次世代ファイアウォールの定義
次世代ファイアウォール (NGFW)は、従来のファイアウォール技術にインラインのアプリケーション制御、統合型の侵入防止システム(IPS)、脅威対策機能、アンチウイルス保護など、他のネットワークデバイスのフィルタリング機能を備えたもので、企業のネットワークセキュリティを改善します。
NGFWのコンセプトは10年前にGartnerによって紹介され、「ポート/プロトコルの検査とブロックにとどまらず、アプリケーション層の検査、侵入防止、ファイアウォール外からのインテリジェンスをもたらすディープパケットインスペクションのファイアウォール」であると定義されています。
次世代ファイアウォールと従来型ファイアウォールの比較
従来のファイアウォールは開放型システム間相互接続(OSI)モデルのレイヤ3とレイヤ4でのみ動作してアクションを通知し、ホストとエンドシステム間のネットワークトラフィックを管理して完全なデータ転送を実現します。そして、ポートとプロトコルに基づいてトラフィックを許可またはブロックし、ステートフルインスペクションを活用し、定義されたセキュリティポリシーに基づいて決定を下す特徴があります。
ランサムウェアなどの高度な脅威が出現し始めると、これらのステートフルファイアウォールは毎日のように簡単に迂回されるようになりました。当然のことながら、これによってさらにインテリジェントで強化されたセキュリティソリューションの需要が高まったのです。
そのような中で登場したNGFWは、当初はネットワークセキュリティの次世代の進化形とされていました。従来型のファイアウォールに求められるすべての機能を持つとうたわれており、アイデンティティやユーザ、ロケーションおよびアプリケーションに対してさらに厳しいポリシーの適用を可能にするよりきめ細かい機能も備えています。
次世代ファイアウォールの機能は実は中核となる必要要素であり、これはZscalerを選ぶにあたって特に重視した項目の1つでもありました。実際に、完全なプロトコルの次世代的機能を備えているクラウドサービスは他にはありませんでした。
NGFWの特徴
次世代ファイアウォールはまだ現在も使用されており、オンプレミスのネットワークおよびアプリケーションのセキュリティに関しては、旧来のソリューションを凌駕する多くの利点を提供しています。
- アプリケーション制御:NGFWは、どのアプリケーション(およびユーザ)がネットワークにトラフィックをもたらしているかを積極的にモニタリングします。ポートやプロトコルに関係なく、ネットワークトラフィックを分析してアプリケーショントラフィックを検出する機能があらかじめ備わっており、全体的な可視性が向上します。
- IPS:IPSは、中核的な機能としてネットワークを継続的にモニタリングしながら悪意のあるイベントを探し、それらを防ぐために慎重に対処するように構築されています。IPSは管理者にアラームを送信するほか、パケットのドロップならびにトラフィックのブロック、あるいは接続の完全なリセットを行うことが可能です。
- 脅威インテリジェンス:これは、ネットワークまたはITエコシステム全体のさまざまなノードによって収集されたデータまたは情報として捉えることができ、組織をターゲットにしようとしている、または既にターゲットにしている脅威を理解するのに役立ちます。サイバーセキュリティリソースとしては必要不可欠な点といえます。
- アンチウィルス:名前が示すように、アンチウイルスソフトウェアはウイルスを検出して対応し、絶えず変化する脅威の状況に対処するために検出機能を更新します。
NGFWの機能
企業ネットワークの保護に関しては、NGFWは従来型のファイアウォールと比較してより幅広い機能を発揮します。
具体的には、ネットワークトラフィックを深く掘り下げて、その起点を把握します。その結果、常にネットワーク境界に侵入して企業データにアクセスし、組織の評判を毀損しようとしている悪意のあるトラフィックや、そこに組み込まれた脅威に関する情報をより多く集めることができます。
従来型のファイアウォールはレイヤ3とレイヤ4でのみ動作しますが、NGFWはレイヤ7(アプリケーションレイヤ)までカバーして動作できます。つまり、特に危険で侵入性が高いアプリレベルの脅威は侵害前に阻止されるため、修復の時間とコストを節約できます。
NGFWが必要な理由
サイバー脅威の現状を踏まえると脅威からの堅牢な保護が必要ですが、従来型のファイアウォールでは対処しきれません。
NGFWはマルウェアを阻止することができ、2020年にSUNBURSTにサプライチェーン攻撃を行ったCozy Bearや、Log4Shellの脆弱性を悪用することで知られているDeep Pandaなどの、高度な標的型攻撃(APT)を防ぐための態勢がより整っています。
さらに、脅威インテリジェンスの統合とネットワークおよびセキュリティ自動化のオプションにより、NGFWはセキュリティ運用を簡素化するだけでなく、企業組織がセキュリティオペレーションセンタ(SOC)を完全に実現するための第一歩を踏み出す機会を与える役割を果たしています。
このような高いポテンシャルを有するNGFWですが、いくつかの欠点もあります。
NGFWの課題
NGFWは大きな利点を提供できる一方、現代の分散された従業員にサービスを提供するために必要な機能が欠如しています。
たとえば、NGFWにトラフィックをバックホールすることは、アプリケーションがデータセンタに置かれ、ほとんどのデータセンタ、すなわちエンドポイントが企業本社または地域オフィスにある場合には理にかなっています。
しかし、現在アプリケーションは場所を問わない働き方(WFA)をサポートするためにクラウドに移行されており、NGFWやVPNなどの従来型のネットワークおよびセキュリティツールは、拡張性を持たないために機能が不十分なものとなりました。
