リソース > セキュリティ用語集 > サービスとしてのファイアウォールとは

サービスとしてのファイアウォールとは

サービスとしてのファイアウォールの定義

サービスとしてのファイアウォール(FWaaS)は、URLフィルタリング、高度な脅威保護、侵入防止システム(IPS)、DNSセキュリティなどのアクセス制御を含む、高度なレイヤ7/次世代ファイアウォール(NGFW)機能を提供するクラウドファイアウォールに基づくセキュリティソリューションです。

FWaaSのコンセプトは、単にネットワークファイアウォールアプライアンスを仮想化することに留まりません。FWaaSを使用すると、組織はファイアウォールアプライアンスを排除できるようになり、ITインフラストラクチャを簡素化しつつ全体的なサイバーセキュリティを改善することができます。また、単一のコンソールで一元的な管理を行えるため、変更管理やパッチ管理、システムなどの停止期間の調整、NGFWアプライアンスに関連するポリシー管理などの課題を克服すると同時に、ユーザが接続する場所に関係なく、組織全体で一貫したポリシーを提供することが可能となります。

 

FWaaS通常のファイアウォールと異なる

従来型のオンプレミスファイアウォールは、企業オフィスのネットワークトラフィックを検査することを念頭に構築、プログラムされていました。一方で、FWaaSはその名の通りクラウド経由で配信されます。これらの主な違いは、オンプレミスファイアウォールは変化するネットワークの要件と進化を続ける脅威の状況に合わせて拡張または適応するのが難しい点です。FWaaSはクラウドネイティブであるためどちらにも対応でき、データの保護やエンドポイントの安全性の維持、綿密なセキュリティの検査を行うための各段に便利なツールを企業組織に提供できます。

仕事がすべてオフィス内で行われていた時代は、従来型のファイアウォールでも十分なネットワークセキュリティを提供できていました。その頃の脅威の活動範囲は、従業員が仕事をするために大半の時間を過ごす、企業のオフィスに限定されていたため、セキュリティ部門とIT部門はファイアウォールが導入されている事業所外にもそのサービスを拡張する必要はありませんでした。

ところが現在は、SaaSなどのクラウドサービスを活用する企業組織が増え続けており、エンドポイントが至る所にあるようになり、新しい脅威も発生しているため、ファイアウォールを単にデータセンタに導入するだけでは事足りなくなりました。ファイアーウォールは、クラウド上に配備して、あらゆる場所のリソースと従業員を保護するために拡張する必要があるのです。

 

FWaaSの台頭

企業または地域のデータセンタのNGFWにトラフィックをバックホールすることは、アプリケーションがそのようなデータセンタに存在しており、ほとんどの従業員がオフィスで働いていた時代には、理にかなっていました。しかし、アプリケーションがデータセンタからクラウドに移行し始め、支社店の数やリモートワークの規模が拡大するにつれて、NGFWの効果は薄れてきています。

その後、コロナ禍により従業員が企業ネットワークから離れることを余儀なくされ、どこからでも接続するようになったことで、NGFWを含むネットワークとセキュリティへの従来型のアプローチでは不十分になりました。これは、他のアプライアンスと同様に、NGFWがクラウドを念頭に置いて構築されていないことに起因しています。

単に従来型のセキュリティツールと機能をクラウドに移行して起動すれば良いということではなく、適切なテクノロジを導入する必要があります。
Siemens グローバルITインフラストラクチャポートフォリオ部門VP、Frederik Janssen氏

FWaaSNGFWの比較

SalesforceやMicrosoft 365などのクラウドアプリケーションは、インターネット経由で直接アクセスできるように構築されています。しかし、高速なユーザエクスペリエンスを提供するために、インターネットトラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータセンタのNGFWにルーティングしてインターネットに出力することは、理にかなわなくなりました。

ただし、従来型のセキュリティアプローチをローカルインターネットブレイクアウトに適用すると、あらゆるロケーションで企業のセキュリティスタックを複製する必要が出てきます。これにより、NGFWまたはセキュリティアプライアンスのスタックをすべての支社店に導入する必要が生じますが、これらすべてを導入、管理することは、コストと複雑性の両点において現実的ではありません。

繰り返しとなりますが、NGFWはクラウドアプリケーションをサポートできるようには構築されていません。NGFWは、クラウドアプリが作成する大量の長期間接続をサポートできるような拡張性を有していないため、容易に過剰負荷の状態に陥ってしまいます。また、SSLで暗号化されたトラフィックをネイティブに処理することもできません。暗号化されたトラフィックが過去数年間で劇的に増加していることを考えると、この点の重要度は高まってきています。

SSLインスペクションを実行するには、NGFWはチップレベルではなくソフトウェアでSSLインスペクションを実行するプロキシ機能を追加する必要があります。しかし、それによりパフォーマンスに大きな影響が生じ、ユーザエクスペリエンスが低下してしまいます。

FWaaSソリューションは、ディープパケットインスペクションなどの機能を実行するより高い能力を備えており、クラウドネイティブでもあるため情報漏洩防止にもはるかに適しています。また、FWaaSはクラウド上で構築されているため、NGFWでは不可能な方法でセキュリティを拡張できますが、NGFWのベンダーがこの点を認めることはないかもしれません。多くの場合、そのようなベンダーのセキュリティソリューションは仮想化されたファイアウォールアプライアンスに過ぎず、緩衝材としての機能は果たせるでしょうが、長期的なクラウドおよびハイブリッドな働き方に向けたセキュリティを提供できるようには構築されていません。

 

