まだ従来型のNGFWをお使いですか?組織のセキュリティは最適な状態ですか?デモをリクエストして、クラウド ファイアウォールがNGFWよりも優れたセキュリティを提供する方法をご確認ください。
従来型のファイアウォールは、開放型システム間相互接続(OSI)モデルのレイヤー3とレイヤー4でのみ動作してアクションを通知し、ホストとエンド システム間のネットワーク トラフィックを管理して完全なデータ転送を実行します。そして、ポートとプロトコルに基づいたトラフィックの許可またはブロック、ステートフル インスペクションの利用、定義されたセキュリティ ポリシーに基づいた意思決定を行います。
ランサムウェアなどの高度な脅威は、こういったステートフル ファイアウォールを簡単に迂回するため、さらに効果的で強化されたセキュリティ ソリューションの需要が高まっています。
10年以上前にGartnerが導入した次世代ファイアウォール(NGFW)は、「ポート/プロトコルの検査やブロックに留まらず、アプリケーション層の検査、侵入防止、ファイアウォール外からのインテリジェンスの取り込みを追加するディープパケット インスペクション ファイアウォール」として定義されています。従来型のファイアウォールに求められるすべての機能を持ち、アイデンティティーやユーザー、場所およびアプリケーションに対してさらに厳しいポリシーの適用を可能にする、よりきめ細かい機能も備えています。
Ken Athanasiou, AutoNation CISO兼VP
次世代ファイアウォールは現在も使用されており、オンプレミスのネットワークやアプリケーションのセキュリティにおいて、従来のソリューションよりも多くの利点を備えています。
企業ネットワークの保護に関しては、NGFWは従来型のファイアウォールよりも幅広い効果を発揮します。ネットワーク トラフィックを深く掘り下げて、その起点を把握することで、ネットワーク境界に侵入して企業データにアクセスし、組織の評判を毀損しようとしている悪意のあるトラフィックや、そこに組み込まれた脅威に関する情報をより多く収集できます。
従来型のファイアウォールはレイヤー3とレイヤー4でのみ動作しますが、NGFWはレイヤー7(アプリケーション レイヤー)までカバーして動作します。つまり、最も危険で侵入しやすいアプリレベルの脅威を侵入前に阻止するため、修復にかかる時間やコストを削減することができます。
サイバー脅威の現状を踏まえると、脅威に対する堅牢な保護が必要なのは明らかです。しかし、従来型のファイアウォールでは十分に対処できません。一方、NGFWはマルウェアを阻止するだけでなく、2020年にSUNBURSTにサプライ チェーン攻撃を行ったCozy Bearや、Log4Shellの脆弱性を悪用することで知られているDeep Pandaなどの高度な標的型攻撃(APT)を防ぐための豊富な機能を備えています。
さらに、脅威インテリジェンスの統合とネットワークとセキュリティの自動化のオプションにより、NGFWはセキュリティ運用を簡素化するだけでなく、企業組織がセキュリティ オペレーション センター(SOC)を完全に実現するための第一歩を踏み出す機会を与える役割を果たします。
このような高いポテンシャルを有するNGFWですが、いくつかの欠点もあります。
NGFWは大きなメリットを提供する一方、現代の場所を問わない働き方が求める機能を十分に提供できません。
例えば、NGFWにトラフィックをバックホールすることは、アプリケーションがデータ センターに置かれ、ほとんどのデータ センター、すなわちエンドポイントが本社または地域オフィスにある場合には理にかなっています。しかし、現在アプリケーションは場所を問わない働き方(WFA)をサポートするためにクラウドに移行されており、NGFWやVPNなどの従来型のネットワークおよびセキュリティ ツールは、拡張性を持たないために機能が不十分なものとなりました。
Microsoft 365などの特に一般的に使用されるクラウド アプリケーションは、インターネット経由で直接アクセスできるように構築されています。このような接続を確立するためには、企業は高速なユーザー エクスペリエンスを提供すべく、インターネット トラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータ センターのNGFWにルーティングしてインターネットに出力することは、もはや理にかなってはいません。
NGFWを使用してローカル インターネット ブレイクアウトを保護するには、企業のセキュリティ スタックをすべての場所で複製する必要があります。つまり、NGFWまたはセキュリティ アプライアンス スタックをすべての支店に導入する必要がありますが、非常に多くのファイアウォールを導入、管理するコストと複雑さを踏まえると現実的ではありません。
そもそもNGFWはクラウド アプリケーションをサポートするようには構築されてはいませんでした。クラウド アプリが作成する大量の長期接続をサポートするように拡張できないため、簡単に過剰負荷の状態に陥り、デフォルトではクラウド アプリケーションを認識することもできません。
その上、SSLで暗号化されたトラフィックをネイティブに処理できません。現在のWebトラフィックはほとんどが暗号化されているため、この点の重要度は増しています。SSLインスペクションを実行するには、NGFWはチップレベルではなく、ソフトウェアでSSLインスペクションを実行するプロキシー機能を追加する必要があります。これはパフォーマンスだけでなく、ユーザー エクスペリエンスにも悪影響を与えるだけでなく、高度なマルウェアなどの新しいセキュリティ脅威も通過させてしまいます。
現在使われている次世代ファイアウォール(NGFW)は、10年以上前に構築されたものです。現代の企業はクラウドファーストであり、データを保護するためのセキュリティとアクセス制御を確立するためにより動的で最新の機能を必要としていますが、NGFWはそのニーズを満たせるようには構築されていません。
特にAWSやAzureのようなクラウド プロバイダーを利用する企業にとっては、依然としてローカル インターネット ブレイクアウト全体において企業用ファイアウォール機能が必要となります。NGFWはクラウド アプリケーションやインフラストラクチャーをサポートするようには構築されておらず、仮想ファイアウォールに相当する機能にも同様に制限があり、従来のNGFWアプライアンスと同じ課題を抱えています。
したがって、アプリがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。
クラウド ファイアウォール機能をすべて実装できるプロバイダーはごく少数で、実績のある包括的なクラウド セキュリティ プラットフォームの一部として提供できるのはZscaleだけです。
Zscaler Cloud Firewallは、コストや複雑さの問題を伴わずに、NGFWアプライアンスよりも強力な機能を提供します。統合されたZscaler Zero Trust Exchange™の一部であり、次世代ファイアウォールの制御と高度なセキュリティを場所やポート、プロトコルに左右されることなくすべてのユーザーに提供し、高速で安全なローカル インターネット ブレイクアウトを可能にします。100%クラウドで提供されるため、ハードウェアの購入、展開、管理は一切必要ありません。
NGFWには無数のセキュリティ機能が追加され、全体的なポスチャーには強固な部分と脆弱な部分が生じます。一方、Zscaler Cloud Firewallには以下の特徴があります。
AutoNationが実現したクラウドへの移行
Zscaler Cloud Firewallでネットワーク トランスフォーメーションを簡素化
eBookを読むZscalerの次世代クラウド ファイアウォール
Zscaler Cloud Firewall:安全なクラウドへの移行を実現するためのガイド
ホワイト ペーパーを読むクラウド ファイアウォールのないSD-WANでは不十分な理由
ブログを読む(英語)Gartner | The Future of Network Security Is in the Cloud
レポートを読む