次世代ファイアウォールが“次世代”を名乗るゆえんは、FacebookやDropbox、LINEなどのアプリケーションを識別・制御するアプリケーションコントロールの機能にある。従来型ファイアウォールがIPアドレスやポート番号というレイヤ3/4の情報をもとに通信を制御するのに対して、次世代ファイアウォールではレイヤ7レベルでの可視化と通信制御が可能だ。

だが、［前編］UTMとは何が違う？ アプリ識別・制御の3つの使い方で触れた通り、今やアプリケーションコントロールは、大半のセキュリティゲートウェイが搭載する機能。アプリケーションコントロールだけでは、“次世代”という呼称がふさわしくなくなりつつあるのも事実だ。その一方で、サイバー攻撃の高度化・巧妙化は相変わらず続いており、これに対抗するためセキュリティゲートウェイ側も進化を止めるわけにはいかない。そこで進展しているのが、次世代ファイアウォールのさらなる“次世代化”だ。

未知のサイバー攻撃を防ぐ“次世代”機能が次々に

その代表的な動きが、ゼロデイ攻撃や標的型攻撃など、シグネチャベースのセキュリティ対策では防げないサイバー攻撃への対応強化だ。次世代ファイアウォールベンダーそれぞれのアプローチで取り組みが行われている。

例えば、パロアルトネットワークスやチェック・ポイント・ソフトウェア・テクノロジーズの次世代ファイアウォールは、シグネチャのない未知のマルウェアを検知できるサンドボックス機能を提供している。未知のファイルを隔離された仮想環境であるサンドボックス上で実際に実行し、そのふるまいを検査することで、マルウェアかどうかを解析する。

チェック・ポイントの場合は「平均で60～70秒」（同社 システムエンジニアリング本部長 村田眞人氏）と解析に多くの時間やリソースが必要だったり、サンドボックス上ではマルウェアとして挙動しない巧妙なマルウェアも存在するなどの課題も指摘されているが、未知のマルウェアを防ぐ有効な対策として、サンドボックス機能は最近大きな注目を集めている。

チェック・ポイント・ソフトウェア・テクノロジーズのサンドボックス機能「Threat Emulation」の概要（出所：チェック・ポイント・ソフトウェア・テクノロジーズ会見資料）

また、ウォッチガード・テクノロジー・ジャパンでは、レピュテーション・セキュリティ機能を提供している。クラウド上のレピュテーション（評判）データベースを活用し、悪意あるURLや疑わしいURLへのアクセスを制御できる機能だ。シグネチャではなく、レピュテーションをもとにアクセスをブロックするため、ゼロデイ攻撃対策ともなる。ブルーコートシステムズなどが同様の機能を提供しているが、大半はポイントソリューション製品での提供。次世代ファイアウォールやUTMといった統合セキュリティ製品の1機能として実装しているのは、「メジャーな製品ではウォッチガードが唯一」と同社 システムエンジニア部 プリセールスエンジニアの猪股修氏は話す（関連コンテンツ）。

レピュテーション・セキュリティの概要（出所：ウォッチガード・テクノロジー・ジャパン資料）