// シス担のミカタ
ゼロトラスト・SASE

FWaaS(Firewall as a Service) ふぁいあうぉーるあさあさーびす

ファイアウォールクラウドセキュリティSASEゼロトラストネットワークセキュリティトラフィックフィルタリング
FWaaSについて教えて

簡単に言うとこんな感じ!

ファイアウォール(不正アクセスをブロックする門番)をクラウドサービスとして使えるようにしたものだよ! 昔は会社にでっかい機械を置いてたけど、FWaaSならネット経由でその機能を借りられるんだ。どこで働いていても同じセキュリティで守れるのが強みってこと!

FWaaSとは

FWaaS(Firewall as a Service)とは、従来は物理的なアプライアンス機器として社内に設置していたファイアウォールの機能を、クラウド上のサービスとして提供する形態のことです。利用企業はハードウェアを購入・設置・管理することなく、インターネット経由でファイアウォール機能を利用できます。

クラウドやリモートワークが広まるにつれて、社員が「会社のオフィス内」だけで働く時代は終わりました。自宅・カフェ・出張先など、あらゆる場所からシステムにアクセスする現代において、「オフィスの入口だけを守る」旧来型のファイアウォールでは限界があります。FWaaSはこの課題を解決するために生まれた、クラウド時代のネットワーク防衛の仕組みです。

FWaaSは、SASE(Secure Access Service Edge) というクラウド型セキュリティアーキテクチャの主要コンポーネントの一つでもあり、ゼロトラストセキュリティの実現に向けた重要な要素として注目されています。

FWaaSの仕組みと主な機能

FWaaSでは、すべての通信トラフィックがクラウド上のファイアウォールを経由します。ユーザーがどこにいても、クラウド上の「共通の門番」を通ることで一貫したセキュリティポリシーが適用されます。

機能説明
パケットフィルタリングIPアドレスポート番号などをもとに通信を許可・拒否する基本機能
URLフィルタリング危険・不適切なWebサイトへのアクセスをブロック
アプリケーション制御SNSや動画サービスなどアプリ単位で通信を制御
侵入防止(IPS)不正アクセスのパターンを検知してリアルタイムにブロック
TLS/SSL復号検査暗号化された通信の中に潜むマルウェアも検査
ログ収集・可視化誰がいつどこへアクセスしたかを記録・分析

従来型ファイアウォールとの違い(語呂合わせ的覚え方)

ハコ(箱)からクモ(雲)へ」と覚えましょう!
ハコ=物理アプライアンス機器、クモ=クラウド(Cloud)のイメージです。

導入規模・拠点数による使い分け

状況向いている方式
拠点が1〜2か所のみ従来型アプライアンスでも十分な場合あり
拠点が多い・海外展開ありFWaaSが圧倒的に管理しやすい
リモートワーカーが多いFWaaSが必須級
クラウドサービス(SaaS)中心FWaaS+SASEが最適解

歴史と背景

  • 1980年代後半〜1990年代:インターネットの普及とともに、不正アクセスを防ぐための物理ファイアウォール機器が登場。Cisco・Check Point・Palo Alto Networksなどが市場をリード
  • 2000年代:企業ネットワークの境界(オフィスの出入口)を守るモデルが主流に。ただし社外からの通信への対応は弱かった
  • 2010年代前半:クラウドサービス(SaaS)の急速な普及により、「社内ネットワークの外」へのトラフィックが激増。境界型防御の限界が顕在化
  • 2019年:Gartner社がSASEというフレームワークを提唱。FWaaSはその中核コンポーネントとして定義される
  • 2020年〜:コロナ禍によるリモートワーク急拡大で、FWaaSへの需要が爆発的に増加。Zscaler・Palo Alto Networks Prisma・Cloudflare One などのサービスが普及

従来型ファイアウォールとFWaaSの比較

従来型ファイアウォール vs FWaaS 従来型アプライアンス (物理機器をオフィスに設置) FWaaS (クラウド上のサービスとして利用) 導入コスト 初期費用が高い(機器購入費) 初期費用ほぼゼロ(月額制) スケーラビリティ 拡張に買い替え・追加が必要 クリック一つで即スケール リモートワーク対応 VPN等との組み合わせが必要 場所を問わず同一ポリシー適用 管理・運用 拠点ごとに個別管理が必要 一元管理・自動アップデート

SASEにおけるFWaaSの位置づけ

FWaaSは単独でも使えますが、SASE(Secure Access Service Edge) というより大きな枠組みの中では他のコンポーネントと組み合わさって機能します。

╔══════════════════════════════════════╗
║           SASE の構成要素            ║
║                                      ║
║  ┌──────────┐  ┌──────────────────┐  ║
║  │  SD-WAN  │  │ FWaaS ◀ここ!    │  ║
║  │ネットワーク│  │ファイアウォール  │  ║
║  │最適化    │  │をクラウドで提供  │  ║
║  └──────────┘  └──────────────────┘  ║
║  ┌──────────┐  ┌──────────────────┐  ║
║  │  CASB    │  │  ZTNA            │  ║
║  │クラウドApp│  │ゼロトラスト      │  ║
║  │アクセス制御│  │ネットワークアクセス│ ║
║  └──────────┘  └──────────────────┘  ║
║  ┌──────────────────────────────┐    ║
║  │  SWG(セキュアWebゲートウェイ)│    ║
║  │  Webアクセスの安全な中継      │    ║
║  └──────────────────────────────┘    ║
╚══════════════════════════════════════╝

関連する規格・RFC

規格・フレームワーク内容
SASE(Gartner, 2019)FWaaSを含むクラウド型セキュリティアーキテクチャの定義
NIST SP 800-207ゼロトラストアーキテクチャに関するガイドライン
RFC 8446TLS 1.3(FWaaSでの暗号化通信検査に関連)

関連用語

  • SASE — ネットワークとセキュリティをクラウドで一体提供するフレームワーク
  • ゼロトラスト — 「社内でも信頼しない」を前提とした新しいセキュリティの考え方
  • SWG(セキュアWebゲートウェイ) — WebアクセスをクラウドでフィルタリングするFWaaSの兄弟的存在
  • CASB — クラウドサービスの利用を制御・可視化するセキュリティ技術
  • SD-WAN — ソフトウェアで柔軟に制御できる広域ネットワーク技術
  • UTM — ファイアウォール等を1台にまとめた統合脅威管理アプライアンス