Firewall as a Service (FWaaS) について

Firewall as a Service (FWaaS) について

  • 2022年9月1日

自宅を誰でも出入り自由にしている人はいないでしょうが、それはネットワークでも同じです。ここでは、Firewall as a Service (FWaaS) がクラウド インフラストラクチャそれ自体のセキュリティ ガードとして機能し、より優れたデータ保護を実現する仕組みを紹介します。

サイバー攻撃がこれまで以上に頻繁かつ高度になっている現在ほど、ネットワーク セキュリティを再考することが重要な時期はありません。クラウドの可能性に気づき、Network as a Service (NaaS) や [Software as a Service](https://azure.microsoft.com/en-gb/resources/cloud-computing-dictionary/what-is-saas/#:~:text=Software as a service (SaaS,from a cloud service provider.) (SaaS) などの「サービスとしての」ソリューションに目を向けてクラウド技術の多くの利点を活用する企業が増える中、ネットワークの保護を支援する別のクラウド ソリューションが登場しています。それは、サービスとしてのインフラストラクチャ (IaaS) であり、具体的には FWaaS (Firewall as a Service) のことです。

「サービスとしての」モデルとは、IT サービスをオンデマンドで、クラウドや Network as a Service Provider (NaaS) を通じて遠隔地から提供することを指します。このようなサービスは、本質的にクラウドネイティブであるため、設備投資がほとんど必要なく、ビジネスの変化するニーズに合わせて拡張することができます。このように、FWaaS は従来のファイアウォールとは異なり、クラウドや NaaS プロバイダーを通じて提供されるため、オンプレミスのインフラストラクチャの設置やハードウェアのメンテナンスは必要ありません。

ネットワーク ファイアウォールは建物の警備員に例えることができ、入館しようとする人物の身元を確認し、許可されていない人の入館を拒否します。ネットワークのファイアウォールも同様の役割を担っており、侵入しようとするトラフィックを検査することで、未知の脅威や不要な脅威からネットワークを保護することができます。

企業のグローバル化や遠隔地化が進む以前は、オフィス内に設置された従来のファイアウォールで十分であり、IT 部門はファイアウォールを本来の設置場所以外に拡張する必要はありませんでした。しかし今日では、ファイアウォールの境界は大きく拡張され、グローバルな労働力の需要に対応するエンドポイントや、ネットワークの境界が明確に定義されていないデバイスが至る所に存在しています。

Firewall as a Service (FWaaS) の仕組み

FWaaS は、企業ネットワークとパブリック インターネットとの間に位置し、複数のフィルタリングとセキュリティ対策により、企業のアーキテクチャをサイバー攻撃から保護し、脅威がネットワークに侵入するのを防ぎます。脅威を検知した際の自動対応、完全なイベント記録、侵入防止システム (IPS)、ドメイン ネーム システム (DNS) のセキュリティなど、さまざまな対策が施されています。

ネットワークに侵入しようとするトラフィックは、まず FWaaS ソリューションによって検査され、あらゆる種類の脅威が検出されます。各データ パケットの情報 (送信元、悪意のあるコンテンツの兆候など) を分析し、その上で受け入れまたは拒否を決定して、ネットワークへの侵入を抑止できます。

さらに、次世代のファイアウォール (NGFW) は、アプリケーションに対する認識と制御、サンドボックスによる高度なマルウェア検知、密に統合された IPS など、従来の古いファイアウォールと比べてはるかに優れた機能を備えています。

IT 部門は、特定のログイン、ウェブサイト、IP アドレスなどをフィルタリングすることで、どのスタッフがどのデータにアクセスできるかなど、特定のニーズに合わせて FWaaS をカスタマイズすることができます。こうすることにより、内外の脅威から企業は保護されます。

インターネットと Megaport Virtual Edge (MVE) を介して AWS、Azure、Google Cloud に接続する Firewall as a Service (FWaaS) を示した図。

組織に FWaaS が必要な理由

従来のオンサイトのハードウェア、ファイアウォール、または代替のネットワーク保護手段ではなく、FWaaS を選択することは、以下のような多くの理由によって有益であることが実証されています。

