クラウドファイアウォールとは？ Firewall-as-a-Service（FWaaS）とは？

クラウドファイアウォールとは？

クラウド型ファイアウォールは、従来のファイアウォールと同様に、潜在的に悪意のあるネットワークトラフィックをフィルタリングするセキュリティ製品です。従来のファイアウォールとは異なり、クラウド型ファイアウォールはクラウド上でホストされています。このファイアウォールのクラウド提供モデルは、Firewall as a Service（FWaaS）とも呼ばれています。

従来のファイアウォールが組織の内部ネットワークの障壁を形成するように、クラウドベースのファイアウォールは、クラウドプラットフォーム、インフラストラクチャおよびアプリケーションの周りで仮想障壁を形成します。クラウド型ファイアウォールは、オンプレミスのインフラストラクチャも保護することができます。

ファイアウォールの定義

ファイアウォールとは、悪意のあるトラフィックをフィルタリングするセキュリティ製品のことです。もともとはファイアウォールは信頼された内部ネットワークと信頼されていないネットワークの間（プライベートネットワークとインターネット間など）で実行されてきました。初期のファイアウォールは、組織のオンプレミスインフラストラクチャに接続された物理的な機器でした。ファイアウォールは、内部の規則セットに従ってネットワークトラフィックを許可またはブロックします。ほぼすべてのファイアウォールでは、管理者が規則をカスタマイズすることも可能です。

信頼できるネットワークとインターネットとの境界を、「ネットワーク境界」と呼びます。しかし、クラウドコンピューティングの普及に伴い、ネットワーク境界はほとんどなくなっています。そのため、信頼できるクラウド資産と信頼できないインターネットトラフィックの間に仮想バリアを形成するクラウド型ファイアウォールの重要性が高まっています。

Firewall as a Service（FWaaS）はクラウド型ファイアウォールとは異なるものか？

Firewall as a Service（略してFWaaS）は、クラウド型ファイアウォールの別名です。他の「as a Service」カテゴリ、例えばSoftware as a Service（SaaS）やInfrastructure as a Service（IaaS）と同様に、FWaaS はクラウド上で動作し、インターネットを介してアクセスされ、サードパーティのベンダーがアップデートやメンテナンスを行います。

FWaaSを使う理由は？

銀行には多くの物理的なセキュリティがあります。ほとんどの実店舗の銀行には、セキュリティカメラや防弾ガラスなどのセキュリティ機能を持ちます。警備員や銀行員の存在も潜在的な泥棒の阻止に貢献し、現金は非常に安全な金庫に保管されます。

上記とは異なり、1つの場所で維持されているのではなく、各銀行支店の現金が国の至る所にある異なる金庫で保管され、金庫がそれぞれ安全メンテナンス専門会社によって運営されている場合を想像してみましょう。銀行ではどのようにして、散在する金庫に安全保護手段を追加せずに、保護されたお金が安全であることを保障できるでしょうか？これはクラウドファイアウォールの機能に似ています。

クラウドは、リソースが散在する銀行のようなものですが、お金の代わりに、クラウドが保管するのは、データと演算能力です。アクセスが許可されたユーザーは、どんな場所からも、ほとんどすべてのネットワーク上からクラウドに接続することができます。クラウドで作動するアプリケーションはどんな場所でも作動し、これはクラウドプラットフォームとインフラストラクチャでも同様です。

クラウドファイアウォールは、これらのクラウド上の資産に対するサイバー攻撃を阻みます。クラウドファイアウォールをデプロイさせることは、銀行のローカルセキュリティカメラと物理的な警備員を、銀行の資産が保管されているすべての場所からのセキュリティカメラフィードと中央集約型スタッフを備えた24時間年中無休のグローバルセキュリティセンターに置き換えるようなものです。

クラウド型ファイアウォール／FWaaSを利用する主な利点は？

• マルウェアや悪意のあるボットの活動など、悪意のあるWebトラフィックをブロックする。FWaaS製品の中には、機密データの流出をブロックできるものもあります。
• トラフィックがハードウェアアプライアンスを経由する必要がないため、ネットワークのボトルネックを発生させない。
• クラウド型ファイアウォールは、クラウドインフラストラクチャとの統合が容易。
• 複数のクラウドに展開している対象を一度に保護することが可能（クラウド型ファイアウォールのベンダーが各クラウドをサポートしている場合）。
• クラウド型ファイアウォールは、より多くのトラフィックを処理するためのスケールアップが迅速。
• クラウド型ファイアウォールは、すべてのアップデートをベンダーが行うため、企業が自らメンテナンスを行う必要がない。

クラウドファイアウォールと次世代ファイアウォール（NGFW）の違いは何ですか？

次世代ファイアウォール（NGFW）は、初期のファイアウォール製品にはなかった次のような新技術を含むファイアウォールです。

• 侵入防止システム（IPS）：侵入防止システムは、サイバー攻撃を検出してブロックします。
• ディープパケットインスペクション（DPI）：NGFWは、ヘッダーだけではなく、データパケットのヘッダーとペイロードを検査します。これは、マルウェアやその他の種類の悪意のあるデータの検出に役立ちます。
• アプリケーション制御：NGFWは、個々のアプリケーションがアクセスできる対象を制御したり、アプリケーションを完全にブロックしたりできます。

NGFWは、クラウドでもオンプレミスのハードウェアとしても動作します。クラウドベースのファイアウォールはNGFWの機能を持っているかもしれませんが、オンプレミスのファイアウォールもNGFWにできる可能性があります。 NGFWとFWaaSの対比についての詳細はこちらをご覧ください。

FWaaSはSASEのフレームワークにどのように適合するか？

セキュアアクセスサービスエッジ（SASE）は、ソフトウェア定義型WANのようなネットワーキング機能とFWaaSを含む一連のセキュリティサービスを組み合わせたクラウドベースのネットワーキングアーキテクチャです。オンプレミスのデータセンターの境界をオンプレミスのファイアウォールで保護する必要がある従来のネットワーキングモデルとは異なり、SASEはネットワークエッジで包括的なセキュリティ／アクセス制御を提供します。

SASEネットワーキングモデルでは、クラウドベースのファイアウォールはほかのセキュリティプロダクトと連携して動作し、攻撃、データ漏えい、そのほかのサイバー脅威からネットワーク境界を保護します。企業は、複数のサードパーティベンダーを使用して各サービスをデプロイして保守管理するのではなく、SD-WAN機能を用いてFWaaS、クラウドアクセスセキュリティブローカー（CASB）サービス、セキュアWebゲートウェイ（SWG）、Zero Trustネットワークアクセス（ZTNA）をバンドルする1つのベンダーを使用することができます。

Cloudflare Magic Firewallは、Cloudflareのグローバルネットワークを介して、オンプレミスとクラウドの両方のインフラストラクチャを保護するように設計されています。Magic Firewallは、SASEプラットフォームのCloudflare Oneに含まれています。 詳細についてはこちらをご覧ください 。

Webアプリケーションの保護を検討している企業は、Cloudflare WAFを利用いただけます（詳細についてはこちらをご覧ください）。