近年、サイバー攻撃の進化・多様化を背景として、ネットワークセキュリティの重要性が高まっている。

 セキュリティ対策で重要な役割を果たすのがファイアウオール(FW)である。ただし従来型のFWは、IPアドレスやポート番号ベースで攻撃を防ぐため、許可されたポートでの通信に悪意のある通信が含まれた場合には対処できない。この課題を解決するのが「次世代ファイアウオール」(NGFW)である。アプリケーションレベルで通信を識別することで、その中に含まれる悪意ある通信からネットワークを防御できる。さらに、IPS、アンチマルウエア、サンドボックスの機能を備える製品も多く、複数のポイントで多層的な防御が可能である(図1)。

図1 様々な攻撃を多層的に防御するNGFW
従来型のファイアウオール(FW)はIPアドレスやポートに基づいて防御を行っていた。次世代ファイアウオール(NGFW)はそれに加え、アプリケーションレベルの通信チェックやIPS、アンチマルウエア、サンドボックスなどの機能を備え、それらを駆使して多層的な防御を実現する。
[画像のクリックで拡大表示]

 今回は、機器選定、接続構成、設計、運用という観点からNGFW導入のポイントを解説する。最新の脅威への対策として、NGFW以外の手段を組み合わせた多層防御についても説明する。

機能と性能から機器を選ぶ

 機器選定に当たって押さえるべきなのは、(1)必要な機能の確定、(2)必要な性能の割り出しの2点である。

 必要な機能の確定は、いわゆる要件定義である。ここで重要なのは、現在の通信状態の確認と、NGFWに求めるセキュリティ機能の確認である。例えば、既存のFWをNGFWに置き換える場合、既存環境を踏襲するのか、あるいは構成を変更するのかの判断はNGFWに求める機能による部分が大きいので、しっかりと要件を確定しておく必要がある。

 必要な性能については、様々な要素が関わってくるため、これさえ押さえておけば安心とは言いづらいのが正直なところである。ただ、見るべきポイントはいくつかある。

 まずはトラフィック量だ。現在のトラフィック量を把握するだけでなく、将来にどれくらい増えるかを意識してほしい。具体的には、クラウド活用の増加に伴い、社内ネットワークからインターネットに出る通信が増加する可能性は高い。また、IPS、アンチマルウエア、サンドボックスなどの機能を追加する場合や通信制御ポリシーを増やす場合は、導入当初に比べて性能が低下することを考慮しておく必要がある。

 要件定義の内容をベースに、メーカーが公開するデータシートを踏まえて機器選定を行うのが一般的だ。しかしながら、メーカーが公開する仕様には、その製品が最もパフォーマンスを発揮できる設定やネットワーク環境で測定した値が書かれている場合がある。そのため、複数の機能を同時に有効にしたり、通信制御ポリシーを多く設定したりすると、データシートにある性能に達しないことがある。機器選定時の性能確認は慎重に行うべきだろう。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら