IPアドレスとポート番号に基づいて通信を制御する従来型ファイアウォールに代わる製品として、「次世代ファイアウォール」が注目を集めている。セキュリティ機器ベンダー各社が中小規模ネットワーク向けの製品を続々と投入。標的型攻撃対策など新しい機能の搭載も始まった。

 セキュリティ機器ベンダー各社が中小規模向けの次世代ファイアウォール製品を続々と投入している。データセンター向けや大規模企業ネットワーク向けなどハイエンド領域から普及が始まっていた次世代ファイアウォールが、徐々に下の市場に向けてすそ野を広げ始めている格好だ。

 中小規模向けネットワークセキュリティ機器市場においては、既に10年ほど前からUTM(Unified Threat Management:統合脅威管理)と呼ばれる統合型のセキュリティ機器が普及している。米Palo Alto NetworksやイスラエルCheck Point Software Technologiesなど主要なベンダーが同市場に投入した次世代ファイアウォールの特徴を解説する。

従来型ファイアウォールの限界

 次世代ファイアウォールとはどのようなものか。従来型ファイアウォールと比較しながら見ていこう(図1)。

図1●次世代ファイアウォールとは?
従来型ファイアウォールが通信を制御する基本情報として使っていたIPアドレスとポート番号に加えて、「アプリケーション/サービスの種類」や「ユーザー」などの情報も利用してきめ細かく通信を制御できる仕組みを備える。「特定アプリケーションの特定機能だけを特定のユーザーに使わせる」といった制御を実現可能
[画像のクリックで拡大表示]

 従来型ファイアウォールとは一般に、「送信元IPアドレス」「宛先IPアドレス」「送信元ポート番号」「宛先ポート番号」という4種類の基本情報の組み合わせに基づいて通信を制御する。受け取ったIPパケットのヘッダー部分(IPヘッダーおよびTCP/UDPヘッダー)に書かれた上記4種類の情報を見て、管理者が許可した通信のパケットのみを通過させ、他は通過させない。こうすることで不正アクセスなどを防ぐ(パケットフィルタリング)。この機能に加えてTCPの3WAY(スリーウェイ)ハンドシェークといった通信の始まりなどを認識してセッション単位で制御できるタイプもある(ステートフルインスペクション)。

 問題は、こうした従来型ファイアウォールによる通信の制御方法が、もはや限界を迎えつつあるという点だ。最近のアプリケーションやクラウドサービスの通信は、多くがHTTP(TCP80番ポート)またはHTTPS(TCP443番ポート)を使って通信するからだ。

 従来型のファイアウォールを使う限り、これらはすべてTCP80/443番ポートを宛先とする同じ通信にしか見えない。「DropboxやFacebook、Skypeなどのアプリケーション/サービスをしっかりと管理して使いたい、という企業ユーザーの声に、従来型ファイアウォールでは対応し切れない」(バラクーダネットワークスジャパン SEディレクター 鈴木啓之氏)。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。