次世代ファイアウォール じせだいふぁいあうぉーる
簡単に言うとこんな感じ!
昔のファイアウォールが「どこから来た通信か」しか見ていなかったのに対して、次世代ファイアウォール(NGFW)は「何のアプリが、何をやっているか」まで見て判断する、超高性能な門番なんだ!YouTubeを見ていい人・禁止する人を名前で区別したり、悪意ある通信をリアルタイムで止めたりできるよ!
次世代ファイアウォールとは
次世代ファイアウォール(NGFW: Next-Generation Firewall) とは、従来のファイアウォールが持つ「IPアドレスやポート番号による通信制御」に加え、アプリケーションの識別・制御、ユーザー単位の管理、脅威の検出・防御などを一体化した高度なセキュリティ機器です。2000年代後半にPalo Alto Networksが提唱・商品化し、現在では企業ネットワークの入口防御として事実上の標準となっています。
従来のファイアウォールは「80番ポートはHTTP通信」と決め打ちしていましたが、現代ではSlackもZoomもNetflixも同じ443番ポート(HTTPS)を使います。ポート番号だけでは何の通信かまったく区別できなくなったため、パケット(通信データ)の中身まで解析する「ディープパケットインスペクション(DPI)」 を中核技術として取り入れたのがNGFWです。
さらに、IPS(侵入防止システム) や URLフィルタリング、SSL/TLS復号、サンドボックス(未知のマルウェア検査) などを単一のアプライアンス(専用機器)やクラウドサービスとして統合しているため、複数製品を組み合わせる煩雑さを減らしながら高い防御力を実現できます。
従来型ファイアウォールとNGFWの違い
| 機能 | 従来型ファイアウォール | 次世代ファイアウォール(NGFW) |
|---|---|---|
| 通信の識別基準 | IPアドレス・ポート番号 | アプリケーション・ユーザー・コンテンツ |
| アプリ識別 | ❌ できない | ✅ Zoom / Slack / Netflix など識別可能 |
| ユーザー単位の制御 | ❌ できない | ✅ 社員Aはクラウドストレージ禁止、など |
| 侵入防止(IPS) | ❌ 別製品が必要 | ✅ 統合済み |
| SSL/TLS復号 | ❌ 暗号通信は素通り | ✅ 復号して中身を検査 |
| マルウェア検出 | ❌ 署名ベースのみ | ✅ サンドボックス・AI検知も |
| 未知の脅威への対応 | ❌ 弱い | ✅ 振る舞い検知で対応 |
覚え方:「顔パス vs フルボディチェック」
従来型ファイアウォールは「パスポート(IPアドレス)を見てOK/NGを判定する入国審査官」。 NGFWは「荷物をX線で透視して、持ち物の中身まで確認するフルボディチェック係」です。 同じ「入口の警備」でも、見ている情報量がまったく違うんです。
NGFWの主要機能一覧
- アプリケーション識別(App-ID): ポート番号に依存せず、通信パターンからアプリを特定
- ユーザー識別(User-ID): Active DirectoryなどのIDと連携し、「誰の通信か」を把握
- コンテンツ識別(Content-ID): マルウェア・脆弱性攻撃・機密データ漏洩などを検出
- SSL/TLS復号: 暗号化通信を一度復号して検査し、再度暗号化して送信
- IPS(侵入防止システム): 既知の攻撃パターンをシグネチャで検出し自動ブロック
- URLフィルタリング: カテゴリ・レピュテーション別にWebアクセスを制御
- サンドボックス: 未知のファイルを隔離環境で実行し、マルウェアかを判定
歴史と背景
- 1980年代後半: パケットフィルタリング型の初代ファイアウォール登場。IPアドレスとポートで通信可否を判断
- 1990年代: ステートフルインスペクション(通信の「状態」を追跡する技術)が主流に。CheckPoint社が普及をけん引
- 2000年代前半: WebアプリやVoIPの普及で「80番・443番ポートを使う通信が急増」→ポートベース制御が形骸化
- 2007年: Palo Alto Networksが「アプリケーション識別」を中核としたNGFWを商品化。業界に革命をもたらす
- 2009年: Gartner社がNGFWを正式に定義・命名。「アプリ識別・IPS・SSL復号の統合」を要件として提示
- 2010年代: Cisco、Fortinet、Check Point、Juniper など主要ベンダーが相次いでNGFW製品をリリース
- 2015年頃〜: クラウド化が進み、「FWaaS(Firewall as a Service)」として仮想NGFWをクラウドで提供するモデルが台頭
- 2020年代: ゼロトラストアーキテクチャの普及とともに、NGFWはSASE(サシー)の中核コンポーネントとして再定義される
主要ベンダーと導入形態の比較
NGFWは大きく「オンプレミス型(物理・仮想アプライアンス)」と「クラウド型(FWaaS)」に分かれます。テレワーク拡大後は、クラウド型を含むSASE(Secure Access Service Edge) として利用するケースが急増しています。
主要ベンダー比較
| ベンダー | 代表製品 | 特徴 |
|---|---|---|
| Palo Alto Networks | PA シリーズ / Prisma | NGFWの生みの親。App-IDが強力 |
| Fortinet | FortiGate | コストパフォーマンスが高く中堅企業に人気 |
| Cisco | Firepower / Meraki MX | 既存Cisco環境との親和性が高い |
| Check Point | Quantum / CloudGuard | 老舗セキュリティベンダー。管理UIが評価高い |
| Zscaler | ZIA(クラウド型) | FWaaSの代表格。テレワーク環境に強い |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7110 | ファイアウォール経由のトレース(Return Path Specified LSP Ping)関連 |
| RFC 2979 | ファイアウォールの動作とIPマルチキャストへの影響 |
| RFC 4949 | インターネットセキュリティ用語集(ファイアウォールの定義を含む) |
関連用語
- ファイアウォール — 通信の入口を守るネットワークセキュリティの基本装置
- IPS(侵入防止システム) — 攻撃パターンを検知して自動でブロックするセキュリティ機能
- ディープパケットインスペクション — パケットの中身まで解析する通信検査技術
- SSL/TLS復号 — 暗号化通信を一時的に復号してセキュリティ検査を行う技術
- SASE(サシー) — ネットワークとセキュリティをクラウドで統合したアーキテクチャ
- ゼロトラスト — 「何も信頼しない」を前提にしたセキュリティの考え方
- UTM(統合脅威管理) — 中小企業向けに複数のセキュリティ機能をまとめたアプライアンス
- DMZ(非武装地帯) — ファイアウォールで内外ネットワークから切り離した中間ゾーン