前編「UTMとは何が違う? アプリ識別・制御の3つの使い方」と中編「さらなる“次世代化”が続々進展」では、次世代ファイアウォールの基本的特徴や最新動向について紹介した。今回の後編では、次世代ファイアウォールを選定するうえで重要なポイントを整理する。
1.統合セキュリティを実現できるか? 脅威を本当に検知できるか?
サイバー攻撃を防ぐには、「多層防御が不可欠」というのは今や常識だ。攻撃者は様々な手法を組み合わせて攻撃を仕掛けてくる。このため、1種類のセキュリティ対策で防御することは難しく、ファイアウォール、IPS/IDS、アンチウィルスなど、何重にもセキュリティ対策を重ねることが必要だ。
1台で複数のセキュリティ機能を実現できる次世代ファイアウォールは、こうした多層防御を効率よく行えるソリューションである。機能ごとに専用のアプライアンスを導入するのと比べて、コストを大幅に削減できる。
この「統合セキュリティ」という観点では、必要なセキュリティ機能がしっかり揃っているかが大切である。ファイアウォール、IPS/IDS、アンチウィルスなどの機能は、どの次世代ファイアウォールも搭載しているが、差が現れるのは最新の脅威への対応だ。
例えば、中編では次世代ファイアウォールの最新動向として、シグネチャベースの対策では防げないゼロデイ攻撃や標的型攻撃を防御するためのセキュリティ機能を搭載するベンダーが増えていることを紹介した。こうした最新の脅威への対応が迅速なベンダーは、今後さらに新たな脅威が出てきた際にも迅速な対応が期待できる。
ただし、目新しい機能ばかりにとらわれ過ぎるのも問題だ。セキュリティ対策の基本はやはりシグネチャベース。こうした最新のセキュリティ機能の優劣だけではなく、アンチウィルスやIPS/IDSといった基本的な機能についても、できるだけ実際のブロック率などをチェックしておきたい。セキュリティ製品のテストや研究を行う第三者機関であるNSS Labsでのテスト結果を提供している次世代ファイアウォールベンダーは多いので、これが参考になるだろう。マクニカネットワークスのように、各社の製品を独自に比較検証している販売代理店もある(関連コンテンツ)。
 |
| セキュリティ製品のテスト機関として著名なNSS Labsの評価例(出所:ジュニパーネットワークス資料) |
