Firewall as a Service (FWaaS) について

Firewall as a Service (FWaaS) について

自宅を誰でも出入り自由にしている人はいないでしょうが、それはネットワークでも同じです。ここでは、Firewall as a Service (FWaaS) がクラウド インフラストラクチャそれ自体のセキュリティ ガードとして機能し、より優れたデータ保護を実現する仕組みを紹介します。

サイバー攻撃がこれまで以上に頻繁かつ高度になっている現在ほど、ネットワーク セキュリティを再考することが重要な時期はありません。クラウドの可能性に気づき、Network as a Service (NaaS) や [Software as a Service](https://azure.microsoft.com/en-gb/resources/cloud-computing-dictionary/what-is-saas/#:~:text=Software as a service (SaaS,from a cloud service provider.) (SaaS) などの「サービスとしての」ソリューションに目を向けてクラウド技術の多くの利点を活用する企業が増える中、ネットワークの保護を支援する別のクラウド ソリューションが登場しています。それは、サービスとしてのインフラストラクチャ (IaaS) であり、具体的には FWaaS (Firewall as a Service) のことです。

「サービスとしての」モデルとは、IT サービスをオンデマンドで、クラウドや Network as a Service Provider (NaaS) を通じて遠隔地から提供することを指します。このようなサービスは、本質的にクラウドネイティブであるため、設備投資がほとんど必要なく、ビジネスの変化するニーズに合わせて拡張することができます。このように、FWaaS は従来のファイアウォールとは異なり、クラウドや NaaS プロバイダーを通じて提供されるため、オンプレミスのインフラストラクチャの設置やハードウェアのメンテナンスは必要ありません。

ネットワーク ファイアウォールは建物の警備員に例えることができ、入館しようとする人物の身元を確認し、許可されていない人の入館を拒否します。ネットワークのファイアウォールも同様の役割を担っており、侵入しようとするトラフィックを検査することで、未知の脅威や不要な脅威からネットワークを保護することができます。

企業のグローバル化や遠隔地化が進む以前は、オフィス内に設置された従来のファイアウォールで十分であり、IT 部門はファイアウォールを本来の設置場所以外に拡張する必要はありませんでした。しかし今日では、ファイアウォールの境界は大きく拡張され、グローバルな労働力の需要に対応するエンドポイントや、ネットワークの境界が明確に定義されていないデバイスが至る所に存在しています。

Firewall as a Service (FWaaS) の仕組み

FWaaS は、企業ネットワークとパブリック インターネットとの間に位置し、複数のフィルタリングとセキュリティ対策により、企業のアーキテクチャをサイバー攻撃から保護し、脅威がネットワークに侵入するのを防ぎます。脅威を検知した際の自動対応、完全なイベント記録、侵入防止システム (IPS)、ドメイン ネーム システム (DNS) のセキュリティなど、さまざまな対策が施されています。

ネットワークに侵入しようとするトラフィックは、まず FWaaS ソリューションによって検査され、あらゆる種類の脅威が検出されます。各データ パケットの情報 (送信元、悪意のあるコンテンツの兆候など) を分析し、その上で受け入れまたは拒否を決定して、ネットワークへの侵入を抑止できます。

さらに、次世代のファイアウォール (NGFW) は、アプリケーションに対する認識と制御、サンドボックスによる高度なマルウェア検知、密に統合された IPS など、従来の古いファイアウォールと比べてはるかに優れた機能を備えています。

IT 部門は、特定のログイン、ウェブサイト、IP アドレスなどをフィルタリングすることで、どのスタッフがどのデータにアクセスできるかなど、特定のニーズに合わせて FWaaS をカスタマイズすることができます。こうすることにより、内外の脅威から企業は保護されます。

インターネットと Megaport Virtual Edge (MVE) を介して AWS、Azure、Google Cloud に接続する Firewall as a Service (FWaaS) を示した図。

組織に FWaaS が必要な理由

従来のオンサイトのハードウェア、ファイアウォール、または代替のネットワーク保護手段ではなく、FWaaS を選択することは、以下のような多くの理由によって有益であることが実証されています。