Microsoft 365などの特に一般的に使用されるクラウドアプリケーションは、インターネット経由で直接アクセスできるように構築されています。このような接続を確立するためには、企業は高速なユーザエクスペリエンスを提供すべく、インターネットトラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータセンタのNGFWにルーティングしてインターネットに出力することは、もはや理にかなってはいません。
NGFWを使用してローカルインターネットブレイクアウトを保護するには、企業のセキュリティスタックをすべてのロケーションで複製する必要があります。つまり、NGFWまたはセキュリティアプライアンススタックをすべての支社店に導入する必要がありますが、非常に多くのファイアウォールを導入、管理するコストと複雑さを踏まえると現実的ではありません。
加えて、そもそもNGFWはクラウドアプリケーションをサポートすることを念頭に入れて構築されてはいませんでした。拡張性が低いためにクラウドアプリが作成する大量かつ長期間の接続をサポートできず、容易に過剰負荷の状態に陥り、デフォルトではクラウドアプリケーションの認識も行うことができません。
さらに、SSLで暗号化されたトラフィックをネイティブに処理することができません。現在のWebトラフィックはほとんどが暗号化されているため、この点はますます重要になっています。SSLインスペクションを実行するには、NGFWはチップレベルではなくソフトウェアでSSLインスペクションを実行するプロキシ機能を追加する必要があります。これはパフォーマンスに影響を与え、ユーザエクスペリエンスを阻害するだけでなく、高度なマルウェアなどの新しいセキュリティ脅威も通過させてしまいます。
高い将来性を持つクラウドファイアウォール
現在使われている次世代ファイアウォール(NGFW)は10年以上前に構築されたものです。現代の企業はクラウドファーストであり、データを保護するためのセキュリティとアクセス制御を確立するためにより動的で最新の機能を必要としていますが、NGFWはそのニーズを満たせるようには構築されていません。
特にAWSやAzureのようなクラウドプロバイダーを活用し続ける企業にとっては、依然としてローカルインターネットブレイクアウト全体において企業用ファイアウォール機能が必要となります。残念ながら、NGFWはクラウドアプリケーションやインフラストラクチャをサポートするようには構築されておらず、仮想ファイアウォールに相当する機能にも同様に制限があり、従来のNGFWアプライアンスと同じ課題を抱えています。
したがって、アプリがクラウドに移行するのに合わせて、ファイアウォールも追随することは理にかなっているといえるでしょう。
クラウドファイアウォールの4つの中核的な利点
- プロキシベースのアーキテクチャ:この構造により、すべてのユーザやアプリケーション、デバイスおよびロケーションについて、ネットワークトラフィックを動的に検査します。SSL/TLSトラフィックの大規模かつネイティブなインスペクションによって、暗号化されたトラフィックに潜むマルウェアを検知するほか、ネットワークアプリ、クラウドアプリ、完全修飾ドメイン名(FQDN)、およびURLに基づいて、複数のレイヤにまたがるきめ細かいネットワークファイアウォールポリシーを実現します。
- クラウドIPS:クラウドベースのIPSは、接続の種類やロケーションにかかわらず、常時有効の脅威からの保護とカバレッジを提供します。そして、検査が困難なSSLトラフィックも含む、ネットワーク内外のすべてのユーザトラフィックの検査を実行し、ユーザ、アプリ、インターネット接続の完全な可視性を可能にします。
- DNSのセキュリティと制御:防御の最前線として、クラウドファイアウォールはユーザが悪意のあるドメインに到達するのを防ぎます。DNS解決を最適化することによって、CDNベースのアプリにとって特に重要である、ユーザエクスペリエンスとクラウドアプリケーションのパフォーマンスの向上を実現します。また、きめ細かい制御も可能なため、DNSトンネリングの検知と防止も行えます。
- 可視性および管理の簡素化:クラウドベースのファイアウォールは、プラットフォーム全体においてリアルタイムの可視性や制御を提供し、セキュリティポリシーも即座に適用します。すべてのセッションを詳細にログに記録して高度な分析を使用してイベントを関連付けるだけでなく、すべてのユーザ、アプリケーション、API、およびロケーションについて、脅威と脆弱性に関するインサイトを単一のコンソールから提供します。
一連のクラウドファイアウォール機能をすべて実装できるプロバイダはほんの一握りであり、実績のある包括的なクラウドセキュリティプラットフォームの一部として提供できるプロバイダはZscalerのみです。
Zscaler Cloud Firewall
Zscaler Cloud Firewallは、コストや複雑さの問題を伴わずに、NGFWアプライアンスよりも強力な機能を提供します。統合されたZscaler Zero Trust Exchange™の一部であり、次世代のファイアウォール制御と高度なセキュリティを、ロケーションやポートおよびプロトコルに問わずすべてのユーザに提供します。高速で安全なローカルインターネットブレイクアウトが可能になるほか、100%クラウドベースであるため、購入や導入、管理が必要なハードウェアはありません。
NGFWには無数のセキュリティ機能が追加され、全体的なポスチャには強固な部分と脆弱な部分が生じます。一方、Zscaler Cloud Firewallには以下の特徴があります。
- きめ細かいファイアウォールポリシーを定義して直ちに適用
- 全体の可視化からリアルタイムの実用的な情報へ移行
- 常時有効のIPSをすべてのユーザに提供
違いを体感してみませんか?
まだ従来型のNGFWに頼ってはいませんか?お勤めの組織のセキュリティは最適な状態ですか?デモをリクエストし、クラウドファイアウォールのセキュリティがNGFWよりもいかに優れているか確認しましょう。