ファイアウォール選択のポイント

ファイアウォールの位置付けを理解する

企業ネットワークが外部と接続された1990年代、外部からの不正アクセスを防御するツールとしてファイアウォールが定着しました。しかし、時代のニーズに応えて、他にも不正防止ツールが多く誕生しています。それらとの関係を整理しましょう。

■ファイアウォールと次世代ファイアウォール

ファイアウォールは、送信元情報と送信先情報（IPアドレス、ポート番号）を元に、不正アクセスを発見して遮断します。しかし、不正アクセスは悪質化し、アプリケーションを装ってネットワーク内部に入り込むようになってきました。
そこで、アプリケーションを監視し制御する機能が盛り込まれたのが「次世代ファイアウォール」です。P2P型のファイル交換ソフトなどが監視できるものです。TwitterやFacebookなどのSNSツールを一般社員に対しては禁止し、広報担当者のみに利用できるようにするなどの制御も可能です。
ファイアウォールに、アプリケーション監視と制御機能を加えたものが次世代ファイアウォールです。

■ファイアウォールとWAF

WAF（Web Application Firewall）とは、Webアプリケーション用のファイアウォールです。
インターネットがビジネスに利用されるようになり、さまざまなサイトが公開され、サービスを提供するWebシステム（アプリケーション）が構築されました。このアプリケーションの脆弱性を攻撃するアクセスにはファイアウォールは対応できません。このために開発されたのがWAFです。
ファイアウォールとWAFは補完関係にあります。

■ファイアウォールとIPS/IDS

不正アクセスの中には、一見健全なアクセスに見えて、システムに入ってから悪意のある行動をするものが現れました。IPアドレスとポート番号を元に、監視するファイアウォールはこのアクセスを解読できません。そこで開発されたのがIPS/IDSです。IPS/IDSはパケット内容まで解析して、検知し自動遮断します。
ファイアウォールとIPS/IDSは補完関係にあります。

■ファイアウォールとUTM

UTMは多くのセキュリティ機能を搭載したアプライアンス製品です。ファイアウォールや次世代ファイアウォールも機能として含まれています。UTMは単体で多くのセキュリティ対策が可能となるため、コストパフォーマンスに優れています。
次世代ファイアウォールとUTMを、同じ製品として扱っている提供事業者もあり、近い位置付けとなっています。

ファイアウォール選択のポイント

ファイアウォール（次世代ファイアウォール）の選択においては、以下に着目してください。

■アプリケーションの可視化と制御

次世代ファイアウォールはアプリケーションを可視化・識別できますが、あらゆるアプリケーションに対応できるわけではありません。検出できるアプリケーションの種類を確認して、自社で監視したいアプリケーションに対応しているかを知っておくことが重要です。また、次々と登場するアプリケーションにどれだけ対応していけるのか、どこまで制御できるかなどを確認してください。

■パフォーマンス

すべてのアクセスがファイアウォールを通過するため、ファイアウォールには高いパフォーマンスが求められます。パフォーマンスは価格に比例しますので、検証が必要です。

■スケーラビリティ

常に同じ量のトラフィックが続くわけではありません。スケーラビリティもチェックしましょう。

■アプライアンスか仮想アプライアンスか

従来ハードウェアアプライアンスの形が一般的でしたが、クラウドから仮想アプライアンスで提供されることが多くなっています。クラウドの場合、スケーラビリティや運用性に優れています。コストも合わせて比較してみましょう。

導入実績やサービス提供事業者の技術力にも注目しましょう。的確なアドバイスを得て、最適なファイアウォールを導入してください。