  • 可視性 – FWaaS は、セキュリティ対策、ユーザー、アプリケーション、ロケーションの可視性と制御をオンデマンドで提供します。すべてのセッションを詳細に記録し、ディープ ラーニングを使用して攻撃パターンを認識することで、企業はネットワークの脆弱性についてより優れた洞察を得ることができます。
  • ゼロ トラスト対応性 – クラウドのセキュリティといえば、ゼロ トラスト フレームワークに勝る選択肢はありません。FWaaS をゼロ トラストの一部として活用することで、リモート ワーク時代に必須の Secure Access Services Edge (SASE) フレームワークに沿って、エンドポイントにいるユーザーにセキュリティ ポリシーを届けることができるようになります。さらに、ゼロ トラストはインターネット上で直接アプリと接続することで、レイテンシを低減させます。
  • リアルタイムなグローバル計算能力と迅速な構築時間 – サプライ チェーンの問題により、多くの IT 部門にとって、ハードウェアのファイアウォールが届くまでの待ち時間が非常に長くなっています。しかし、FWaaS はこの機能をリアルタイムで提供することができます。
  • 地理的、およびアクセス面、技術面での冗長性 – MVE のような SD-WAN 向け Network Function Virtualization (NFV) ソリューションの一部として使用する場合、他のデータ センターで FWaaS をプロビジョニングして、冗長性と多様性を実現することができます。また、プライマリ ファイバー経路のバックアップとして、インターネット経由で IPSec を使用してネットワークにアクセスすることも可能です。
  • カスタム構成 – 適切なプロバイダーであれば、FWaaS を特注のルーターとして使用し、AWS のトランジット ゲートウェイの制限を克服するなど、ネットワークにさらなるメリットをもたらすように構成できます。

相互運用可能なネットワークを持つことで、企業のセキュリティを強化し、より大きなコントロールを提供する仕組みについてのブログをご覧ください。

SASE の一部としての FWaaS

FWaaS ソリューションを、Secure Access Service Edge (SASE) インフラストラクチャの一部として構成することも可能です。SASE とは、「ソフトウェア定義ネットワークと SD-WAN の優れた要素を最新のエッジ セキュリティに統合するフレームワーク」で、Software-Defined Wide Area Networking (SD-WAN)、Secure Web Gateway (SWG)ゼロ トラスト ネットワーク アクセス (ZTNA) といった要素を包括し、企業向けに超高速で安全なネットワークをエッジで構築するものです。

SASE フレームワークでは、FWaaS が他のセキュリティ プロダクトと連携し、サイバー攻撃からネットワーク境界を守るため、利用者は複数のサードパーティ ベンダーではなく、単一のベンダーに依存することが可能になります。その結果、ダイナミックで柔軟、かつ安全というネットワーク アーキテクチャに生まれ変わり、パブリック、プライベート、ハイブリッド クラウドでホストされる今日の 24 時間 365 日対応のアプリケーションとリソースに必要なパフォーマンスを提供することができます。

SASE の詳細についてのビギナーズ ガイドをご覧ください。

ユース ケース

FWaaS をクラウド インフラストラクチャに統合するメリットは明らかですが、このソリューションはどのような組織に最も適しているのでしょうか。FWaaS の導入には、さまざまなユースケースがあり、次のようなものが含まれます。

