次世代ファイアウォール(NGFW)とは? | NGFW対FWaaS

次世代ファイアウォール(NGFW)とは最新の強力な機能を備えたファイアウォールです。次世代ファイアウォール(すべてとは限りません)はクラウドでホストすることができます。

Share facebook icon linkedin icon twitter icon email icon

次世代ファイアウォール

学習目的

この記事を読み終えると、以下のことができます。

  • 「次世代ファイアウォール」を定義する
  • 次世代ファイアウォールと従来型ファイアウォールを対比する
  • クラウドファイアウォールが次世代ファイアウォールとどのようにオーバーラップするかを知る

次世代ファイアウォール(NGFW)とは何ですか?

次世代ファイアウォール(NGFW)は従来のファイアウォールより強力です。NGFWは、従来のファイアウォールと同じ性能を持っていますが、種々様々な組織的ニーズに合わせて、潜在的な脅威をブロックするための多数の追加機能を提供します。これらの性能を持たない旧式ファイアウォールと区別するために、「次世代ファイアウォール」と呼ばれます。

次世代ファイアウォールおよび旧式ファイアウォールの違いは、スマートフォンと旧式携帯電話の差に多少似ています。両方ともメールの作成、音声通話、連絡先一覧など、いくつかの共通特徴があります。しかし、スマートフォンは非常に多くの高度機能を持つ異なるタイプの製品で、それゆえにスマートフォンと呼ばれています。

ファイアウォールは何を行いますか?

ファイアウォールは、1セットのセキュリティ規則に基づいてネットワークトラフィックをモニタリングおよび制御するセキュリティ製品です。ファイアウォールはサーバーまたはコンピューターにインストールされたソフトウェアアプリケーションの場合もあります。あるいは内部ネットワークに接続する物理的なハードウェアアプライアンスの場合もあります。ファイアウォールは、通常信頼されたネットワークと信頼されていないネットワークの間にあり、多くの場合、信頼されたネットワークとはビジネスの内部ネットワークで、信頼されていないネットワークとはインターネットです。

従来型ファイアウォールの典型的な性能は、パケットフィルタリング、ステートフルインスペクション(処理状態を把握する検査)、プロキシ、IPブロッキング、ドメインネームブロッキング、ポートブロッキングを含んでいます。

  • パケットフィルタリングは、潜在的に危険なネットワークトラフィックをフィルタリングする能力を指します。ネットワーク(たとえばインターネット)上で移動するデータはすべて「パケット」と呼ばれるより小さな塊に分割されます。ファイアウォールは個々のパケットを見ることができ、前もって定義した規則と一致する場合、内部ネットワーク入出力からブロックします。
  • ステートフルインスペクション(処理状態を把握する検査)はさらに1レベル深いパケットフィルタリングです。ステートフルインスペクション(処理状態を把握する検査)の場合、ファイアウォールは、ファイアウォールを通り抜けたその他パケットのコンテキストと併せてデータパケットを検査することができます。データパケットそのものは無害に見えても、ネットワーク内の異常な目的地を目指す場合、悪意であることがあります(たとえば、SQLクエリだけでは悪意はありませんが、Web形式によって送信される場合はSQLインジェクション攻撃の一部であることがあります)。
  • ネットワーキングにおけるプロキシは、別の機械を代表してネットワークトラフィックを送信または受信する機械を指します。ファイアウォールは、内部ネットワーク内のユーザーデバイスを代表してリクエストを行い、ネットワークレスポンスを受け取ることにより、プロキシとして作用します。そして、悪意のあるデータをユーザーデバイスに達する前にフィルタリングします。
  • IPおよびドメインネームのブロッキングは、ユーザーがあるWebサイトあるいはアプリケーションにアクセスしないように、ファイアウォールですべてをブロックできることを意味します。
  • ポートブロッキングは、ファイアウォールがある種類のネットワークトラフィックをフィルタリングすることを可能にします。ネットワーキングにおけるポートとは、1台の機械と別の機械の間の接続が終了する場所です。ポートは仮想か、あるいはソフトウェアに基づいたものとなります(これらは機械の物理的なコンポーネントに対応するものではありません)。特定のポートがある種類のネットワーク接続のために確保されます(たとえばHTTPS接続はポート443上で行われます)。

次世代のファイアウォールと従来のファイアウォールの機能の違いは何ですか?

