次世代ファイアウォールとは?従来から進化した点やメリット・デメリット
次世代ファイアウォールは従来型の回避能力を搭載しつつ、これまでの弱点をカバーした非常に優れた製品です。では、実際に次世代ファイアウォールとはどのような機能を搭載しているのでしょうか。
今回は次世代ファイアウォールについてや、メリット・デメリットも解説していきます。最後におすすめの製品もいくつか紹介していきますので、導入を検討されている方の参考になれば幸いです。
すぐにおすすめのセキュリティ対策製品が知りたい方は下記のリンクをクリックしてください。 当サイトで選定したおすすめセキュリティ対策製品をまとめています。
目次
次世代ファイアウォール(NGFW)とは
次世代ファイアウォールとは、従来型ファイアウォールの課題を解決するために開発されたシステムです。以下では、次世代ファイアウォールについて詳しく解説していきます。
従来のファイアウォールとの違い
機能を比較する前に、まずは従来のファイアウォールのスペックを確認しましょう。従来型ファイアウォールの主な機能は、次の通りです。
- IPアドレスを変換する
- 不正アクセスがあった場合、管理者に通知してくれる
- ポート番号やプロトコルなどをフィルタリングする
- 遠隔地からファイアウォールを操作、管理する
- 管理画面でステータスの変化やエラーなどを確認できる
- 通信履歴の追跡が可能
次世代ファイアウォールは上であげた従来型に加えて、以下のような機能が組み合わされています。
- 統合型の侵入防止システム(IPS)
- インラインのアプリケーション制御
- 脅威対策
- ウイルス対策などのネットワーク デバイス フィルタリング機能
これによりネットワークセキュリティを、より強固なものにしています。従来型のスペックを保持しつつ、さらに多くの機能が拡張されているのが次世代ファイアウォールです。
UTMやIPS/IDS、WAFとの違いは?
次世代ファイアウォールとUTM・IPS/IDS・WAFとの違いは、カバーする範囲にあります。それぞれのカバー範囲は次の通りです。
- UTM
次世代ファイアウォールの機能に加えてアンチウィルスやアンチスパム・Webフィルタリングを搭載しています。 - IPS/IDS
不審な動きをしている通信がないかを監視し、通知します。また、一見すると見分けがつかないパケットの内容を監視し、ルールやパターンによって異常の検知が可能です。 - WAF
アプリケーションのセキュリティ対策だけに特化したシステムです。通信内容を厳格にチェックし、サイバー攻撃からアプリを守ります。
近年の次世代ファイアウォールの中にはアンチスパムやアンチウィルスを揃えているものもあり、機能の境目は曖昧です。また、システムによっては、最適な企業規模が異なる場合もあります。例えばUTMは中小規模に向いているのに対し、次世代型は大企業に最適です。
次世代ファイアウォールの機能
続いて、次世代ファイアウォールの機能について解説していきます。
アプリケーション制御
どのアプリケーションがネットワークにトラフィックを送信しているのかを、常に監視しています。ポートやプロトコルに関係なく、アプリのトラフィックを分析して検出しているのです。
IPS機能
次世代ファイアウォールの中心的な機能で、ネットワークを継続的にモニタリングします。同時に悪意のあるイベントを検出し、未然の防止が可能です。さらに、状況をアラームで通知・トラフィックのブロック・接続リセットなども行えます。
脅威インテリジェンス
ネットワークやITエコシステムにより収集されたデータをもとに、新しい脅威に対抗する機能です。これにより、従来のセキュリティ対策で見逃されていた高度なサイバー攻撃を防御し検知できます。
ウイルス対策
ウイルスを素早く検知して感染しないよう対処してくれる機能です。検出機能は常に進化しているため、スピーディーに変化し続けるウイルスでも未然に防ぐことができます。
次世代ファイアウォールの必要性
近年のサイバー攻撃は非常に多く、企業だけでなく一般家庭で使用する機器にまで危険が及んでいます。そのため、脅威に対抗する高度な保護は必要不可欠なのです。しかし従来型のファイアウォールでは、入口での対処のみとなってしまうので決して充分ではありません。
次世代ファイアウォールは従来型の機能を搭載しつつ、前述したさまざまな機能を兼ね備えています。大企業レベルのセキュリティをカバーできるほどのスペックを持ちながら、簡単に運用できる点も特徴です。
次世代ファイアウォールの課題やデメリットは?
