NGFWの特徴
次世代ファイアウォールは現在も使用されており、オンプレミスのネットワークやアプリケーションのセキュリティにおいて、従来のソリューションよりも多くの利点を備えています。
- アプリケーション制御:NGFWは、どのアプリケーション(またはユーザー)がネットワークにトラフィックを送信しているかを積極的にモニタリングします。ポートやプロトコルに関係なく、ネットワーク トラフィックを分析してアプリケーション トラフィックを検出する機能が備わっており、全体的な可視性を向上させます。
- IPS: IPSは、中核的な機能としてネットワークを継続的にモニタリングしながら悪意のあるイベントを検出し、それらを防ぐために慎重に対処するように構築されています。IPSは管理者へのアラームの送信、パケットのドロップ、トラフィックのブロック、接続の完全なリセットを実行できます。
- 脅威インテリジェンス:これは、ネットワークまたはITエコシステム全体のさまざまなノードによって収集されたデータや情報で、これから標的にしようとしている、またはすでに標的にしている脅威を理解するのに役立ちます。脅威インテリジェンスは、サイバーセキュリティ リソースとして必要不可欠です。
- ウイルス対策:名前が示すように、ウイルスを検知して対応するソフトウェアで、検出機能を更新して絶えず変化する脅威の状況に対処します。
NGFWの機能
企業ネットワークの保護に関しては、NGFWは従来型のファイアウォールよりも幅広い効果を発揮します。ネットワーク トラフィックを深く掘り下げて、その起点を把握することで、ネットワーク境界に侵入して企業データにアクセスし、組織の評判を毀損しようとしている悪意のあるトラフィックや、そこに組み込まれた脅威に関する情報をより多く収集できます。
従来型のファイアウォールはレイヤー3とレイヤー4でのみ動作しますが、NGFWはレイヤー7(アプリケーション レイヤー)までカバーして動作します。つまり、最も危険で侵入しやすいアプリレベルの脅威を侵入前に阻止するため、修復にかかる時間やコストを削減することができます。
NGFWが必要な理由
サイバー脅威の現状を踏まえると、脅威に対する堅牢な保護が必要なのは明らかです。しかし、従来型のファイアウォールでは十分に対処できません。一方、NGFWはマルウェアを阻止するだけでなく、2020年にSUNBURSTにサプライ チェーン攻撃を行ったCozy Bearや、Log4Shellの脆弱性を悪用することで知られているDeep Pandaなどの高度な標的型攻撃(APT)を防ぐための豊富な機能を備えています。
さらに、脅威インテリジェンスの統合とネットワークとセキュリティの自動化のオプションにより、NGFWはセキュリティ運用を簡素化するだけでなく、企業組織がセキュリティ オペレーション センター(SOC)を完全に実現するための第一歩を踏み出す機会を与える役割を果たします。
このような高いポテンシャルを有するNGFWですが、いくつかの欠点もあります。
NGFWの課題
NGFWは大きなメリットを提供する一方、現代の場所を問わない働き方が求める機能を十分に提供できません。
例えば、NGFWにトラフィックをバックホールすることは、アプリケーションがデータ センターに置かれ、ほとんどのデータ センター、すなわちエンドポイントが本社または地域オフィスにある場合には理にかなっています。しかし、現在アプリケーションは場所を問わない働き方(WFA)をサポートするためにクラウドに移行されており、NGFWやVPNなどの従来型のネットワークおよびセキュリティ ツールは、拡張性を持たないために機能が不十分なものとなりました。
Microsoft 365などの特に一般的に使用されるクラウド アプリケーションは、インターネット経由で直接アクセスできるように構築されています。このような接続を確立するためには、企業は高速なユーザー エクスペリエンスを提供すべく、インターネット トラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータ センターのNGFWにルーティングしてインターネットに出力することは、もはや理にかなってはいません。
NGFWを使用してローカル インターネット ブレイクアウトを保護するには、企業のセキュリティ スタックをすべての場所で複製する必要があります。つまり、NGFWまたはセキュリティ アプライアンス スタックをすべての支店に導入する必要がありますが、非常に多くのファイアウォールを導入、管理するコストと複雑さを踏まえると現実的ではありません。
そもそもNGFWはクラウド アプリケーションをサポートするようには構築されてはいませんでした。クラウド アプリが作成する大量の長期接続をサポートするように拡張できないため、簡単に過剰負荷の状態に陥り、デフォルトではクラウド アプリケーションを認識することもできません。
その上、SSLで暗号化されたトラフィックをネイティブに処理できません。現在のWebトラフィックはほとんどが暗号化されているため、この点の重要度は増しています。SSLインスペクションを実行するには、NGFWはチップレベルではなく、ソフトウェアでSSLインスペクションを実行するプロキシー機能を追加する必要があります。これはパフォーマンスだけでなく、ユーザー エクスペリエンスにも悪影響を与えるだけでなく、高度なマルウェアなどの新しいセキュリティ脅威も通過させてしまいます。