次世代ファイアウォールとは 次世代ファイアウォール(NGFW)は、従来のファイアウォール技術とインラインのアプリケーション制御、統合型の侵入防止システム(IPS)、脅威対策、ウイルス対策などのネットワーク デバイス フィルタリング機能を組み合わせたもので、企業のネットワーク セキュリティを改善します。

次世代ファイアウォールと従来型ファイアウォールの比較

従来型のファイアウォールは、開放型システム間相互接続(OSI)モデルのレイヤー3とレイヤー4でのみ動作してアクションを通知し、ホストとエンド システム間のネットワーク トラフィックを管理して完全なデータ転送を実行します。そして、ポートとプロトコルに基づいたトラフィックの許可またはブロック、ステートフル インスペクションの利用、定義されたセキュリティ ポリシーに基づいた意思決定を行います。

ランサムウェアなどの高度な脅威は、こういったステートフル ファイアウォールを簡単に迂回するため、さらに効果的で強化されたセキュリティ ソリューションの需要が高まっています。

10年以上前にGartnerが導入した次世代ファイアウォール(NGFW)は、「ポート/プロトコルの検査やブロックに留まらず、アプリケーション層の検査、侵入防止、ファイアウォール外からのインテリジェンスの取り込みを追加するディープパケット インスペクション ファイアウォール」として定義されています。従来型のファイアウォールに求められるすべての機能を持ち、アイデンティティーやユーザー、場所およびアプリケーションに対してさらに厳しいポリシーの適用を可能にする、よりきめ細かい機能も備えています。

NGFWの特徴

次世代ファイアウォールは現在も使用されており、オンプレミスのネットワークやアプリケーションのセキュリティにおいて、従来のソリューションよりも多くの利点を備えています。

• アプリケーション制御：NGFWは、どのアプリケーション(またはユーザー)がネットワークにトラフィックを送信しているかを積極的にモニタリングします。ポートやプロトコルに関係なく、ネットワーク トラフィックを分析してアプリケーション トラフィックを検出する機能が備わっており、全体的な可視性を向上させます。
• IPS: IPSは、中核的な機能としてネットワークを継続的にモニタリングしながら悪意のあるイベントを検出し、それらを防ぐために慎重に対処するように構築されています。IPSは管理者へのアラームの送信、パケットのドロップ、トラフィックのブロック、接続の完全なリセットを実行できます。
• 脅威インテリジェンス：これは、ネットワークまたはITエコシステム全体のさまざまなノードによって収集されたデータや情報で、これから標的にしようとしている、またはすでに標的にしている脅威を理解するのに役立ちます。脅威インテリジェンスは、サイバーセキュリティ リソースとして必要不可欠です。
• ウイルス対策：名前が示すように、ウイルスを検知して対応するソフトウェアで、検出機能を更新して絶えず変化する脅威の状況に対処します。

NGFWの機能

企業ネットワークの保護に関しては、NGFWは従来型のファイアウォールよりも幅広い効果を発揮します。ネットワーク トラフィックを深く掘り下げて、その起点を把握することで、ネットワーク境界に侵入して企業データにアクセスし、組織の評判を毀損しようとしている悪意のあるトラフィックや、そこに組み込まれた脅威に関する情報をより多く収集できます。

従来型のファイアウォールはレイヤー3とレイヤー4でのみ動作しますが、NGFWはレイヤー7(アプリケーション レイヤー)までカバーして動作します。つまり、最も危険で侵入しやすいアプリレベルの脅威を侵入前に阻止するため、修復にかかる時間やコストを削減することができます。

NGFWが必要な理由

サイバー脅威の現状を踏まえると、脅威に対する堅牢な保護が必要なのは明らかです。しかし、従来型のファイアウォールでは十分に対処できません。一方、NGFWはマルウェアを阻止するだけでなく、2020年にSUNBURSTにサプライ チェーン攻撃を行ったCozy Bearや、Log4Shellの脆弱性を悪用することで知られているDeep Pandaなどの高度な標的型攻撃(APT)を防ぐための豊富な機能を備えています。

さらに、脅威インテリジェンスの統合とネットワークとセキュリティの自動化のオプションにより、NGFWはセキュリティ運用を簡素化するだけでなく、企業組織がセキュリティ オペレーション センター(SOC)を完全に実現するための第一歩を踏み出す機会を与える役割を果たします。

このような高いポテンシャルを有するNGFWですが、いくつかの欠点もあります。

NGFWの課題

NGFWは大きなメリットを提供する一方、現代の場所を問わない働き方が求める機能を十分に提供できません。

例えば、NGFWにトラフィックをバックホールすることは、アプリケーションがデータ センターに置かれ、ほとんどのデータ センター、すなわちエンドポイントが本社または地域オフィスにある場合には理にかなっています。しかし、現在アプリケーションは場所を問わない働き方(WFA)をサポートするためにクラウドに移行されており、NGFWやVPNなどの従来型のネットワークおよびセキュリティ ツールは、拡張性を持たないために機能が不十分なものとなりました。