現在、次世代ファイアウォールのほとんどが通信回線のエンドポイントを企業内に置いています。そのため、事務所内で働く場合には非常に効率よく作用してくれるのです。逆をいうと現代のような働く場所を選ばないスタイルでは機能を充分に発揮できません。
前提として次世代型は、クラウドアプリケーションをサポートするように構築されていないのです。クラウドアプリでは当たり前に行われる長期接続を想定していないため、次世代型では負担が大きくなってしまいます。
これをカバーするとなるとコストが非常にかかってしまう上に、充分な機能を発揮できない恐れもあるでしょう。また、SSL通信をスムーズに処理できない点もデメリットとしてあげられます。
現在のネットワークではSSLなどの暗号化が当たり前に使われているため、対策は非常に大きな課題です。機能を変更することで解消できる場合もありますが、マルウェアの通貨リスクも高まってしまいます。
製品の中には、このような課題をカバーする機能を搭載しているものもあります。よりよい製品を取り入れることは、業務効率の向上にも繋がってくるでしょう。そのため、企業の働き方に合った製品の導入が、なによりも大切です。
主要な次世代ファイアウォール6製品を紹介
ここからは、代表的な次世代ファイアウォール製品を紹介します。
Pico-UTM 100 S
株式会社ビープラスが提供するPico-UTM 100 Sは、ファイアウォールやアンチウイルス、アンチスパムなど複数の強力なセキュリティ機能を1台に集約しています。設置が簡単で低価格、さらに端末にLANとWANのケーブルをつなぐだけですぐに使い始めることができます。
ルーター機能は備えていないので、別途ルーターを用意いただき、ルーターとハブの間にこのUTMを設置することになります。台数制限もないため、小規模事業所ではこれさえあれば内部ネットワークのセキュリティ対策は完了します。
また、自動的に本体のウイルス定義ファイルをアップデートし、最新の状態を保ちます。クラウド連携のスキャンに使用するデータは、常時更新されるので、常にセキュリティ機能が利用可能です。大企業並みのセキュリティ環境を、中小企業や個人事業主でも実現することができます。
Pico-UTM 100 Sの比較ポイント
- 簡単に設置・設定できる
- 業界最速クラスの処理速度
- コンパクトでも強力な機能を搭載
Zscaler Cloud Firewall|Zscaler
2023年「Gartner® セキュリティ・サービス・エッジのMagic Quadrant™」で、リーダーの1社と評価されています。カスタムIPSシグネチャーを自動作成し、簡単にユニークな標的型脅威を検出・防止が可能です。
動的ポリシーを活用することで、企業内外の制限なくユーザーを追跡できます。これにより、次世代型では課題だったクラウドなどに対しても高水準の脅威対策が実現できるのです。無制限のインライントラフィック検査とネイティブSSL復号化で隠れた攻撃も見つけられます。
Zscaler Cloud Firewallの比較ポイント
- カスタムIPSシグネチャーで標的型脅威を防止
- ユーザーを追跡する動的ポリシーで企業内外のネットワークへの対策が可能
- ポリシー管理を一元化し幅広いアクセスポリシーを作成できる
Palo Alto Networks PAシリーズ
世界の65,000以上で利用されており、信頼と実績が厚い次世代ファイアウォールです。実際に利用したことがある顧客の評価に基づいた「Gartnerピアインサイトのカスタマーズチョイス賞」を受賞しています。
防御を重視した独自のアーキテクチャを使用することで、導入・運用が容易かつレベルが高い効果の実感が可能です。本社や支社などの複数事務所はもちろん、リモートやモバイルなど幅広いパターンの脅威を回避してくれます。
Palo Alto Networks PAシリーズの比較ポイント
- 世界65,000以上で利用されている
- Gartnerピアインサイトのカスタマーズチョイス賞を連続受賞
- 社内だけでなくリモートやモバイルでも脅威を回避
FortiGate次世代ファイアウォール|フォーティネット
過去13回において「Gartner® ネットワークファイアウォール部門」のMagic Quadrant™に掲載された実績があります。場所に縛られないFortiOSの中核に位置し、さまざまなフォームファクタに対して監視・回避が可能です。
