構築されているため、NGFWでは不可能な方法でセキュリティを拡張できますが、NGFWのベンダーがこの点を認めることはないかもしれません。多くの場合、そのようなベンダーのセキュリティ ソリューションは仮想化されたファイアウォール アプライアンスに過ぎず、緩衝材としての機能は果たせるでしょうが、長期的なクラウドおよびハイブリッドな働き方に向けたセキュリティを提供できるようには構築されていません。

企業がFWaaSを必要とする理由

組織はスケーラビリティーを高めるためにAWSなどのクラウド インフラ プロバイダーを採用していますが、それでもすべてのユーザーと場所に対し、組織全体でエンタープライズ ファイアウォール機能を提供する必要があります。残念ながら、10年以上前に構築されたNGFWはクラウド アプリケーションやクラウド コンピューティング全般の動的な要件をサポートすることを念頭に置かれてはいません。

これらの仮想ファイアウォールに相当するものも、従来型のNGFWアプライアンスと同じ制限と課題を多く抱えており、現代のサイバー攻撃に対する有効性は高くありません。したがって、アプリケーションがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。

FWaaSの仕組み

FWaaSを使用することで、セキュリティ アプライアンスの購入や導入、管理の必要なく、すべてのアプリケーションに対して安全なローカル ブレイクアウトを確立できます。完全なレイヤー7 ファイアウォールを含むセキュリティ機能が弾力的に拡張できるクラウド サービスとして提供され、SSLインスペクションや増え続ける帯域幅とユーザーからの要求、および長期間にわたって接続されるクラウド アプリケーションのトラフィックを処理することが可能です。

単一のコンソールから一元管理することで、企業組織は本社、支店、自宅など接続する場所を問わず、あらゆるユーザーやデバイス、宛先に対して同じ保護を提供できます。

FWaaSの特長

FWaaSには、NGFWに勝る以下のような特長があります。

  • プロキシーベースのアーキテクチャー:すべてのユーザー、アプリケーション、デバイス、および場所におけるトラフィックを動的に検査できるよう構築されています。SSL/TLSトラフィックを大規模にネイティブに検査して、暗号化されたトラフィックに潜むマルウェアを検出し、ネットワーク アプリやクラウド アプリ、ドメイン名(FQDN)、URLに基づいて、複数のレイヤーにまたがるきめ細かいファイアウォール ポリシーを可能にします。
  • クラウドIPS:クラウド ベースの侵入防止システム(IPS)は、接続の種類や場所を問わず、常時有効な脅威保護とカバレッジを提供します。さらに、ユーザー、アプリ、インターネット接続の完全な可視性を復元するために、検査が困難なSSLトラフィックを含むネットワーク上およびネットワーク外のすべてのユーザー トラフィックを検査します。
  • DNSセキュリティとコントロール:防御の最前線として、クラウドベースのファイアウォールによって、ユーザーが悪意のあるドメインに到達しないよう保護します。DNS解決を最適化することによって、CDNベースのアプリにとって特に重要となるユーザー エクスペリエンスとクラウド アプリケーションのパフォーマンスの向上を実現します。また、DNSトンネリングを検知、防止するためのきめ細かな制御も可能です。
  • 可視性と管理の簡素化:クラウドベースのファイアウォール サービスは、プラットフォーム全体にわたりリアルタイムの可視性、制御、および即座のポリシー適用を実現します。また、すべてのセッションを詳細にログに記録して、高度な分析を使用してイベントを関連付けるだけでなく、すべてのユーザ、アプリケーション、API、および場所の脅威と脆弱性に関するインサイトを単一のコンソールから提供します。
  • ゼロトラストへの備え:クラウド セキュリティの分野では、ゼロトラスト フレームワークよりも優れた選択肢はありません。ゼロトラストの一部としてFWaaSを活用することで、リモート ワークの時代に必須となるセキュア アクセス サービス エッジ(SASE)のフレームワークに沿って、エンドポイントのユーザーにセキュリティ ポリシーを提供できます。さらに、ゼロトラストはネットワーク アクセスの必要性を排除することで、レイテンシーを短縮することができます。

FWaaSがいかにしてセキュリティ ポスチャーを改善できるかについて見たところで、次に「FWaaS活用への道のりを始めるにはどうすれば良いか」という疑問が浮かんできます。FWaaSに関しては、データ、エンドポイント、クラウド、IoTに対する保護を強化できるサービス プロバイダーは数多く存在しますが、クラウド上にクラウド向けのファイアウォールを構築したベンダーはZscalerのみです。

当社が提供するZscaler Cloud Firewallの特長

Zscaler Cloud Firewallは統合されたZero Trust Exchange™の一部であり、すべてのポートとプロトコルを対象に、あらゆる場所のすべてのユーザーに次世代ファイアウォールの制御と高度なセキュリティを提供します。高速で安全なローカル インターネット ブレイクアウトが可能になるほか、100%クラウド上にあるため、ハードウェアの購入や導入、管理の必要がなくなります。

NGFWでは、無数のセキュリティ機能が追加されるため、全体的なポスチャーとして強固なものと脆弱なものが生じます。一方で、Zscaler Cloud Firewallには以下の特長があります。

  • きめ細かいファイアウォール ポリシーを定義して直ちに適用
  • 全体の可視性からリアル タイムの実用的な情報を獲得
  • すべてのユーザーにIPSの機能を常時提供

今こそ、セキュリティをクラウドに移行するときです。

デモをリクエストし、ZscalerのCloud Firewall as a Serviceがいかにして組織の敏捷性と安全性を高めるかお確かめください。

おすすめのリソース

  • クラウド世代ファイアウォールによるゼロトラスト セキュリティの実現

    ウェビナーを見る(英語)
  • Zscaler Cloud Firewallによるネットワーク トランスフォーメーションの簡素化

    eBookを読む
  • 次世代型クラウド ファイアウォールであるZscaler Cloud Firewall

    動画を見る(英語)
  • Zscaler Cloud Firewall - 安全なクラウドへの移行を実現するガイド

    ホワイト ペーパーを読む
  • クラウド ファイアウォールのないSD-WANでは不十分な理由

    ブログを読む(英語)