  • 企業ネットワーク上で必要なすべてのアプリケーションを安全に実現 – 企業のアプリケーションを経由した攻撃を検知するのに役立ちます。これには、アプリケーションの機能を特定した制御の実施、アプリケーションのデータとコンテンツの監視などがあります。
  • 脅威の伝送に使用されるアプリケーションに関係なく、既知および未知の脅威に対する保護、 – FWaaS では、ネットワーク アプリケーションに対して非常にきめ細かい制御が可能です。次世代のファイアウォール (NGFW) は、ディープ パケット インスペクション機能とアプリケーションの状態をリアルタイムで完全に検査する機能により、ウェブ アプリケーションに対する既知および未知の脅威に対して堅牢な防御を提供します。
  • 緊急時のアクセスおよび長期的な冗長性を提供 –  FWaaS を、ラストマイル ネットワークの問題やコア MPLS の障害が発生しているリージョンに対する一時的なアクセス手段として設定します。FWaaS が提供する冗長パスは、長期的な冗長性を確保するためのバックアップ オプションとしても有効です。
  • セキュアな VPN ゲートウェイ – FWaaS を VPN ゲートウェイのセキュリティ レイヤーとして使用することにより、より安全で高性能なネットワーク接続のためのセントラル ネットワーク エントリ ポイントを得ることができます。さらに、単一のゲートウェイを迅速かつ容易に構築できるため、複数のトンネルを管理することで発生する時間、コスト、労力、混乱を軽減できます。また、FWaaS があると、SASE エンドポイントも活用できるため、エンド ユーザーに対してポリシーベースの厳格なセキュリティ サービスを提供することができます。
  • クラウドで強制される制限やクォータを克服 – ファイアウォールの構成をカスタマイズすることで、CSP が設定した特定のアクセス制限 (前述した AWS トランジット ゲートウェイ制限など) を回避することができます。

FWaaS がないということは、「コンピューターにアンチウィルス ソフトがないのと同じ」です。そのため、クラウドを日常的に利用する企業や、ミッションクリティカルなデータやプライベートなデータを扱う企業にとっては、導入が推奨されます。FWaaS は、複数のデバイスでアプリケーションにアクセスする多くの遠隔地の従業員を抱える大企業に最適です。

Megaport がお手伝いできること

Megaport Virtual Edge (MVE) があれば、20 を超える大都市圏で、従量課金制のスケーラブルな設定で企業ネットワーク向けの FWaaS を実現することができます。

FWaaS を MVE 経由で提供することで、ユーザーは、従来のファイアウォール機能を超えて、ネットワーク上の送受信トラフィックを検査するだけでなく、より高度なカスタマイズやデータの脅威とパターンに対する深い洞察をもたらすネットワーク セキュリティ デバイスである次世代のファイアウォール (NGFW) のメリットを享受できるようになります。

Firewall as a Service は、オンデマンドで利用可能な機能により、ユーザーにネットワークの完全な制御を提供し、企業ネットワークのインフラストラクチャに貴重で必要なレイヤーをもたらします。FWaaS は、侵入してくる脅威からネットワークを守る番人として、常に追加のセキュリティ レイヤーとして機能し、サイバー脅威からネットワークを保護するため、チームは安心感が得られます。

MVE 経由の FWaaS がどのように貴社のお役に立てるかを、今すぐデモを予約してお確かめください。

関連記事

クラウドの相互接続が必要な 3 つの理由

クラウドの相互接続が必要な 3 つの理由

ビジネスが時代遅れにならないようにするには、複数のクラウド プロバイダーがいるというだけでは不十分です。ここでは、次のステップとしてクラウドの相互接続を行うべき理由を解説します。 Megaport ブログに、次のような報告があります。「Gartner は、企業のダウンタイムの平均コストは 1 分あたり 5,600 米ドルにも上ると推定しています」マルチクラウド環境で作業する場合、このコストは倍増する一方です。ダウンタイムは、レイテンシやセキュリティなどさまざまな問題によって引き起こされ、その原因となる可能性もあります。さらにビジネスの収益に影響を与えるフローオン コストが生じる場合もあります。 リモートワークの労働力、サイバー犯罪の蔓延、せっかちな顧客という時代に、クラウド全体でどのようにすればリスクを軽減し、パフォーマンスを向上させ、会社の評判を守ることができるでしょうか。最もシンプルな (かつ最善の) 方法は、クラウドをプライベートで相互接続する、つまり、クラウド間のルーティングを採用することです。 ここでは、相互接続されたマルチクラウド ネットワークを持つことで、生産性、評判、収益を向上させる 3 つの主要なメリットについて解説します。 Megaport Cloud Router (MCR) でマルチクラウド ネットワークをプライベートに相互接続する仕組みの詳細をご覧ください。