FortiGate次世代ファイアウォールも、企業拠点やリモート・クラウドなどあらゆる場所へ拡張できます。業界最高のROIとAI/MLを活用した脅威防御で、ネットワーキングとセキュリティをサポートするソフトです。
FortiGate次世代ファイアウォールの比較ポイント
- 幅広いフォームファクターを詳細に監視し回避する
- Gartner® ネットワークファイアウォール部門でMagic Quadrant™に13回掲載実績
- 業界最高のROIとAI/MLを活用した脅威防御でネットワーキングとセキュリティをサポート
チェック・ポイント次世代ファイアウォール|チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
チェック・ポイントで取り扱っている各セキュリティ製品は、運用前にデモを利用できます。導入を決める前に使用感を試せるので、納得して運用を進められるでしょう。60以上のさまざまなセキュリティ サービスにより、第5世代の先進的なサイバー攻撃も防御できます。
過去に受賞実績があるSandBlast Zero-Day Protectionを標準搭載している点も特徴です。最高クラスの脅威対策技術を提供してくれます。15種類のモデルで構成されるQuantumセキュリティ ゲートウェイ™で、オンデマンドの拡張にも対応可能です。
チェック・ポイント次世代ファイアウォールの比較ポイント
- 運用前のデモが利用できる
- 60以上の革新的なセキュリティ サービスで第5世代のサイバー攻撃を協力に防御
- 受賞実績のあるSandBlast Zero-Day Protectionを標準搭載
SonicWall|SonicWall
ラインナップが幅広く、小〜大企業・働く場所など企業に最適な機器を選択できます。20年以上にわたり、ICSA Labsのサードパーティ セキュリティ テストを継続的に実施している点も特徴です。
ICSA Labsはネットワークセキュリティ製品の主要な独立テスト機関で、継続的な実施は信頼の証といえるでしょう。カスタム設定テンプレートを使用すれば新しいファイアウォールを素早く導入でき、変化にも柔軟に対応できます。
SonicWallの比較ポイント
- 小~大企業まで最適な機器を選べる
- 20年以上ICSA Labsのサードパーティ セキュリティ テストを実施
- ゼロタッチ展開によりリモートでも導入・管理が可能
Secure Firewall|Cisco
商品のラインナップが豊富で、より企業に最適なファイアウォールを選択できます。デモにも対応しているため、通常の業務中にも実際の使用感を体感できるでしょう。環境全体のポリシーを統一しつつ、優先順位を自動で行ってくれます。
働く場所を選ばない企業でも、ハードウェアのスピードをキープしつつ強固な対策が可能です。暗号化済みトラフィックやアプリケーション環境をスピーディに可視化し、制御能力を回復させることもできます。
Secure Firewallの比較ポイント
- 環境全体のポリシーを統一しつつ自動で優先順位をつけられる
- 暗号化済みトラフィックとアプリケーション環境を細かく可視化
- Cisco SecureX・シスコのオープン オーケストレーション・XDR プラットフォームを唯一搭載
まとめ
従来型ファイアウォールでは、アンチウィルスを検知し防御することが主な役割となっていました。次世代ファイアウォールは従来型の機能を落とさずに、アプリやクラウドなどを継続的に監視し続けられます。
強力なカバー力を得られると同時に簡単に運用できるので、幅広い企業で利用が可能です。導入前にデモを提供している商品もあり、実際の操作感を試すこともできます。今回紹介した製品はどれも信頼と実績を備えているので、導入時の参考にして頂ければ幸いです。
横山 洋介
セカンドラボ株式会社 PR Solution Div.
URL:https://note.com/2ndlabo/n/n33882f74cd71
国立大学を卒業後、新聞記者として4年間勤務。2020年よりセカンドラボ株式会社に入社。医療福祉施設の課題解決プラットフォーム「2ndLabo」にて各種ITツール、レジの導入支援、クリニック開業支援に従事。
2ndLaboのサービスを通じて、これまで1,000件を超えるサービス導入支援・開業支援を担当。得意分野はレジ関連(POSレジ、自動精算機)、ナースコール、レセプト代行。