企業がFWaaSを必要とする理由

企業組織はスケーラビリティを高めるためにAWSなどのクラウドインフラストラクチャプロバイダを採用していますが、それでもすべてのユーザとロケーションに対し、組織全体でエンタープライズファイアウォール機能を提供する必要があります。残念ながら、10年以上前にデザインされたNGFWは、クラウドアプリケーションやクラウドコンピューティング全般の動的な要件をサポートすることを念頭に構築されていません。これらの仮想ファイアウォールに相当するものも、従来型のNGFWアプライアンスと同じ制限と課題を多く抱えており、現代のサイバー攻撃に対しては有効性は高くありません。したがって、アプリケーションがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。

 

FWaaS仕組み

FWaaSを使用することで、セキュリティアプライアンスの購入や導入、管理の必要なく、すべてのアプリケーションに対して安全なローカルブレイクアウトを確立できます。完全なレイヤ7ファイアウォールを含むセキュリティ機能が弾力的に拡張できるクラウドサービスとして提供され、SSLインスペクションや増え続ける帯域幅とユーザからの要求、および長期間にわたって接続されるクラウドアプリケーションのトラフィックを処理することが可能です。

単一のコンソールから一元管理することで、企業組織は本社、支社店、自宅など接続する場所に関係なく、あらゆるユーザやデバイス、接続先に対して同じ保護を提供できます。

次世代ファイアウォール/IPSは過去の産物となったのか

ウェビナーを見る
ウェビナーを見る

Zscaler Cloud Firewallによるネットワークトランスフォーメーションの簡素化

eBookを読む
eBookを読む

次世代型クラウドファイアウォールであるZscaler Cloud Firewall

動画を見る(英語)
動画を見る(英語)

FWaaSの特長

FWaaSにはNGFWに勝る以下のような特長があります。

  • プロキシベースのアーキテクチャ:すべてのユーザ、アプリケーション、デバイス、およびロケーションにおけるトラフィックを動的に検査できるよう構築されています。SSL/TLSトラフィックを大規模にネイティブに検査して、暗号化されたトラフィックに潜むマルウェアを検出し、ネットワークアプリやクラウドアプリ、ドメイン名(FQDN)、URLに基づいて、複数のレイヤにまたがるきめ細かいファイアウォールポリシーを可能にします。
  • クラウドIPS:クラウドベースの侵入防止システム(IPS)は、接続の種類やロケーションを問わず、常時有効な脅威からの保護とカバレッジを提供します。さらに、検査が困難なSSLトラフィックも含めた、ネットワーク上およびネットワーク外のすべてのユーザトラフィックを検査し、ユーザ、アプリ、およびインターネット接続に対する完全な可視性を復元します。
  • DNSセキュリティとDNS制御:防御の最前線として、クラウドベースのファイアウォールによって、ユーザが悪意のあるドメインに到達しないよう保護します。DNS解決の最適化によって、CDNベースのアプリにとって特に重要であるユーザエクスペリエンスとクラウドアプリケーションのパフォーマンスを向上させます。また、きめ細かい制御も行えるため、DNSトンネリングの検知と防止も可能になります。
  • 可視性と管理の簡素化:クラウドベースのファイアウォールサービスは、プラットフォーム全体にわたりリアルタイムの可視性、制御、および即座のポリシー適用を実現します。また、すべてのセッションを詳細にログに記録して、高度な分析を使用してイベントを関連付けるだけでなく、すべてのユーザ、アプリケーション、API、およびロケーションの脅威と脆弱性に関するインサイトを単一のコンソールから提供します。
  • ゼロトラストへの備え:クラウドセキュリティにおいて、ゼロトラストのフレームワークよりも優れた選択肢はありません。ゼロトラストの一部としてFWaaSを活用することで、リモートワークの時代に必須となるセキュアアクセスサービスエッジ(SASE)のフレームワークに沿って、エンドポイントのユーザにセキュリティポリシーを提供できます。さらに、ゼロトラストはネットワークアクセスの必要性を排除することで、レイテンシを短縮することができます。

FWaaSがどのようにしてセキュリティポスチャを改善できるかについて見たところで、次に「FWaaS活用への道のりを始めるにはどうすれば良いか」という疑問が浮かんできます。FWaaSに関しては、データ、エンドポイント、クラウド、IoTに対する保護を強化できるサービスプロバイダは数多く存在しますが、クラウド上にクラウド向けのファイアウォールを構築したベンダーはZscalerのみです。

 

ZscalerCloud Firewallの特長

Zscaler Cloud Firewallは統合されたZero Trust Exchange™の一部であり、すべてのポートとプロトコルを対象に、あらゆるロケーションのすべてのユーザに次世代ファイアウォールの制御と高度なセキュリティを提供します。高速で安全なローカルインターネットブレイクアウトが可能になるほか、100%クラウド上にあるため、ハードウェアの購入や導入、管理の必要がなくなります。

NGFWでは、無数のセキュリティ機能が追加されるため、全体的なポスチャとして強固なものと脆弱なものが生じます。一方で、Zscaler Cloud Firewallには以下の特長があります。

  • きめ細かいファイアウォールポリシーを定義して直ちに適用
  • 全体の可視化からリアルタイムの実用的な情報への移行
  • 常時有効のIPSを全ユーザに提供

違いを体感してみませんか?

今こそ、ファイアウォールとセキュリティをクラウドに移行するときです。サービスとしてのクラウドファイアウォールが組織のセキュリティと敏捷性をどのように高めるか、デモをリクエストして確認しましょう。

 

参考となる追加のリソース