Cisco ASA しすこ あさ
簡単に言うとこんな感じ!
Cisco ASAは、会社のネットワークを守る「番人」みたいな機器だよ!外からの不正アクセスをブロックしたり、社員が安全にリモートワークできるVPNの入口になったり、一台で何役もこなす業務用のセキュリティ装置なんだ!
Cisco ASAとは
Cisco ASA(Adaptive Security Appliance)は、米Cisco Systemsが提供するネットワークセキュリティアプライアンス(専用機器)です。「Adaptive(適応型)」の名が示す通り、ファイアウォール・VPN・侵入防御(IPS)などの機能を一台に統合した多機能な製品で、企業ネットワークの境界防御を担う「中核装置」として長年にわたり世界中に普及しています。
もともとは2004年に旧来の製品群(PIX・VPN 3000・IDS 4200)を統合する形で登場しました。ステートフルインスペクション(通信の状態を追跡して正当なパケットだけを通す方式)を基盤とし、単純なパケットフィルタリングより格段に高い精度で不正通信を遮断できます。オフィスと本社をつなぐサイト間VPNや、テレワーク端末が会社ネットワークに接続するためのリモートアクセスVPN(AnyConnect)のゲートウェイとしても広く使われています。
現在はより高機能な後継製品Cisco Firepower NGFW(次世代ファイアウォール)へ移行が進んでいますが、既存環境での稼働台数は依然として多く、ASAのソフトウェアイメージ自体がFirepowerシリーズにも搭載できるため、「ASA」の名前は現役で通用する概念です。
Cisco ASAの主要機能と構造
| 機能カテゴリ | 具体的な機能 | 実務上の使われ方 |
|---|---|---|
| ファイアウォール | ステートフルインスペクション、アクセスコントロールリスト(ACL) | 外部→内部への不正アクセス遮断 |
| VPN | サイト間IPsec VPN、SSL VPN(AnyConnect) | 拠点間接続・テレワーク |
| NAT | スタティックNAT、ダイナミックNAT、PAT | プライベートIPをインターネットに公開 |
| IPS/IDS | Snortベースの侵入検知・防御(Firepowerモジュール追加時) | 既知の攻撃パターンをリアルタイム検知 |
| 高可用性 | アクティブ/スタンバイ・アクティブ/アクティブ冗長構成 | 障害時の自動切り替え |
| マルチコンテキスト | 1台を仮想的に複数台に分割 | 複数部門・テナントの論理分離 |
セキュリティレベルという考え方
ASAの設計思想のキーワードがセキュリティレベル(Security Level)です。各インターフェースに0〜100の数値を割り当て、高い数値から低い数値への通信は許可、逆は原則拒否というシンプルなルールが基本になっています。
セキュリティレベル例
内部LAN(inside) → レベル 100 ← 一番信頼できる
DMZ(dmz) → レベル 50 ← サーバー公開ゾーン
インターネット(outside)→ レベル 0 ← 一番信頼しないこの考え方を知っておくと、「なぜその通信が通らないのか」の原因推測がぐっとしやすくなります。
ASAシリーズの主要モデル(規模感の目安)
| シリーズ | 想定規模 | スループット目安 |
|---|---|---|
| ASA 5506-X | 小規模オフィス・支店 | 〜750 Mbps |
| ASA 5508-X / 5516-X | 中規模オフィス | 〜1〜2 Gbps |
| ASA 5525-X / 5545-X | 中〜大規模 | 〜2〜3 Gbps |
| ASA 5585-X | 大企業・データセンター | 〜20 Gbps+ |
歴史と背景
- 1995年頃 — 前身となるPIX(Private Internet eXchange)ファイアウォールをCiscoが買収・製品化。ステートフルインスペクションの先駆け的存在として普及
- 2001年 — VPN専用機「VPN 3000 Concentratorシリーズ」が企業VPNの主力に
- 2004年 — PIX・VPN 3000・IDS 4200の3製品を統合したASA 5500シリーズを発表。「一台でなんでもできる」アプライアンスとして爆発的に普及
- 2010年代前半 — クラウド化・モバイル化の進展とともに、SSL VPN(AnyConnect)によるリモートアクセス需要が急増
- 2013年 — Sourcefire社(IPS製品で著名)をCiscoが買収。ASAにFirepowerモジュール(NGIPS)を組み合わせたハイブリッド構成が登場
- 2015年 — Cisco Firepower 4100/9300など次世代ファイアウォール(NGFW)シリーズ発売。ASAソフトウェアをFirepower上で動かす形態に
- 2017年頃〜 — ASA 5500-XシリーズのEOL(販売終了)が順次アナウンスされ、Firepower 1000/2100/4100シリーズへの移行が推奨される
Cisco ASA と次世代ファイアウォール(NGFW)の違い
ASAは「従来型ファイアウォール」の代表格です。一方、現在主流となりつつあるNGFW(Next-Generation Firewall)との違いを整理すると、システム選定の判断がしやすくなります。
競合製品との簡単な比較
| 製品 | ベンダー | 特徴 |
|---|---|---|
| Cisco ASA / Firepower | Cisco | 世界シェアトップ級。大企業〜中堅に強い |
| Palo Alto Networks PA | Palo Alto | NGFW分野のリーダー。アプリ識別が強力 |
| Fortinet FortiGate | Fortinet | コストパフォーマンスが高くSMB〜中堅向けに人気 |
| Check Point | Check Point | 金融・官公庁など高セキュリティ要件の環境に強い |
| Juniper SRX | Juniper | ルーター機能との統合が得意 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4301 | IPsecのセキュリティアーキテクチャ(ASAのVPN機能の基盤) |
| RFC 4303 | ESP(Encapsulating Security Payload)仕様 |
| RFC 5246 | TLS 1.2(SSL VPN/AnyConnectの通信基盤) |
| RFC 2663 | NATの用語・分類定義 |
| RFC 3947 | NAT-T(NATトラバーサル)IKEネゴシエーション |
関連用語
- ファイアウォール — 内外ネットワーク間の通信を制御するセキュリティ装置の総称
- ステートフルインスペクション — 通信の「状態」を追跡して正当なパケットのみを通す検査方式
- VPN — 公衆回線上に暗号化された仮想的な専用線を構築する技術
- IPsec — IP層でパケットを暗号化・認証するセキュリティプロトコル群
- NAT — プライベートIPアドレスをグローバルIPアドレスに変換する仕組み
- 次世代ファイアウォール(NGFW) — アプリケーション識別・ユーザー識別など高度な制御が可能な新世代FW
- DMZ — 外部公開サーバーを置く「非武装地帯」と呼ばれるネットワークゾーン
- IPS / IDS — 不正な通信パターンをリアルタイムに検知・遮断するセキュリティ機能