次世代ファイアウォール(NGFW)とは?| NGFWとFWaaS

次世代ファイアウォール(NGFW)とは最新の強力な機能を備えたファイアウォールです。 次世代ファイアウォール(すべてとは限りません)はクラウドでホストすることができます。

Share facebook icon linkedin icon twitter icon email icon

次世代ファイアウォール

学習目的

この記事を読み終えると、以下のことができます。

  • 「次世代ファイアウォール」を定義する
  • 次世代ファイアウォールと従来型ファイアウォールを対比する
  • クラウドファイアウォールが次世代ファイアウォールとどのようにオーバーラップするかを知る

次世代ファイアウォール(NGFW)とは?

次世代ファイアウォール(NGFW)は、従来のファイアウォールよりも強力です。NGFWは、従来のファイアウォールと同じ機能を持っていますが、さまざまな組織的ニーズに合わせて、潜在的な脅威をブロックするための追加機能も多く備えています。そうした機能を備えていない従来のファイアウォールと区別するために、「次世代ファイアウォール」と呼ばれます。

次世代ファイアウォールと従来のファイアウォールの違いは、スマートフォンと昔ながらの携帯電話の違いに似ています。両方に共通の機能がいくつかあります。テキストメッセージ、音声通話、連絡先リストなどです。しかし、スマートフォンには非常に多くの高度な機能が追加されているため、実際には異なるタイプの製品であり、結果として呼び名が異なっています。

ファイアウォールは何をするか

ファイアウォールは、一連のセキュリティルールに基づいてネットワークトラフィックを監視および制御するセキュリティ製品です。ファイアウォールは、サーバーまたはコンピューターにインストールされたソフトウェアアプリケーションでも、内部ネットワークに接続する物理ハードウェアアプライアンスでもかまいません。ファイアウォールは通常、信頼できるネットワークと信頼できないネットワークの間にあります。多くの場合、信頼できるネットワークは企業の内部ネットワークであり、信頼できないネットワークはインターネットです。

従来のファイアウォールの一般的な機能には、パケットフィルタリング、ステートフルインスペクション、プロキシ、IPブロッキング、ドメイン名ブロッキング、ポートブロッキングが含まれます。

  • パケットフィルタリングは、潜在的に危険なネットワークトラフィックをフィルタリングする機能を指します。ネットワーク(インターネットなど)上を移動するすべてのデータは、「パケット」と呼ばれる小さな塊に分割されます。ファイアウォールは個々のパケットを調べて、前もって定義したルールと一致する場合、内部ネットワークに出入りできないようにします。
  • ステートフルインスペクションでは、パケットフィルタリングのレベルが上がります。ステートフルインスペクションの場合、ファイアウォールは、ファイアウォールを通り抜けたそのほかのパケットのコンテキスト情報に基づいてデータパケットを検査することができます。データパケットそのものは無害に見えても、ネットワーク内の異常な目的地を目指す場合、悪意のあるデータパケットであることがあります。(たとえば、SQLクエリ自体は悪意のあるものではありませんが、Webフォームを介して送信された場合、SQLインジェクション攻撃の一部である可能性があります。)
  • プロキシは、ネットワーク用語では、1つのマシンが別のマシンに代わってネットワークトラフィックを送信または受信することを指します。ファイアウォールは、内部ネットワーク内のユーザーデバイスに代わってリクエストを送信し、ネットワークレスポンスを受信し、それらのデバイスに到達する前に悪意のあるデータを除外することにより、プロキシとして機能できます。
  • IPブロッキングおよびドメイン名ブロッキングは、ファイアウォールが、ユーザーが特定のWebサイトまたはアプリケーションにアクセスするのをブロックできることを意味します。
  • ポートブロッキングは、ファイアウォールが特定の種類のネットワークトラフィックをフィルタリングすることを可能にします。ネットワーク用語では、ポートとは、1つのマシンと別のマシンとの間の接続が終了する場所です。ポートは仮想、つまりソフトウェアベースであり、マシンの物理コンポーネントに対応していません。一部のポートは、特定の種類のネットワーク接続用に確保されています。たとえば、HTTPS接続はポート443で行われます。

次世代のファイアウォールと従来のファイアウォールの機能の違いは何か

NGFWには上記のすべての機能があります。しかし、さらに、従前のファイアウォール製品では利用できなかったテクノロジーが含まれています:

侵入防止システム(IPS):侵入防止システムは、サイバー攻撃を積極的に検出してブロックします。これは、警備員が正面玄関に立っているだけでなく、積極的に建物内をパトロールしているようなものです。

