Zpedia 

/ Firewall as a Serviceとは

Firewall as a Serviceとは

Firewall as a Service (FWaaS)は、ネットワーク セキュリティ テクノロジーの一種で、URLフィルタリング、高度な脅威対策、侵入防止システム(IPS)、DNSセキュリティなどのアクセス制御を含む、高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウド ファイアウォールを指しています。
fs
ネットワーク セキュリティクラウド セキュリティ
  1. 重要な理由
  2. FWaaSの台頭
  3. FWaaSとNGFWの比較
  4. 必要な理由
  5. 仕組み
  6. 主なメリット
  7. Zscalerのソリューション
  8. おすすめのリソース
  9. 関連するトピック

FWaaSが重要である理由

FWaaSのコンセプトは、単にネットワーク ファイアウォール アプライアンスの仮想化に留まりません。FWaaSを使用することで、組織はファイアウォール アプライアンスを排除でき、ITインフラを簡素化しつつ全体的なサイバー セキュリティを改善することが可能です。また、管理は単一のコンソールから一元的に行えるようになり、変更管理やパッチ管理、サービス停止期間の調整、NGFWアプライアンス関連のポリシー管理などの課題を克服すると同時に、ユーザーが接続する場所を問わず組織全体で一貫したポリシーを提供することが可能となります。

FWaaSが通常のファイアウォールと異なる点とは

従来型のオンプレミス ファイアウォールは、オフィスのネットワーク トラフィックを検査することを念頭に構築、プログラムされていました。一方で、FWaaSはその名の通りクラウド経由で配信されます。これらの主な違いは、オンプレミス ファイアウォールは変化するネットワークの要件と進化を続ける脅威の状況に合わせて拡張、適応するのが難しい点です。FWaaSはクラウド ネイティブであるためどちらにも対応でき、データの保護やエンドポイントの安全性の維持、綿密なセキュリティ検査を行うための格段に便利なツールを企業組織に提供できます。

業務がすべてオフィス内で行われていた時代は、従来型のファイアウォールでも十分なネットワーク セキュリティを提供できていました。この頃の脅威の対象は、従業員が業務時間の大半を過ごす企業のオフィスに限定されていたため、セキュリティ部門とIT部門は外部までファイアウォールのサービスを拡張する必要はありませんでした。

ところが現在は、SaaSなどのクラウド サービスを活用する企業組織が増え続けており、エンドポイントが至る所にあるようになり、新しい脅威も発生しているため、ファイアウォールを単にデータ センターに導入するだけでは事足りなくなりました。ファイアーウォールは、クラウド上に配備して、あらゆる場所のリソースと従業員を保護するために拡張する必要があるのです。

FWaaSの台頭

企業または地域のデータ センターのNGFWにトラフィックをバックホールすることは、アプリケーションがそのようなデータ センターに存在しており、ほとんどの従業員がオフィスで働いていた時代には理にかなっていました。しかし、アプリケーションがデータ センターからクラウドに移行し始め、支店の数やリモート ワークの規模が拡大するにつれて、NGFWの効果は薄れてきています。

その後、コロナ禍により従業員が企業ネットワークから離れることを余儀なくされ、どこからでも接続するようになったことで、NGFWを含むネットワークとセキュリティへの従来のアプローチでは不十分になりました。これは、他のアプライアンスと同様に、NGFWがクラウドを念頭に置いて構築されていないことに起因しています。

お客様の声

単に従来のセキュリティ ツールと機能をクラウドに移行して運用すれば良いというものではなく、適切なテクノロジーを導入する必要があります

Frederik Janssen氏, Siemens グローバルITインフラストラクチャー ポートフォリオ担当バイス プレジデント、Frederik Janssen氏

FWaaSとNGFWの比較

SalesforceやMicrosoft 365などのクラウド アプリケーションは、インターネット経由で直接アクセスできるように構築されています。しかし、高速なユーザー エクスペリエンスを提供するためには、インターネット トラフィックをローカルにルーティングする必要があります。そのため、トラフィックを企業のデータ センターのNGFWにルーティングしてインターネットに出力することは、理にかなわなくなりました。

ただし、従来のセキュリティ アプローチをローカル インターネット ブレイクアウトに適用すると、あらゆるロケーションで企業のセキュリティ スタックを複製する必要が出てきます。これにより、NGFWまたはセキュリティ アプライアンスのスタックをすべての支店に導入する必要が生じますが、これらすべてを導入、管理することはコストと複雑性の両点において現実的ではありません。

繰り返しとなりますが、NGFWはクラウド アプリケーションをサポートできるようには構築されていません。NGFWは、クラウド アプリが作成する大量の長期間の接続をサポートできるようなスケーラビリティーを有していないため、容易に過剰負荷の状態に陥ってしまいます。また、SSLで暗号化されたトラフィックをネイティブに処理することもできません。暗号化されたトラフィックが過去数年間で劇的に増加していることを考えると、この点の重要度は高まってきています。

SSLインスペクションを実行するには、NGFWはチップ レベルではなくソフトウェアでSSLインスペクションを実行するプロキシ機能を追加する必要があります。しかし、それによりパフォーマンスに大きな影響が生じ、ユーザー エクスペリエンスが低下してしまいます。

FWaaSソリューションは、ディープ パケット インスペクションなどの機能を実行するより高い能力を備えており、クラウド ネイティブでもあるため情報漏洩防止にもはるかに適しています。また、FWaaSはクラウド上で構築されているため、NGFWでは不可能な方法でセキュリティを拡張できますが、NGFWのベンダーがこの点を認めることはないかもしれません。多くの場合、そのようなベンダーのセキュリティ ソリューションは仮想化されたファイアウォール アプライアンスに過ぎず、緩衝材としての機能は果たせるでしょうが、長期的なクラウドおよびハイブリッドな働き方に向けたセキュリティを提供できるようには構築されていません。