NGFWには上記のすべての機能があります。さらに初期のファイアウォール製品にはなかった次のような技術も含んでいます。

侵入防止システム(IPS): 侵入防止システムは積極的にサイバー攻撃を検知して阻止します。警備員を正面玄関に立たせるだけではなく、積極的に建物内をパトロールさせることに似ています。

ディープパケットインスペクション(DPI): 旧式のファイアウォールは、典型的には通過データパケットのヘッダー*のみを検査します。NGFWは、マルウェアやその他の悪意のあるトラフィックを的確に検知するためにデータパケットヘッダーとパケットペイロードの両方を検査します。これは警備チェックポイントに多少似ていて、通行者に自主的に荷物を申告させるのではなく、保全係が荷物の内容を実際に検査することにたとえられます。

*パケットヘッダーは、パケット全体に関する情報(どれくらいの時間でどこから始まったかといった情報など)を含んでいます。

アプリケーション制御: ネットワークトラフィックの分析に加えて、NGFWでは、トラフィックがどのアプリケーションから来たものか識別することができます。これに基づいて、NGFWはさまざまなアプリケーションがアクセスできる資源を制御したり、あるアプリケーションをすべてブロックしたりすることもできます。

ディレクトリ統合: ユーザーディレクトリでは、各ユーザーが所有する特権および許可を、組織の内部チームが追跡することを可能にします。一部のNGFWは、これらの内部ユーザーディレクトリに基づいたネットワークトラフィックまたはアプリケーションをフィルタリングできます。あるアプリケーションにアクセスする許可がないユーザーは、アプリケーションが悪意のあるものとして識別されていない場合でも、そのアプリケーションへのアクセスはファイアウォールによって阻まれます。

暗号化したトラフィック検査: 一部のNGFWは、SSL/TLS暗号化したトラフィックを解読し分析できます。この場合、ファイアウォールはTLSプロセスのプロキシとして働きます。Webサイト間のトラフィックはすべてファイアウォールによって解読され、分析され、再び暗号化されます。ユーザーの視点から見て、このプロキシは事実上シームレスで、HTTPS Webサイトで通常と同じように安全に対話することができます。

NGFWのデプロイはクラウドとオンプレミスのどちらですか?

NGFWはクラウドまたはオンプレミスで実行さできます。旧式のファイアウォールと次世代ファイアウォールのただ1つの違いは、上にリストされた次世代性能を持っているかどうかです。

サービスとしてのファイアウォール(FWaaS)とは何ですか?

サービスとしてのファイアウォール(FWaaS)は、サードパーティベンダーによってクラウドでホストされるファイアウォールです。「クラウドファイアウォール」はこのタイプのサービスのためのもう1つの用語です。

FWaaSは物理的な機器ではなく、また組織の敷地内でホストされてもいません。サービスとしてのソフトウェアあるいはサービスとしてのプラットフォームのような、その他の「サービスとして」のカテゴリー同様、FWaaSはクラウドで実行され、インターネット上でアクセスされます。

クラウドコンピューティングが登場する前は、ファイアウォールは信頼されたネットワークおよび信頼されていないネットワークの中間に置かれ、信頼されたネットワークおよび信頼されていないネットワークの間には明確な境界がありました。しかしクラウドコンピューティングでは、信頼されたクラウド資産に信頼されていないネットワーク(インターネット)からアクセスされるため、「ネットワークペリメータ」と呼ばれるこの境界は必ずしも存在しません。クラウドでホストされたファイアウォールは、ネットワークペリメータがなくてもこれらの資産を保護します。

FWaaS(クラウドファイアウォール)とNGFWの違いは何ですか?

Next-Generation Firewall vs Cloud Firewall

FWaaS/クラウドファイアウォールを含む大半の現代のファイアウォールは、次世代ファイアウォールです。しかしながら、「FWaaS」と「次世代」という用語はファイアウォールの2つの異なる特性について説明しています。「FWaaS」は、ファイアウォールのある場所を説明します。「次世代」は、ファイアウォールが行えることを説明します。

どこにホストされても、次世代性能を持っているファイアウォールはすべてNGFWです。クラウドファイアウォール(すなわちFWaaS)はクラウドでホストされます。これは次世代性能を持っているかどうかには関わりません。さらに、クラウドにホストされたファイアウォールはベンダーによって構成/維持/更新が行われるため、顧客にとってはより簡単に維持でき、通常は最新でより安全なものです。

Cloudflareはどのような種類のファイアウォールを提供していますか?

Cloudflare WAF(Web Application Firewall)は、Webアプリケーションと同様にクラウド資産も保護する、クラウドベースのファイアウォールです。Cloudflare WAFは絶えず新しい潜在的な脅威を識別しブロックする点に独自性があります。これはグローバルなCloudflareネットワーク全体からのトラフィックデータの分析によって行われます。