次世代ファイアウォール(NGFW)とは?| NGFWとFWaaS

次世代ファイアウォール(NGFW)とは最新の強力な機能を備えたファイアウォールです。 次世代ファイアウォール(すべてとは限りません)はクラウドでホストすることができます。

Share facebook icon linkedin icon twitter icon email icon

次世代ファイアウォール

学習目的

この記事を読み終えると、以下のことができます。

  • 「次世代ファイアウォール」を定義する
  • 次世代ファイアウォールと従来型ファイアウォールを対比する
  • クラウドファイアウォールが次世代ファイアウォールとどのようにオーバーラップするかを知る

次世代ファイアウォール(NGFW)とは?

次世代ファイアウォール(NGFW)は、従来のファイアウォールよりも強力です。NGFWは従来のファイアウォールの機能を備えていますが、さまざまな組織のニーズに対応し、潜在的な脅威をより多くブロックするための追加機能も多数備えています。これらは、こうした機能を持たない従来のファイアウォールと区別するために、「次世代」と呼ばれます。

次世代ファイアウォールと従来のファイアウォールの違いは、スマートフォンと昔ながらの携帯電話の違いに似ています。両方に共通の機能がいくつかあります。テキストメッセージ、音声通話、連絡先リストなどです。しかし、スマートフォンには非常に多くの高度な機能が追加されているため、実際には異なるタイプの製品であり、結果として呼び名が異なっています。

ファイアウォールは何を行いますか?

ファイアウォールは、一連のセキュリティルールに基づいてネットワークトラフィックを監視および制御するセキュリティ製品です。ファイアウォールは、サーバーまたはコンピューターにインストールされたソフトウェアアプリケーションでも、内部ネットワークに接続する物理ハードウェアアプライアンスでもかまいません。ファイアウォールは通常、信頼できるネットワークと信頼できないネットワークの間にあります。多くの場合、信頼できるネットワークは企業の内部ネットワークであり、信頼できないネットワークはインターネットです。

従来のファイアウォールの一般的な機能には、パケットフィルタリング、ステートフルインスペクション、プロキシ、IPブロッキング、ドメイン名ブロッキング、ポートブロッキングが含まれます。

  • パケットフィルタリングは、潜在的に危険なネットワークトラフィックをフィルタリングする機能を指します。ネットワーク(インターネットなど)上を移動するすべてのデータは、パケットと呼ばれる小さなチャンクに分割されます。ファイアウォールは、個々のパケットを調べて、既定の特定のルールに一致する場合、内部ネットワークへの出入りをブロックします。
  • ステートフルインスペクションでは、パケットフィルタリングのレベルが上がります。ステートフルインスペクションを使用すると、ファイアウォールは、ファイアウォールを通過した他のパケットのコンテキストでデータパケットを検査できます。データパケット自体は無害に見える場合がありますが、ネットワーク内の異常な宛先に向かっている場合、悪意のあるものである可能性があります。(たとえば、SQLクエリはそれ自体では悪意のあるものではありませんが、Webフォームを介して送信された場合、SQLインジェクション攻撃の一部である可能性があります。)
  • プロキシは、ネットワーク用語では、1つのマシンが別のマシンに代わってネットワークトラフィックを送信または受信することを指します。ファイアウォールは、内部ネットワーク内のユーザーデバイスに代わって要求を行い、ネットワーク応答を受信し、それらのデバイスに到達する前に悪意のあるデータを除外することにより、プロキシとして機能できます。
  • IP名およびドメイン名のブロックは、ファイアウォールがユーザーが特定のWebサイトまたはアプリケーションにアクセスするのを完全にブロックできることを意味します。
  • ポートブロックは、ファイアウォールが特定の種類のネットワークトラフィックを除外することを許可します。ネットワーク用語では、ポートとは、あるマシンと別のマシンとの間の接続が終了する場所です。ポートは仮想、つまりソフトウェアベースであり、マシンの物理コンポーネントに対応していません。一部のポートは、特定の種類のネットワーク接続用に確保されています。たとえば、 HTTPS 接続はポート443で行われます。

次世代のファイアウォールと従来のファイアウォールの機能の違いは何ですか?