  • 可視性 – FWaaS は、セキュリティ対策、ユーザー、アプリケーション、ロケーションの可視性と制御をオンデマンドで提供します。すべてのセッションを詳細に記録し、ディープ ラーニングを使用して攻撃パターンを認識することで、企業はネットワークの脆弱性についてより優れた洞察を得ることができます。
  • ゼロ トラスト対応性 – クラウドのセキュリティといえば、ゼロ トラスト フレームワークに勝る選択肢はありません。FWaaS をゼロ トラストの一部として活用することで、リモート ワーク時代に必須の Secure Access Services Edge (SASE) フレームワークに沿って、エンドポイントにいるユーザーにセキュリティ ポリシーを届けることができるようになります。さらに、ゼロ トラストはインターネット上で直接アプリと接続することで、レイテンシを低減させます。
  • リアルタイムなグローバル計算能力と迅速な構築時間 – サプライ チェーンの問題により、多くの IT 部門にとって、ハードウェアのファイアウォールが届くまでの待ち時間が非常に長くなっています。しかし、FWaaS はこの機能をリアルタイムで提供することができます。
  • 地理的、およびアクセス面、技術面での冗長性 – MVE のような SD-WAN 向け Network Function Virtualization (NFV) ソリューションの一部として使用する場合、他のデータ センターで FWaaS をプロビジョニングして、冗長性と多様性を実現することができます。また、プライマリ ファイバー経路のバックアップとして、インターネット経由で IPSec を使用してネットワークにアクセスすることも可能です。
  • カスタム構成 – 適切なプロバイダーであれば、FWaaS を特注のルーターとして使用し、AWS のトランジット ゲートウェイの制限を克服するなど、ネットワークにさらなるメリットをもたらすように構成できます。

相互運用可能なネットワークを持つことで、企業のセキュリティを強化し、より大きなコントロールを提供する仕組みについてのブログをご覧ください。

SASE の一部としての FWaaS

FWaaS ソリューションを、Secure Access Service Edge (SASE) インフラストラクチャの一部として構成することも可能です。SASE とは、「ソフトウェア定義ネットワークと SD-WAN の優れた要素を最新のエッジ セキュリティに統合するフレームワーク」で、Software-Defined Wide Area Networking (SD-WAN)、Secure Web Gateway (SWG)ゼロ トラスト ネットワーク アクセス (ZTNA) といった要素を包括し、企業向けに超高速で安全なネットワークをエッジで構築するものです。

SASE フレームワークでは、FWaaS が他のセキュリティ プロダクトと連携し、サイバー攻撃からネットワーク境界を守るため、利用者は複数のサードパーティ ベンダーではなく、単一のベンダーに依存することが可能になります。その結果、ダイナミックで柔軟、かつ安全というネットワーク アーキテクチャに生まれ変わり、パブリック、プライベート、ハイブリッド クラウドでホストされる今日の 24 時間 365 日対応のアプリケーションとリソースに必要なパフォーマンスを提供することができます。

SASE の詳細についてのビギナーズ ガイドをご覧ください。

ユース ケース

FWaaS をクラウド インフラストラクチャに統合するメリットは明らかですが、このソリューションはどのような組織に最も適しているのでしょうか。FWaaS の導入には、さまざまなユースケースがあり、次のようなものが含まれます。

  • 企業ネットワーク上で必要なすべてのアプリケーションを安全に実現 – 企業のアプリケーションを経由した攻撃を検知するのに役立ちます。これには、アプリケーションの機能を特定した制御の実施、アプリケーションのデータとコンテンツの監視などがあります。
  • 脅威の伝送に使用されるアプリケーションに関係なく、既知および未知の脅威に対する保護、 – FWaaS では、ネットワーク アプリケーションに対して非常にきめ細かい制御が可能です。次世代のファイアウォール (NGFW) は、ディープ パケット インスペクション機能とアプリケーションの状態をリアルタイムで完全に検査する機能により、ウェブ アプリケーションに対する既知および未知の脅威に対して堅牢な防御を提供します。
  • 緊急時のアクセスおよび長期的な冗長性を提供 –  FWaaS を、ラストマイル ネットワークの問題やコア MPLS の障害が発生しているリージョンに対する一時的なアクセス手段として設定します。FWaaS が提供する冗長パスは、長期的な冗長性を確保するためのバックアップ オプションとしても有効です。
  • セキュアな VPN ゲートウェイ – FWaaS を VPN ゲートウェイのセキュリティ レイヤーとして使用することにより、より安全で高性能なネットワーク接続のためのセントラル ネットワーク エントリ ポイントを得ることができます。さらに、単一のゲートウェイを迅速かつ容易に構築できるため、複数のトンネルを管理することで発生する時間、コスト、労力、混乱を軽減できます。また、FWaaS があると、SASE エンドポイントも活用できるため、エンド ユーザーに対してポリシーベースの厳格なセキュリティ サービスを提供することができます。
  • クラウドで強制される制限やクォータを克服 – ファイアウォールの構成をカスタマイズすることで、CSP が設定した特定のアクセス制限 (前述した AWS トランジット ゲートウェイ制限など) を回避することができます。

FWaaS がないということは、「コンピューターにアンチウィルス ソフトがないのと同じ」です。そのため、クラウドを日常的に利用する企業や、ミッションクリティカルなデータやプライベートなデータを扱う企業にとっては、導入が推奨されます。FWaaS は、複数のデバイスでアプリケーションにアクセスする多くの遠隔地の従業員を抱える大企業に最適です。

Megaport がお手伝いできること

Megaport Virtual Edge (MVE) があれば、20 を超える大都市圏で、従量課金制のスケーラブルな設定で企業ネットワーク向けの FWaaS を実現することができます。

