Firewall as a Service (FWaaS) について
- 2022年9月1日
自宅を誰でも出入り自由にしている人はいないでしょうが、それはネットワークでも同じです。ここでは、Firewall as a Service (FWaaS) がクラウド インフラストラクチャそれ自体のセキュリティ ガードとして機能し、より優れたデータ保護を実現する仕組みを紹介します。
サイバー攻撃がこれまで以上に頻繁かつ高度になっている現在ほど、ネットワーク セキュリティを再考することが重要な時期はありません。クラウドの可能性に気づき、Network as a Service (NaaS) や [Software as a Service](https://azure.microsoft.com/en-gb/resources/cloud-computing-dictionary/what-is-saas/#:~:text=Software as a service (SaaS,from a cloud service provider.) (SaaS) などの「サービスとしての」ソリューションに目を向けてクラウド技術の多くの利点を活用する企業が増える中、ネットワークの保護を支援する別のクラウド ソリューションが登場しています。それは、サービスとしてのインフラストラクチャ (IaaS) であり、具体的には FWaaS (Firewall as a Service) のことです。
「サービスとしての」モデルとは、IT サービスをオンデマンドで、クラウドや Network as a Service Provider (NaaS) を通じて遠隔地から提供することを指します。このようなサービスは、本質的にクラウドネイティブであるため、設備投資がほとんど必要なく、ビジネスの変化するニーズに合わせて拡張することができます。このように、FWaaS は従来のファイアウォールとは異なり、クラウドや NaaS プロバイダーを通じて提供されるため、オンプレミスのインフラストラクチャの設置やハードウェアのメンテナンスは必要ありません。
ネットワーク ファイアウォールは建物の警備員に例えることができ、入館しようとする人物の身元を確認し、許可されていない人の入館を拒否します。ネットワークのファイアウォールも同様の役割を担っており、侵入しようとするトラフィックを検査することで、未知の脅威や不要な脅威からネットワークを保護することができます。
企業のグローバル化や遠隔地化が進む以前は、オフィス内に設置された従来のファイアウォールで十分であり、IT 部門はファイアウォールを本来の設置場所以外に拡張する必要はありませんでした。しかし今日では、ファイアウォールの境界は大きく拡張され、グローバルな労働力の需要に対応するエンドポイントや、ネットワークの境界が明確に定義されていないデバイスが至る所に存在しています。
Firewall as a Service (FWaaS) の仕組み
FWaaS は、企業ネットワークとパブリック インターネットとの間に位置し、複数のフィルタリングとセキュリティ対策により、企業のアーキテクチャをサイバー攻撃から保護し、脅威がネットワークに侵入するのを防ぎます。脅威を検知した際の自動対応、完全なイベント記録、侵入防止システム (IPS)、ドメイン ネーム システム (DNS) のセキュリティなど、さまざまな対策が施されています。
ネットワークに侵入しようとするトラフィックは、まず FWaaS ソリューションによって検査され、あらゆる種類の脅威が検出されます。各データ パケットの情報 (送信元、悪意のあるコンテンツの兆候など) を分析し、その上で受け入れまたは拒否を決定して、ネットワークへの侵入を抑止できます。
さらに、次世代のファイアウォール (NGFW) は、アプリケーションに対する認識と制御、サンドボックスによる高度なマルウェア検知、密に統合された IPS など、従来の古いファイアウォールと比べてはるかに優れた機能を備えています。
IT 部門は、特定のログイン、ウェブサイト、IP アドレスなどをフィルタリングすることで、どのスタッフがどのデータにアクセスできるかなど、特定のニーズに合わせて FWaaS をカスタマイズすることができます。こうすることにより、内外の脅威から企業は保護されます。
組織に FWaaS が必要な理由
従来のオンサイトのハードウェア、ファイアウォール、または代替のネットワーク保護手段ではなく、FWaaS を選択することは、以下のような多くの理由によって有益であることが実証されています。
- 可視性 – FWaaS は、セキュリティ対策、ユーザー、アプリケーション、ロケーションの可視性と制御をオンデマンドで提供します。すべてのセッションを詳細に記録し、ディープ ラーニングを使用して攻撃パターンを認識することで、企業はネットワークの脆弱性についてより優れた洞察を得ることができます。
- ゼロ トラスト対応性 – クラウドのセキュリティといえば、ゼロ トラスト フレームワークに勝る選択肢はありません。FWaaS をゼロ トラストの一部として活用することで、リモート ワーク時代に必須の Secure Access Services Edge (SASE) フレームワークに沿って、エンドポイントにいるユーザーにセキュリティ ポリシーを届けることができるようになります。さらに、ゼロ トラストはインターネット上で直接アプリと接続することで、レイテンシを低減させます。
- リアルタイムなグローバル計算能力と迅速な構築時間 – サプライ チェーンの問題により、多くの IT 部門にとって、ハードウェアのファイアウォールが届くまでの待ち時間が非常に長くなっています。しかし、FWaaS はこの機能をリアルタイムで提供することができます。