企業がFWaaSを必要とする理由

組織はスケーラビリティーを高めるためにAWSなどのクラウド インフラ プロバイダーを採用していますが、それでもすべてのユーザーと場所に対し、組織全体でエンタープライズ ファイアウォール機能を提供する必要があります。残念ながら、10年以上前に構築されたNGFWはクラウド アプリケーションやクラウド コンピューティング全般の動的な要件をサポートすることを念頭に置かれてはいません。

これらの仮想ファイアウォールに相当するものも、従来型のNGFWアプライアンスと同じ制限と課題を多く抱えており、現代のサイバー攻撃に対する有効性は高くありません。したがって、アプリケーションがクラウドに移行するにつれて、ファイアウォールも共に移行することは理にかなっているといえます。

FWaaSの仕組み

FWaaSを使用することで、セキュリティ アプライアンスの購入や導入、管理の必要なく、すべてのアプリケーションに対して安全なローカル ブレイクアウトを確立できます。完全なレイヤー7 ファイアウォールを含むセキュリティ機能が弾力的に拡張できるクラウド サービスとして提供され、SSLインスペクションや増え続ける帯域幅とユーザーからの要求、および長期間にわたって接続されるクラウド アプリケーションのトラフィックを処理することが可能です。

単一のコンソールから一元管理することで、企業組織は本社、支店、自宅など接続する場所を問わず、あらゆるユーザーやデバイス、宛先に対して同じ保護を提供できます。

FWaaSの特長

FWaaSには、NGFWに勝る以下のような特長があります。

  • プロキシベースのアーキテクチャー:すべてのユーザー、アプリケーション、デバイス、および場所におけるトラフィックを動的に検査できるよう構築されています。SSL/TLSトラフィックを大規模にネイティブに検査して、暗号化されたトラフィックに潜むマルウェアを検出し、ネットワーク アプリやクラウド アプリ、ドメイン名(FQDN)、URLに基づいて、複数のレイヤーにまたがるきめ細かいファイアウォール ポリシーを可能にします。
  • クラウドIPS:クラウド ベースの侵入防止システム(IPS)は、接続の種類や場所を問わず、常時有効な脅威保護とカバレッジを提供します。さらに、ユーザー、アプリ、インターネット接続の完全な可視性を復元するために、検査が困難なSSLトラフィックを含むネットワーク上およびネットワーク外のすべてのユーザー トラフィックを検査します。
  • DNSセキュリティとコントロール:防御の最前線として、クラウドベースのファイアウォールによって、ユーザーが悪意のあるドメインに到達しないよう保護します。DNS解決を最適化することによって、CDNベースのアプリにとって特に重要となるユーザー エクスペリエンスとクラウド アプリケーションのパフォーマンスの向上を実現します。また、DNSトンネリングを検知、防止するためのきめ細かな制御も可能です。
  • 可視性と管理の簡素化:クラウドベースのファイアウォール サービスは、プラットフォーム全体にわたりリアルタイムの可視性、制御、および即座のポリシー適用を実現します。また、すべてのセッションを詳細にログに記録して、高度な分析を使用してイベントを関連付けるだけでなく、すべてのユーザ、アプリケーション、API、および場所の脅威と脆弱性に関するインサイトを単一のコンソールから提供します。
  • ゼロトラストへの備え:クラウド セキュリティの分野では、ゼロトラスト フレームワークよりも優れた選択肢はありません。ゼロトラストの一部としてFWaaSを活用することで、リモート ワークの時代に必須となるセキュア アクセス サービス エッジ(SASE)のフレームワークに沿って、エンドポイントのユーザーにセキュリティ ポリシーを提供できます。さらに、ゼロトラストはネットワーク アクセスの必要性を排除することで、レイテンシーを短縮することができます。

FWaaSがいかにしてセキュリティ ポスチャーを改善できるかについて見たところで、次に「FWaaS活用への道のりを始めるにはどうすれば良いか」という疑問が浮かんできます。FWaaSに関しては、データ、エンドポイント、クラウド、IoTに対する保護を強化できるサービス プロバイダーは数多く存在しますが、クラウド上にクラウド向けのファイアウォールを構築したベンダーはZscalerのみです。

Zscaler Cloud Firewallの特長

Zscaler Firewallは統合されたZero Trust Exchange™の一部であり、すべてのポートとプロトコルを対象に、あらゆるロケーションのすべてのユーザに次世代ファイアウォールの制御と高度なセキュリティを提供します。高速で安全なローカル インターネット ブレイクアウトが可能になるほか、100%クラウド上にあるため、ハードウェアの購入や導入、管理の必要がなくなります。

NGFWには無数のセキュリティ機能が追加され、全体的なポスチャーには強固な部分と脆弱な部分が生じます。一方、Zscaler Firewallには以下の特徴があります。

  • きめ細かいファイアウォール ポリシーを定義して即座に適用
  • 全体の可視性からリアル タイムの実用的な情報を獲得
  • すべてのユーザーにIPSの機能を常時提供

Zscaler Firewallは、FWaaSとして優れた保護を提供し、組織のアジリティーとセキュリティを強化します。

おすすめのリソース

クラウド世代ファイアウォールによるゼロトラスト セキュリティの実現
ウェビナーを見る(英語)
Zscaler Cloud Firewallによるネットワーク トランスフォーメーションの簡素化
eBookを読む
Zscalerの次世代クラウド ファイアウォール
Zscaler Cloud Firewall - 安全なクラウドへの移行を実現するガイド
ホワイト ペーパーを入手
クラウド ファイアウォールのないSD-WANでは不十分な理由
ブログを読む

01 / 03