FWaaS を MVE 経由で提供することで、ユーザーは、従来のファイアウォール機能を超えて、ネットワーク上の送受信トラフィックを検査するだけでなく、より高度なカスタマイズやデータの脅威とパターンに対する深い洞察をもたらすネットワーク セキュリティ デバイスである次世代のファイアウォール (NGFW) のメリットを享受できるようになります。

Firewall as a Service は、オンデマンドで利用可能な機能により、ユーザーにネットワークの完全な制御を提供し、企業ネットワークのインフラストラクチャに貴重で必要なレイヤーをもたらします。FWaaS は、侵入してくる脅威からネットワークを守る番人として、常に追加のセキュリティ レイヤーとして機能し、サイバー脅威からネットワークを保護するため、チームは安心感が得られます。

MVE 経由の FWaaS がどのように貴社のお役に立てるかを、今すぐデモを予約してお確かめください。

タグ:

関連記事

AWS、Microsoft Azure、Google Cloud のプライベート接続を比較する

AWS、Microsoft Azure、Google Cloud のプライベート接続を比較する

大手ハイパースケーラーのプライベート接続の違いを明らかにします。

続きを読む
経路フィルタリングによるマルチクラウドの改善方法

経路フィルタリングによるマルチクラウドの改善方法

マルチクラウド ネットワークの最適化をお考えですか。経路フィルタリングが次の一手となる可能性があります。 企業にとって効率化は最重要課題であり、マルチクラウド ネットワークも例外ではありません。マルチクラウドの普及が進む中、2024 年までに 94% の企業がマルチクラウド ネットワークを導入すると予測されています。今こそ、貴社のセットアップを最大限に活用する方法を検討する時期です。ここで登場するのが経路フィルタリングです。これは、クラウド間のデータの移行や格納を効率的に行うためのマルチクラウド機能です。 仕組み 簡単に言うと、経路フィルタリングは、仮想クラウドのルーティング設定と連動して、近隣のルーターから広報されるまたは受信される経路を識別し、トラフィックを許可または拒否 (つまり、パスを許可または経路を終了) して、ネットワーク経路パスを微調整します。典型的な一連の操作では、1 つ以上の IPv4 または IPv6 ネットワーク アドレス (プレフィックス) と、許可または拒否というアクションを含む名前付きプレフィックス フィルター リストを作成することになります。 次に、ピアごとに、このプレフィックス フィルターやその他のプレフィックス フィルターを、仮想クラウド ルーターとそのピア間の受信または送信データ パスに適用します。これは、どのクラウドに対してどの経路を検出可能にしたいかを直接指定し、残りを無視することで、ネットワーク経路を簡素化し、複数のクラウド間での過負荷やレイテンシを回避するための便利なツールです。 例えば、Amazon Web Services (AWS) では、BGP (Border Gateway Protocol) のグローバル経路 (他のクラウド プロバイダーのプライベート仮想プライベート クラウドを含む) を 100 本まで自社のクラウドに向けて広報することを許可していますが、これを超えると接続が停止される可能性があります。この問題を軽減するために、経路フィルタリングを使用して不要なパスを排除し、この閾値以下にとどめることで、データ移行が途切れることなく流れるようにすることができます。 AWS、Microsoft Azure、Google Cloud Platform などのクラウド プロバイダーは、インターネット上で利用者がとても簡単に接続できるようにしていますが、Megaport が提供するようなプライベート クラウド接続方式を利用すると、利用者が独自のルーティング テーブルとルーティング ポリシーを管理し、各ピア ルーターとの間でトラフィックが希望通りに流れるようにすることが可能です。 ジオデータのスペシャリストである Fugro Roames 社が MCR を使用してデータを制御した事例をご覧ください。 マルチクラウドにもたらされるメリット 経路フィルタリングにより、以下のような主要なメリットがもたらされ、マルチクラウド ネットワークを次のレベルへと高めることができます。 さらに細かい制御 - 個々の経路やプレフィックスをフィルタリングすることで、マルチクラウド ネットワークの経路をカスタマイズし、完全にカスタマイズ可能なマルチクラウド体験を実現します。 ネットワーク パフォーマンスの向上 - 繰り返し経路や不要な経路を避け、最も効果的な経路を利用することでネットワークの効率を最大化し、レイテンシを低減して、よりスムーズで高速なネットワークを実現します。 セキュリティの強化 - 経路フィルタリングは、ピアリング リンク上で目的の経路のみを許可することで、インターネット上で誤ってトランジット自律システム (AS) になることを防ぎ、ハイジャックなどのサイバー攻撃のリスクを低減し、マルチクラウドをより強固に保護します。 2022 年、マルチクラウドは当たり前の存在になりました。それを使うにはいくつかの方法があります。当社の比較を基にオプションを検討してください。

続きを読む
ラストマイル接続方式の比較

ラストマイル接続方式の比較

2022 年のネットワークに関して言えば、企業はラストマイルに目を向けつつあります。しかし、エッジ接続にはどのようなオプションがあり、どれが最適なのでしょうか。

続きを読む