この数年で、すっかり一般的になった「次世代ファイアウォール」という言葉。最近では、数多くのセキュリティゲートウェイベンダーが次世代ファイアウォールと銘打って、自社製品を訴求している。
次世代ファイアウォールとは、狭義ではアプリケーションコントロールの機能を実装したセキュリティゲートウェイのことだ。FacebookやTwitter、Dropbox、Google Apps、Office 365、Skypeなどのアプリケーションを可視化し、アクセスの許可/不許可などの制御を行うための機能がアプリケーションコントロールである。
 |
| アプリケーションコントロール機能では、このようにアプリケーションの利用状況を可視化し、様々な制御を行うことができる(出所:マクニカネットワークス資料) |
現在、数多くのアプリケーションがネットワークを介して利用するようになっているが、送信元/宛先IPアドレスとポート番号を見てアクセスを制御する旧来型のファイアウォールでは、こうしたアプリケーションの種類を識別できない。そこで登場したのがアプリケーションコントロール機能であり、クラウド化が進展するなか、今や多くのセキュリティゲートウェイがこの機能を実装している。
次世代ファイアウォールか? UTMか?
ガートナーは、アプリケーションコントロールに加えて、ファイアウォールとIPSの機能を備えたセキュリティゲートウェイを次世代ファイアウォール(Next Generation Firewall)と定義しているが、そこでUTM(Unified Threat Management:統合脅威管理)アプライアンスとの違いが気になる人もいるかもしれない。ファイアウォール、IPS、アンチウィルス、アンチスパムなど、さらに様々なセキュリティ機能を1台で統合的に実現できるのがUTMだ。
 |
| 次世代ファイアウォールとUTMの違い(出所:ウォッチガード・テクノロジー・ジャパン資料) |
結論から言えば、製品選定時に「次世代ファイアウォールか? UTMか?」といったことを気にする必要は基本的にない。ガートナーの定義によれば、「次世代ファイアウォールはUTMのサブセット(一部分)」となるが、次世代ファイアウォールと名乗る製品もアンチウィルスやアンチスパムなどの機能はサポートしているからだ。一方、UTMを名乗る製品も、ほとんどがアプリケーションコントロール機能をサポートしている。
つまり、実現可能なセキュリティ機能の種類を比較するかぎり、両者に実質的な違いはない。次世代ファイアウォールかUTMかは、「どちらを名乗るのがマーケティング上いいか」という各ベンダーごとの判断に過ぎないということだ。フォーティネットのように、エンタープライズ向けには「次世代ファイアウォール」、SMB向けには「UTM」と訴求するベンダーもある(関連記事:フォーティネットが大企業向けに「次世代ファイアウォール」宣言)。
「“次世代”という言葉が入っているから、『UTMより次世代ファイアウォールのほうが先進的』というイメージを持っているユーザー企業も一部いる」。あるベンダーはこう話すが、表面的な言葉に惑わされることなく、自社に必要な機能・パフォーマンスを持った製品を選定することが肝心だ。