NGFWには上記のすべての機能があります。しかし、さらに、従前のファイアウォール製品では利用できなかったテクノロジーが含まれています:

侵入防止システム(IPS):侵入防止システムは、サイバー攻撃を積極的に検出してブロックします。これは、正面玄関の隣に座っているだけでなく、建物を積極的にパトロールする警備員がいるようなものです。

ディープパケットインスペクション(DPI):従来のファイアウォールは通常、通過するデータパケットのヘッダー*のみを検査します。NGFWは、マルウェアやその他の種類の悪意のあるトラフィックをより適切に検出するために、データパケットヘッダーとパケットペイロードの両方を検査します。これは、セキュリティ担当者が、荷物の持ち主に荷物の中に何が入っているかを担当者に報告させるのではなく、セキュリティ担当者が実際に荷物の内容を検査するセキュリティチェックポイントのようなものです。

*パケットヘッダーは、パケット全体に関する情報(どれくらいの時間でどこから始まったかといった情報など)を含んでいます。

アプリケーション制御:ネットワークトラフィックの分析に加えて、NGFWはトラフィックがどのアプリケーションから来たものかを特定できます。それに基づいて、NGFWは、さまざまなアプリケーションがアクセスできるリソースを制御したり、特定のアプリケーションを完全にブロックしたりできます。

ディレクトリ統合:ユーザーディレクトリにより、組織の内部チームは各ユーザーが持つ特権と権限を追跡できます。一部のNGFWは、これらの内部ユーザーディレクトリに基づいてネットワークトラフィックまたはアプリケーションをフィルタリングできます。ユーザーが特定のアプリケーションにアクセスする権限を持っていない場合、アプリケーションが悪意のあるものとして識別されていなくても、そのアプリケーションはファイアウォールによってそのユーザーに対してブロックされます。

暗号化されたトラフィックの検査:NGFWの一部はSSL/TLSによって暗号化されたトラフィックを実際に復号化して分析することができます。ファイアウォールは、TLSプロセスのプロキシとして機能することでこれを行うことができます。Webサイトとの間のすべてのトラフィックは、ファイアウォールによって復号化され、分析され、再び暗号化されます。ユーザーの観点から見ると、このプロキシは事実上シームレスであり、通常のようにセキュアなHTTPS Webサイトと対話できます。

NGFWはクラウドとオンプレミスのどちらにリリースされますか?

NGFWは、クラウドでもオンプレミスでもどちらでも実行できます。従来のファイアウォールと次世代ファイアウォールを区別する唯一の違いは、上記のような次世代機能を備えているかどうかです。

Firewall-as-a-Service(FWaaS)とは?

Firewall-as-a-Service(FWaaS)は、サードパーティベンダーによってクラウドでホストされているファイアウォールです。このタイプのサービスは「クラウドファイアウォール」とも呼ばれます。

FWaaSは物理アプライアンスではなく、組織の敷地内でホストされてもいません。 Software-as-a-Service または Platform-as-a-Service などの他の「as-a-Service」カテゴリと同様に、FWaaSはクラウドで実行され、インターネット経由でアクセスされます。

クラウドコンピューティングの進歩の前、ファイアウォールは信頼できるネットワークと信頼できないネットワークの間にあり、信頼できるネットワークと信頼できないネットワークの間には明確な境界がありました。しかし、クラウドコンピューティングでは、「ネットワーク境界」と呼ばれるこの境界は必ずしも存在しません。これは、信頼できるクラウド資産が信頼できないネットワーク(インターネット)を介してアクセスされるためです。クラウドでホストされたファイアウォールは、このネットワーク境界の欠如にもかかわらず、これらの資産を安全に保ちます。

FWaaS(クラウドファイアウォール)とNGFWの違いは?

Next-Generation Firewall vs Cloud Firewall

FWaaS /クラウドファイアウォールを含む最新のファイアウォールは、次世代のものです。ただし、「FWaaS」と「次世代」は、ファイアウォールの2つの異なる特性について説明しています。FWaaSは、ファイアウォールの場所を示します。「次世代」はファイアウォールでできることを説明しています。

次世代機能を備えたファイアウォールは、ホストされている場所に関係なく、NGFWです。クラウドファイアウォール(FWaaS)は、次世代機能を備えているかどうかにかかわらず、クラウドでホストされます。さらに、クラウドホスト型ファイアウォールは、ベンダーによって構成、保守、および更新されるため、顧客による保守が容易になり、通常は最新かつ安全になります。

Cloudflareが提供するファイアウォールの種類は?

Cloudflare WAF (Webアプリケーションファイアウォール)は、クラウド資産とWebアプリケーションを保護するクラウドベースのファイアウォールです。Cloudflare WAFは、新しい潜在的な脅威を継続的に特定してブロックするという点でユニークです。これは、グローバルなCloudflareネットワーク全体からのトラフィックデータを分析することにより行っています。