- 地理的、およびアクセス面、技術面での冗長性 – MVE のような SD-WAN 向け Network Function Virtualization (NFV) ソリューションの一部として使用する場合、他のデータ センターで FWaaS をプロビジョニングして、冗長性と多様性を実現することができます。また、プライマリ ファイバー経路のバックアップとして、インターネット経由で IPSec を使用してネットワークにアクセスすることも可能です。
- カスタム構成 – 適切なプロバイダーであれば、FWaaS を特注のルーターとして使用し、AWS のトランジット ゲートウェイの制限を克服するなど、ネットワークにさらなるメリットをもたらすように構成できます。
相互運用可能なネットワークを持つことで、企業のセキュリティを強化し、より大きなコントロールを提供する仕組みについてのブログをご覧ください。
SASE の一部としての FWaaS
FWaaS ソリューションを、Secure Access Service Edge (SASE) インフラストラクチャの一部として構成することも可能です。SASE とは、「ソフトウェア定義ネットワークと SD-WAN の優れた要素を最新のエッジ セキュリティに統合するフレームワーク」で、Software-Defined Wide Area Networking (SD-WAN)、Secure Web Gateway (SWG)、ゼロ トラスト ネットワーク アクセス (ZTNA) といった要素を包括し、企業向けに超高速で安全なネットワークをエッジで構築するものです。
SASE フレームワークでは、FWaaS が他のセキュリティ プロダクトと連携し、サイバー攻撃からネットワーク境界を守るため、利用者は複数のサードパーティ ベンダーではなく、単一のベンダーに依存することが可能になります。その結果、ダイナミックで柔軟、かつ安全というネットワーク アーキテクチャに生まれ変わり、パブリック、プライベート、ハイブリッド クラウドでホストされる今日の 24 時間 365 日対応のアプリケーションとリソースに必要なパフォーマンスを提供することができます。
ユース ケース
FWaaS をクラウド インフラストラクチャに統合するメリットは明らかですが、このソリューションはどのような組織に最も適しているのでしょうか。FWaaS の導入には、さまざまなユースケースがあり、次のようなものが含まれます。
- 企業ネットワーク上で必要なすべてのアプリケーションを安全に実現 – 企業のアプリケーションを経由した攻撃を検知するのに役立ちます。これには、アプリケーションの機能を特定した制御の実施、アプリケーションのデータとコンテンツの監視などがあります。
- 脅威の伝送に使用されるアプリケーションに関係なく、既知および未知の脅威に対する保護、 – FWaaS では、ネットワーク アプリケーションに対して非常にきめ細かい制御が可能です。次世代のファイアウォール (NGFW) は、ディープ パケット インスペクション機能とアプリケーションの状態をリアルタイムで完全に検査する機能により、ウェブ アプリケーションに対する既知および未知の脅威に対して堅牢な防御を提供します。
- 緊急時のアクセスおよび長期的な冗長性を提供 – FWaaS を、ラストマイル ネットワークの問題やコア MPLS の障害が発生しているリージョンに対する一時的なアクセス手段として設定します。FWaaS が提供する冗長パスは、長期的な冗長性を確保するためのバックアップ オプションとしても有効です。
- セキュアな VPN ゲートウェイ – FWaaS を VPN ゲートウェイのセキュリティ レイヤーとして使用することにより、より安全で高性能なネットワーク接続のためのセントラル ネットワーク エントリ ポイントを得ることができます。さらに、単一のゲートウェイを迅速かつ容易に構築できるため、複数のトンネルを管理することで発生する時間、コスト、労力、混乱を軽減できます。また、FWaaS があると、SASE エンドポイントも活用できるため、エンド ユーザーに対してポリシーベースの厳格なセキュリティ サービスを提供することができます。
- クラウドで強制される制限やクォータを克服 – ファイアウォールの構成をカスタマイズすることで、CSP が設定した特定のアクセス制限 (前述した AWS トランジット ゲートウェイ制限など) を回避することができます。
FWaaS がないということは、「コンピューターにアンチウィルス ソフトがないのと同じ」です。そのため、クラウドを日常的に利用する企業や、ミッションクリティカルなデータやプライベートなデータを扱う企業にとっては、導入が推奨されます。FWaaS は、複数のデバイスでアプリケーションにアクセスする多くの遠隔地の従業員を抱える大企業に最適です。
Megaport がお手伝いできること
Megaport Virtual Edge (MVE) があれば、20 を超える大都市圏で、従量課金制のスケーラブルな設定で企業ネットワーク向けの FWaaS を実現することができます。
FWaaS を MVE 経由で提供することで、ユーザーは、従来のファイアウォール機能を超えて、ネットワーク上の送受信トラフィックを検査するだけでなく、より高度なカスタマイズやデータの脅威とパターンに対する深い洞察をもたらすネットワーク セキュリティ デバイスである次世代のファイアウォール (NGFW) のメリットを享受できるようになります。
Firewall as a Service は、オンデマンドで利用可能な機能により、ユーザーにネットワークの完全な制御を提供し、企業ネットワークのインフラストラクチャに貴重で必要なレイヤーをもたらします。FWaaS は、侵入してくる脅威からネットワークを守る番人として、常に追加のセキュリティ レイヤーとして機能し、サイバー脅威からネットワークを保護するため、チームは安心感が得られます。