ディープパケットインスペクション(DPI):通常、従来のファイアウォールは通過するデータパケットのヘッダー*のみを検査します。NGFWは、マルウェアやそのほかの種類の悪意のあるトラフィックをより適切に検出するために、データパケットヘッダーとパケットペイロードの両方を検査します。これは、セキュリティチェックポイントで、保安検査員が、荷物の持ち主に荷物の中身を自己申告させるのではなく、実際に荷物の中身を検査するようなものです。

*パケットヘッダーは、パケット全体に関する情報(どれくらいの時間でどこから始まったかといった情報など)を含んでいます。

アプリケーション制御:ネットワークトラフィックの分析に加えて、NGFWはトラフィックがどのアプリケーションから来たものかを特定できます。それに基づいて、NGFWは、さまざまなアプリケーションがアクセスできるリソースを制御したり、特定のアプリケーションを完全にブロックしたりできます。

ディレクトリ統合:ユーザーディレクトリにより、組織の内部チームは各ユーザーが持つアクセス権限とアクセス許可を追跡できます。一部のNGFWは、これらの内部ユーザーディレクトリに基づいてネットワークトラフィックまたはアプリケーションをフィルタリングできます。ユーザーが特定のアプリケーションにアクセスする権限を持っていない場合、アプリケーションが悪意のあるものとして識別されていなくても、そのユーザーのそのアプリケーションへのアクセスはファイアウォールによってブロックされます。

暗号化されたトラフィックの検査:一部のNGFWは、 SSL/TLSによって暗号化されたトラフィックを実際に復号化して分析することができます。ファイアウォールは、TLSプロセスのプロキシとして機能することでこれを行うことができます。Webサイト上のすべてのトラフィックは、ファイアウォールによって復号化され、分析され、再び暗号化されます。ユーザーの観点から見ると、このプロキシは事実上シームレスであり、通常のようにセキュアなHTTPSWebサイトと対話できます。

NGFWはクラウドとオンプレミスのどちらにリリースされるか

NGFWは、クラウドまたはオンプレミスのどちらでも実行できます。従来のファイアウォールと次世代ファイアウォールの唯一の違いは、上記のような次世代機能を備えているかどうかです。

Firewall-as-a-Service(FWaaS)とは?

Firewall-as-a-Service(FWaaS)は、サードパーティベンダーによってクラウドでホストされているファイアウォールです。このタイプのサービスは「クラウドファイアウォール」とも呼ばれます。

FWaaSは物理アプライアンスではなく、自社施設内でホストされてもいません。Software-as-a-ServiceまたはPlatform-as-a-Serviceなどのほかの「as-a-Service」カテゴリーと同様に、FWaaSはクラウドで実行され、インターネット経由でアクセスされます。

クラウドコンピューティングの進歩の前、ファイアウォールは信頼できるネットワークと信頼できないネットワークの間にあり、信頼できるネットワークと信頼できないネットワークの間には明確な境界がありました。しかし、クラウドコンピューティングでは、「ネットワーク境界」と呼ばれるこの境界は必ずしも存在しません。これは、信頼できるクラウド資産が信頼できないネットワーク(インターネット)を介してアクセスされるためです。クラウドでホストされたファイアウォールは、このネットワーク境界の欠如にもかかわらず、これらの資産を安全に保ちます。

FWaaS(クラウドファイアウォール)とNGFWの違いは?

次世代ファイアウォールとクラウドファイアウォール

FWaaS /クラウドファイアウォールを含む最新のファイアウォールは、次世代のものです。ただし、「FWaaS」と「次世代」は、ファイアウォールの2つの異なる特性について説明しています。FWaaSは、ファイアウォールの場所を示します。「次世代」はファイアウォールでできることを説明しています。

次世代機能を備えたファイアウォールは、ホストされている場所に関係なく、NGFWです。クラウドファイアウォール(FWaaS)は、次世代機能を備えているかどうかにかかわらず、クラウドでホストされます。さらに、クラウドホスト型ファイアウォールは、ベンダーによって構成、保守、および更新されるため、顧客による保守が容易になり、通常は最新かつ安全になります。

Cloudflareが提供するファイアウォールの種類は?

Cloudflare WAF(Webアプリケーションファイアウォール)は、クラウド資産とWebアプリケーションを保護するクラウドベースのファイアウォールです。Cloudflare WAFは、新しい潜在的な脅威を継続的に特定してブロックするという点でユニークです。これは、Cloudflareのグローバルネットワーク全体からのトラフィックデータを分析することにより行っています。