  1. ネットワークのレイテンシを低減し、パフォーマンスの向上を図る ビデオ会議の通話が途切れたり、音声が途切れたり、モバイル決済が遅れたり、ソフトウェアの更新が遅くなって「空回り」したりという、誰もが経験したことのあるイライラする状況を考えてみてください。消費者や顧客はせっかちなので、遅延が発生するとサイトから離れてしまうかもしれませんし、従業員がイライラして生産性が下がってしまうこともあります。 最新デジタル印刷物の顧客向け販促、スポーツ競技場の空席状況、電子通貨の取引、緊急対応サービスなど、企業の機能にはネットワークのレイテンシがつきものです。レイテンシは、ユーザーやシステムがデータをどれだけ速く送受信するかに影響を与え、企業の社会的認知度に影響を及ぼす可能性があります。レイテンシとは情報が伝わる時間の遅れのことで、物理学上の問題になります。ワイヤレスまたはハードウェアベースのルーターやワイヤレス接続を介して、デバイスが要求を出し入れする速度のことです。レイテンシは、ルーター間または衛星と地上間のホップ数によって増加し、パブリック インターネット上では日々送信される膨大なデータ間の「競合」によって悪化します。 ネットワークの高レイテンシがもたらす真のコストと、それを回避する方法の詳細についてご覧ください。 相互接続されていないマルチクラウド ネットワークは、クラウド間を移動するデータがデータ センターやリモート ミッドポイントを経由する、いわゆるヘアピンを行う必要があるため、ホップ数が増加してネットワークの速度を低下させます。トラフィックの変動や冗長性の問題に影響されるパブリック インターネットの利用と組み合わせると、ビジネス全体のネットワーク パフォーマンスが損なわれてしまいます。 エンド ユーザーにとって、レイテンシの問題は、誰かにバッファリング メッセージが表示されるときに発生します。サーバーやデバイスは、データを処理するために小さなチャンクに分割し、バッファはこの「チャンク」を格納します。混雑した飛行場やスペースが限られた滑走路と同様に、データは送信されるのを「待機する」ことになります。バッファリング メッセージを見たほとんどの人は、すぐにイライラして、技術的な問題を理解したり、気にかけたりせず、他に責任を押し付けてしまいます。 帯域幅も重要ですが、レイテンシ (速度) も、ほぼ即座に満足を得たいというユーザーのニーズや、効率的な運用を求める企業のニーズをサポートする上で非常に重要です。Selectra は、次の例えを用いています。「帯域幅がパイプが運べる水の最大量に相当すると、レイテンシは水がパイプ長を移動するのにかかる時間に相当します」帯域幅が広いほど、ダウンロードやアップロードの速度が速くなり、レイテンシ率が低いほど、データが迅速に配信されるということです。 次のような統計を考慮してください。 読み込みに 2 秒の遅れがあると、離脱率は 87% に跳ね上がる。 2022 年、Google は読み込み時間を 0.5 秒にすることを目指している。 読み込みに 4 秒以上の時間がかかる Web サイトには人は戻ってこないし、その企業に対して悪い印象を抱く。 遅延が生じると、利用者はチェックアウトのプロセスを放棄する傾向があり、他のオンラインショップを閲覧し始める。 Megaport Cloud Router (MCR) のような仮想クラウド ルーターを使用すると、企業はクラウド オンランプの近くに設置された仮想クロス コネクト (VXC) を通じてデータを送受信することができます。そして、クラウド間のプライベート専用回線を確保し、大手プロバイダーやプラットフォーム間でデータをルーティングします。この高速で効率的なデータの流れにより、レイテンシを低減し、ネットワークのパフォーマンスをほぼ瞬時に向上させることができます。

続きを読む
Azure のレイテンシの問題を解決する方法

Azure のレイテンシの問題を解決する方法

人気のクラウド サービス プロバイダーのレイテンシを低減し、ネットワーク パフォーマンスを向上させる方法を紹介します。

続きを読む
AWS、Microsoft Azure、Google Cloud のプライベート接続コストを理解する

AWS、Microsoft Azure、Google Cloud のプライベート接続コストを理解する

各大手クラウド サービス プロバイダーへのプライベート接続コスト要素の比較。

続きを読む