次世代ファイアウォール完全ガイド(前編)次世代ファイアウォールの“正体”とニーズ急増の背景

SaaSなどクラウド上のWebアプリケーションを利用する機会がビジネスシーンでも増えているが、こうしたトレンドに伴い、注目が高まっているのが「次世代ファイアウォール」だ。前編では従来型ファイアウォールとの違いや必要性が高まっている理由など、その基本を解説する。

「次世代ファイアウォール」とは?

最近、「次世代ファイアウォール」という言葉を使うネットワーク機器ベンダが急速に増えつつあるが、従来のファイアウォールとは一体どこが違うのだろうか。例えば、UTM(Unified Threat Management)製品をラインナップしているベンダでも次世代ファイアウォールという言葉を使い始めているが、UTMツールと次世代ファイアウォールとの違いはどこにあるのだろうか。

実は、この疑問に対する答えはそう単純ではない。本稿執筆時点での状況を踏まえて答えを整理してみると、おおよそ次の3つのパターンが考えられる。

回答1:ベンダによってその定義は多少異なり、最新のUTM上位機種には次世代ファイアウォールという呼び名が付けられている。

ベンダによって、UTMやアプリケーションファイアウォールといった言葉と混在して使われているのが現状だ。ただし、その一方で、従来型ファイアウォールとの違いを明確に説明しているベンダもある。例えばパロアルトネットワークスでは、次世代ファイアウォールの主な要件として、次の機能を挙げている。

・ポートとプロトコルではなくアプリケーションを識別
プロトコル、SSL 暗号化、セキュリティ回避手法などにかかわらず、すべてのポートでアプリケーションの種類を正確に識別できる。アプリケーション識別情報は、すべてのセキュリティポリシーの基準になる。

・IP アドレスだけでなくユーザも識別
Active Directoryや認証サーバに格納されている情報を、可視化、ポリシー作成、レポート作成、およびフォレンジック調査に利用できる。

・リアルタイムでコンテンツを検査
アプリケーショントラフィックに埋め込まれた攻撃および悪意のあるソフトウェアから低遅延、高スループット速度でネットワークを守ることができる。

・ポリシー管理を簡略化
使いやすいグラフィカルツールとポリシーエディタを使用することで、可視化と制御を簡単に実現できる。

・マルチギガビットのスループットを実現
専用のプラットフォームでハイパフォーマンスなハードウェアとソフトウェアを組み合わせて使用することにより、すべてのサービスが使用可能な状態でも低遅延およびマルチギガビットパフォーマンスを実現できる。

回答2:GartnerやIDC、あるいはミック経済研究所などの調査会社がそれぞれ定義している次世代ファイアウォールのこと。

例えば、Gartnerのレポート「Defining the Next-Generation Firewall」では、その位置づけを次のように説明している。

・従来のファイアウォールのステートフルなプロトコルフィルタリングや限定的なアプリケーション識別では今日の新しい脅威に対応できない。

・ファイアウォールとIPSのような別製品を併用するようなアプローチでは、運用コストを増加させるだけで実質的にセキュリティは向上しない。

・これに対し、次世代ファイアウォールではInbound/Outbound両方向に対して、アプリケーションに特化した脅威を検知し、きめ細やかなアクセス制御を実施できる。

また、ミック経済研究所では、「次世代ファイアウォールとはファイアウォール、アンチウィルス、不正侵入検知・防御などの機能は勿論、シングルエンジン・シングルパスでアプリケーション制御・アプリケーション可視化を行うセキュリティアプライアンス」と定義している。

回答3:UTMにアプリケーションのコントロール機能と可視化機能が統合されている製品のこと。

回答1と回答2を考慮しながら、次世代ファイアウォールという言葉を使っているベンダ全体をくくってみると、おおよそこのような定義に落ち着く。また、次世代というからには何に対して次世代なのかという点も気になるところだが、これについては、IPヘッダとTCP(UDP)ヘッダに含まれている「宛先IPアドレス」、「送信元IPアドレス」、「プロトコル」、「送信元ポート番号」、「宛先ポート番号」、「フラグ」などを調べることでセキュリティを確保するパケットフィルタリングや、ヘッダ情報だけでなくアプリケーション層のデータ内容までチェックし、その状況に応じて自動的にパケットをフィルタリングしてくれるステートフルインスペクションに対応したファイアウォールのことを指している。したがって、従来のファイアウォールでもアプリケーションに対するアクセス制御は可能だが、次世代ファイアウォールではこの部分が大幅に強化されているのである。

【コラム】 次世代ファイアウォールは「第4世代」?
ファイアウォールの歴史を簡単に振り返ってみると、まず1990年代初期に登場したサーバにインストールするソフトウェアタイプが第1世代。次に、1997年頃からハードウェア一体型ファイアウォールが登場し始めたが、これが第2世代。そして、VPNなどのネットワーク管理機能やアンチウィルスなどのセキュリティ対策機能との複合機能化(UTM)が進んだのが第3世代とすれば、次世代ファイアウォールは第4世代と言えるかもしれない。

続きのページは、会員の方のみ閲覧していただけます。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。