「次世代ファイアウォール」とは？

最近、「次世代ファイアウォール」という言葉を使うネットワーク機器ベンダが急速に増えつつあるが、従来のファイアウォールとは一体どこが違うのだろうか。例えば、UTM（Unified Threat Management）製品をラインナップしているベンダでも次世代ファイアウォールという言葉を使い始めているが、UTMツールと次世代ファイアウォールとの違いはどこにあるのだろうか。

実は、この疑問に対する答えはそう単純ではない。本稿執筆時点での状況を踏まえて答えを整理してみると、おおよそ次の３つのパターンが考えられる。

回答１：ベンダによってその定義は多少異なり、最新のUTM上位機種には次世代ファイアウォールという呼び名が付けられている。

ベンダによって、UTMやアプリケーションファイアウォールといった言葉と混在して使われているのが現状だ。ただし、その一方で、従来型ファイアウォールとの違いを明確に説明しているベンダもある。例えばパロアルトネットワークスでは、次世代ファイアウォールの主な要件として、次の機能を挙げている。

・ポートとプロトコルではなくアプリケーションを識別
プロトコル、SSL 暗号化、セキュリティ回避手法などにかかわらず、すべてのポートでアプリケーションの種類を正確に識別できる。アプリケーション識別情報は、すべてのセキュリティポリシーの基準になる。

・IP アドレスだけでなくユーザも識別
Active Directoryや認証サーバに格納されている情報を、可視化、ポリシー作成、レポート作成、およびフォレンジック調査に利用できる。

・リアルタイムでコンテンツを検査
アプリケーショントラフィックに埋め込まれた攻撃および悪意のあるソフトウェアから低遅延、高スループット速度でネットワークを守ることができる。

・ポリシー管理を簡略化
使いやすいグラフィカルツールとポリシーエディタを使用することで、可視化と制御を簡単に実現できる。

・マルチギガビットのスループットを実現
専用のプラットフォームでハイパフォーマンスなハードウェアとソフトウェアを組み合わせて使用することにより、すべてのサービスが使用可能な状態でも低遅延およびマルチギガビットパフォーマンスを実現できる。

回答２：GartnerやIDC、あるいはミック経済研究所などの調査会社がそれぞれ定義している次世代ファイアウォールのこと。

例えば、Gartnerのレポート「Defining the Next-Generation Firewall」では、その位置づけを次のように説明している。

・従来のファイアウォールのステートフルなプロトコルフィルタリングや限定的なアプリケーション識別では今日の新しい脅威に対応できない。

・ファイアウォールとIPSのような別製品を併用するようなアプローチでは、運用コストを増加させるだけで実質的にセキュリティは向上しない。

・これに対し、次世代ファイアウォールではInbound/Outbound両方向に対して、アプリケーションに特化した脅威を検知し、きめ細やかなアクセス制御を実施できる。

また、ミック経済研究所では、「次世代ファイアウォールとはファイアウォール、アンチウィルス、不正侵入検知・防御などの機能は勿論、シングルエンジン・シングルパスでアプリケーション制御・アプリケーション可視化を行うセキュリティアプライアンス」と定義している。

回答３：UTMにアプリケーションのコントロール機能と可視化機能が統合されている製品のこと。

回答１と回答２を考慮しながら、次世代ファイアウォールという言葉を使っているベンダ全体をくくってみると、おおよそこのような定義に落ち着く。また、次世代というからには何に対して次世代なのかという点も気になるところだが、これについては、IPヘッダとTCP（UDP）ヘッダに含まれている「宛先IPアドレス」、「送信元IPアドレス」、「プロトコル」、「送信元ポート番号」、「宛先ポート番号」、「フラグ」などを調べることでセキュリティを確保するパケットフィルタリングや、ヘッダ情報だけでなくアプリケーション層のデータ内容までチェックし、その状況に応じて自動的にパケットをフィルタリングしてくれるステートフルインスペクションに対応したファイアウォールのことを指している。したがって、従来のファイアウォールでもアプリケーションに対するアクセス制御は可能だが、次世代ファイアウォールではこの部分が大幅に強化されているのである。