Microsoft 365などの特に一般的に使用されるクラウド アプリケーションは、インターネット経由で直接アクセスできるように構築されています。このような接続を確立するためには、企業は高速なユーザー エクスペリエンスを提供すべく、インターネット トラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータ センターのNGFWにルーティングしてインターネットに出力することは、もはや理にかなってはいません。

NGFWを使用してローカル インターネット ブレイクアウトを保護するには、企業のセキュリティ スタックをすべての場所で複製する必要があります。つまり、NGFWまたはセキュリティ アプライアンス スタックをすべての支店に導入する必要がありますが、非常に多くのファイアウォールを導入、管理するコストと複雑さを踏まえると現実的ではありません。

そもそもNGFWはクラウド アプリケーションをサポートするようには構築されてはいませんでした。クラウド アプリが作成する大量の長期接続をサポートするように拡張できないため、簡単に過剰負荷の状態に陥り、デフォルトではクラウド アプリケーションを認識することもできません。

その上、SSLで暗号化されたトラフィックをネイティブに処理できません。現在のWebトラフィックはほとんどが暗号化されているため、この点の重要度は増しています。SSLインスペクションを実行するには、NGFWはチップレベルではなく、ソフトウェアでSSLインスペクションを実行するプロキシー機能を追加する必要があります。これはパフォーマンスだけでなく、ユーザー エクスペリエンスにも悪影響を与えるだけでなく、高度なマルウェアなどの新しいセキュリティ脅威も通過させてしまいます。

クラウド ファイアウォールが今後主流となる理由

現在使われている次世代ファイアウォール(NGFW)は、10年以上前に構築されたものです。現代の企業はクラウドファーストであり、データを保護するためのセキュリティとアクセス制御を確立するためにより動的で最新の機能を必要としていますが、NGFWはそのニーズを満たせるようには構築されていません。

特にAWSやAzureのようなクラウド プロバイダーを利用する企業にとっては、依然としてローカル インターネット ブレイクアウト全体において企業用ファイアウォール機能が必要となります。NGFWはクラウド アプリケーションやインフラストラクチャーをサポートするようには構築されておらず、仮想ファイアウォールに相当する機能にも同様に制限があり、従来のNGFWアプライアンスと同じ課題を抱えています。

したがって、アプリがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。

クラウド ファイアウォールの4つの主なメリット

• プロキシーベースのアーキテクチャー：この構造により、すべてのユーザー、アプリケーション、デバイス、場所のネットワーク トラフィックを動的に検査します。SSL/TLSトラフィックの大規模かつネイティブな検査によって、暗号化されたトラフィックに潜むマルウェアを検知するほか、ネットワーク アプリ、クラウド アプリ、完全修飾ドメイン名(FQDN)、URLに基づいて、複数のレイヤーにまたがるきめ細かいネットワーク ファイアウォール ポリシーを実現します。
• クラウドIPS:クラウドベースのIPSは、接続の種類や場所にかかわらず、常時有効の脅威対策とカバレッジを提供します。そして、検査が困難なSSLトラフィックだけでなく、ネットワーク内外のすべてのユーザー トラフィックを検査し、ユーザー、アプリ、インターネットの接続を完全に可視化します。
• DNSのセキュリティと制御：防御の最前線として、クラウド ファイアウォールは悪意のあるドメインにユーザーが到達しないように保護します。DNS解決を最適化することで、CDNベースのアプリにとって特に重要なユーザー エクスペリエンスとクラウド アプリケーションのパフォーマンスを向上します。また、DNSトンネリングを検知、防止するためのきめ細かな制御も可能です。
• 可視化と管理の簡素化：クラウドベースのファイアウォールは、プラットフォーム全体にわたってリアルタイムの可視性や制御を提供し、セキュリティ ポリシーも即座に適用します。すべてのセッションを詳細に記録し、高度な分析を使用してイベントを関連付けるほか、すべてのユーザー、アプリケーション、API、場所に関する脅威と脆弱性のインサイトを単一のコンソールから提供します。

クラウド ファイアウォール機能をすべて実装できるプロバイダーはごく少数で、実績のある包括的なクラウド セキュリティ プラットフォームの一部として提供できるのはZscaleだけです。

Zscaler Cloud Firewall

Zscaler Cloud Firewallは、コストや複雑さの問題を伴わずに、NGFWアプライアンスよりも強力な機能を提供します。統合されたZscaler Zero Trust Exchange™の一部であり、次世代ファイアウォールの制御と高度なセキュリティを場所やポート、プロトコルに左右されることなくすべてのユーザーに提供し、高速で安全なローカル インターネット ブレイクアウトを可能にします。100%クラウドで提供されるため、ハードウェアの購入、展開、管理は一切必要ありません。

NGFWには無数のセキュリティ機能が追加され、全体的なポスチャーには強固な部分と脆弱な部分が生じます。一方、Zscaler Cloud Firewallには以下の特徴があります。

• きめ細かいファイアウォール ポリシーを定義して即座に適用
• 全体の可視化からリアルタイムの実用的な情報へ移行
• すべてのユーザーにIPSの機能を常時提供