クラウドやIoTなどネットワークの増加、広がりに伴い、従来の境界型防御から「ゼロトラストセキュリティ」への移行が進んでいます。そんな中で「防火壁」という名前の通り、外部ネットワークと内部ネットワークを分断する境界型防御の代表ツールだったファイアウォールにはどのようなアップデートがなされているのでしょうか。 早速、次世代ファイアウォールと従来型ファイアウォールの違い、UTMとの関係、クラウドサービスとしてのファイアウォール「FWaaS」の概要などについて見ていきましょう。

「次世代ファイアウォール」とは？ 従来のファイアウォールと何が違うのか

「次世代ファイアウォール（NGFW：Next Generation FireWall）」とは、WAF（Web Application Firewall）が持つようなアプリケーション層における通信を監視・管理する機能を搭載することで、巧妙なサイバー攻撃や多様化したネットワーク環境に対応するアップデート型のファイアウォールのことです

ネットワークの外部と内部の境界に設置され、不正と判断される通信を監視・遮断するファイアウォール。従来はIP、TCP、UDPなどOSI参照モデルにおけるネットワーク層・トランスポートの通信におけるヘッダ情報の整合性をもとに通信の可否を判断する方式が基本となっており、多くの場合過去の通信記録からその正統性を判断する「ステートフルインスペクション」が用いられていました。

しかし、暗号化を悪用したマルウエア攻撃やプロキシを経由した攻撃、HTTP/HTTPS通信で用いられる80/443ポートを経由した攻撃など、ステートフルインスペクションをかいくぐるサイバー攻撃が増加してきています。そこで、データ本体の監査を行う「ディープパケットインスペクション（DPI）」が有効な対策として導入されることになりました。

次世代ファイアウォールが登場したのは2000年代後半のことですが、その市場規模は拡大し続けており、ゼロトラスト時代においてもセキュリティにおいて重要な位置を占めると考えられます。

次世代ファイアウォールとUTMの関係は？

ファイアウォールと並べて取り扱われることの多いセキュリティツールに「UTM（Unified Threat Management：統合脅威管理）」があります。

その名の通り、アンチウイルス・アンチスパムや不正な通信を検知・防止する「IDS/IPS」、隔離された環境で未知のプログラムを実行・分析する「サンドボックス」など統合的なセキュリティ環境を提供するのがUTMであり、そのコア技術の一つとしてファイアウォールが位置付けられていました。

現在もUTMとファイアウォールの関係は基本的には変わらないものの、次世代ファイアウォールと称される製品にはIDS/IPSやサンドボックスなど前述のセキュリティ機能が搭載されてきており、両者の境界はあいまいになっています。

ただし、やはりその成り立ちからUTMは統合的・中小規模ネットワーク向け、次世代ファイアウォールはファイアウォール機能中心・大規模ネットワーク向けの傾向があるといわれます。

両者いずれかの導入を検討している場合は、まず現状のセキュリティ環境や自社ネットワークの規模を明らかにし、それに当てはまる製品像を描きましょう。

ファイアウォールをクラウドで利用する「FWaaS」

ファイアウォールの領域にもクラウド化の波が押し寄せており、クラウドで提供されるファイアウォールサービスをFWaaS（FireWall as a Service）といいます。 複数のネットワークにファイアウォールを設置する場合でも、サービスとして導入することでシンプルな構成が実現でき、うまく使えば導入・運用の手間が少なく、効率的に利用できる可能性があるのがFWaaSの強みです。特にテレワーク・リモートワークの普及で業務ネットワークの分散が進んだことで、FWaaSへの注目は高まりました。ただし、品質がベンダーにゆだねられる、利用規模や体制によってコストが膨れ上がる可能性がある、といった注意点はほかのクラウド製品と変わらず存在します。

また、クラウド環境におけるUTMのことはSASE（Secure Access Service Edge）といい、2019年ごろに提唱されはじめたまだまだ新しい概念です。通信障害発生時のフェイルオーバー（インシデント発生時に待機システムに切り替える仕組み）など対策は必要なものの、FWaaS市場、SASE市場も今後拡大が予想されることは押さえておきましょう。

今求められる、ゼロトラストセキュリティと境界型防御のハイブリッド対策

ゼロトラストセキュリティが主流だからこそ、あえて注目したい「次世代ファイアウォール」の特性について解説してまいりました。境界型防御が絶対ではないからといって何も対策しなくてよいわけではなく、外部からの攻撃を防ぐための手立てを十分に講じ、そのセキュリティを監視・管理しつづける仕組み・体制を構築するハイブリッド型のサイバーセキュリティが今求められています。