次世代ファイアウォール (NGFW) とは
次世代ファイアウォール (NGFW) は、ネットワーク間のトラフィックを許可またはブロックします。次世代ファイアウォールは、従来のパケットフィルタリング型ネットワークファイアウォールの機能に、アプリケーションレベルのパケット検査や侵入防止といった高度な機能を加えています。
次世代ファイアウォールの説明
次世代ファイアウォールは、英語ではnext gen firewall、nextgen firewall、nexgen firewallなどと略されることがあります。ネットワークファイアウォールは、ネットワーク間のトラフィックを分析し、トラフィック特性に関連する定義済みのファイアウォールポリシーに基づいてトラフィックの通過を許可または拒否します。次世代ファイアウォールは、他のシステムから情報を取り込んだり、より多くのトラフィック特性を検査したりすることで、従来型のファイアウォールよりも上位のTransmission Control Protocol/Internet Protocol (TCP/IP) 通信レイヤーでファイアウォールポリシーを適用します。次世代ファイアウォールは、より多くの情報とより深いレベルの検査を使用することで、攻撃を識別して防止します。
次世代ファイアウォールの機能
次世代ファイアウォールは、従来の (レガシー) ネットワークファイアウォールよりも高度な機能を備えています。次世代ファイアウォールの一般的な機能をいくつか以下に示します。
- ディープパケットインスペクション — ネットワークファイアウォールは、4つのTCP/IP通信レイヤー (上からアプリケーション、トランスポート、IP/ネットワーク、ハードウェア/データリンク) の内部でデータを検査します。次世代ファイアウォールは、アプリケーションレイヤーを含む、より上位のTCP/IP通信レイヤーでトラフィックを検査できます。このため、次世代ファイアウォールはアプリケーション対応型であり、アプリケーショントラフィックの移動先と移動元に関するコンテキストや、移動パターンの比較基準となるユーザーやアプリケーションの期待される振る舞いのベースラインといった情報を持っています。
- 侵入検知および侵入防止 — 次世代ファイアウォールはより上位のTCIP/IPレイヤーでトラフィックを検査するため、サイバー攻撃の検知と防止の能力が向上します。次世代ファイアウォールは、特定の動作シグネチャーや異常に基づいて潜在的な悪意のあるアクティビティを監視し、疑わしいトラフィックをネットワークからブロックします。これらの機能は、侵入検知サービス (IDS) および侵入防止サービス (IPS) と呼ばれます。
- 分散型サービス拒否攻撃に対する防御 — サービス拒否 (DoS) 攻撃は、サービスの停止を目的とする悪意のある動作であり、大量の不正な要求を意図的にサービスに送りつけることで、サービスがユーザーからの正当な要求に応えられないようにします。分散型DoS (DDoS) 攻撃は、複数のコンピューターを使用して大量の不正な要求を発生させます。次世代ファイアウォールはステートフルなので、従来型のファイアウォールに比べてこういった種類の攻撃の検知と防御に優れています。ステートフルファイアウォールは、接続要求のより多くの特性を、確立済みの接続と照合してチェックできるので、不正な要求の検知が容易になり、要求の形式が異なっていたり、異なるコンピューターから発生したりしている場合にも対応できます。
次世代ファイアウォールのメリット
次世代ファイアウォールには次のようなメリットがあります。
- サイバー攻撃に対する防御の強化 — 次世代ファイアウォールは、従来型のファイアウォールよりも包括的にトラフィックを検査して分析できるので、従来型のファイアウォールよりも多くの種類のサイバー攻撃を検知して防止できます。たとえば、次世代ファイアウォールは、ネットワークを標的とする悪意のあるトラフィックを検知し、トラフィックを隔離またはブロックすることで侵入を防止できます。
- 規制コンプライアンス義務のサポート — 次世代ファイアウォールは、未認可ユーザーがネットワーク内の秘密のリソースにアクセスすることを防ぎます。これは、米国の健康保険の携行性と責任に関する法律や、EUの一般データ保護規則といったデータプライバシーおよび保護規制の重要な要件です。
- 合理化されたネットワークアーキテクチャー — 次世代ファイアウォールは、基本的なファイアウォール機能に加えて高度な脅威防止機能を備えています。複数のデバイスやアプライアンスの機能を1つのプラットフォームに統合することで、ネットワークインフラストラクチャの複雑さを減らすことができます。
次世代ファイアウォールと統合型脅威管理の違い
統合型脅威管理 (UTM) は、マルウェア (アンチウイルス、フィッシング、トロイの木馬、スパイウェアなど) の検知および軽減や、Webコンテンツフィルタリング (特定の種類のコンテンツやWebサイトへのユーザーアクセスの制限) といったセキュリティサービスから構成されます。次世代ファイアウォールは、UTMサービスとファイアウォール機能を組み合わせることで、1つのプラットフォームで包括的保護を提供します。
次世代ファイアウォールと従来型のファイアウォールの比較
機能 | 従来型のファイアウォール | 次世代ファイアウォール | 次世代ファイアウォールの利点 |
---|---|---|---|
検査 | ステートレス | ステートフル | 確立済みの接続と比較して、期待される基準から逸脱するトラフィックをブロック |
可視化 | 基本的、下位のTCP/IPレイヤーのみ | 広範囲、すべてのTCP/IPレイヤーを含む | きめ細かい堅牢なトラフィック分析が可能 |
サービス | ベーシック | 包括的 | パケットフィルタリングに加えて、アンチウイルス、コンテンツフィルタリング、IDS/IPS、ロギングなどのUTMサービスを含む |
保護 | 限定的 | 拡張 | より多くの種類の攻撃を識別、防止、報告 |
次世代ファイアウォールの仕組み
次世代ファイアウォールは、強化されたファイアウォールデータ検査およびポリシー適用機能に加えて、IDS/IPS、アンチウイルス、コンテンツフィルタリングといったその他のセキュリティサービスも提供しています。
最適な次世代ファイアウォールとは
次世代ファイアウォールは、侵害やサイバー攻撃から組織を保護する役割を果たすので、宣伝されている機能を達成できるかどうかを確認することが重要です。最適な次世代ファイアウォールとは、ICSA Labsなどの信頼できる独立したテクノロジー製品認証機関によって厳格にテストされ、認証されたものです。テストラボが客観的なテスト基準を使用して製品のパフォーマンスを評価していることを確認する必要があります。
ソリューションを評価する際には、最適な次世代ファイアウォールがより大きなソリューションの一部である可能性を考慮する必要があります。たとえば、Aruba EdgeConnect SD-WANプラットフォームは、高度なSD-WAN機能と、組み込みの次世代ファイアウォール (IDS/IPSおよびその他のセキュリティ機能を装備) によって適用されるIDおよびロールベースのトラフィックセグメンテーションを組み合わせています。さらにArubaは、SD-WANベンダーとして初めてICSA LabsのセキュアSD-WAN認証を取得することで、組み込みの次世代ファイアウォールと高度なセキュリティ機能の実力を証明しています。