// シス担のミカタ
ゼロトラスト・SASE

FWaaS(Firewall as a Service) ふぁいあうぉーるあさあさーびす

ファイアウォールクラウドセキュリティSASEゼロトラストトラフィックフィルタリングネットワークセキュリティ
FWaaSについて教えて

簡単に言うとこんな感じ!

FWaaSは「クラウドで動くファイアウォール」だよ!従来は会社の入口にどでかい専用機器を置いてたけど、それをまるごとクラウド上のサービスに置き換えちゃうってこと。どこで働いていても、クラウドが一括で通信を見張ってくれるんだ!

FWaaS(Firewall as a Service)とは

FWaaS(Firewall as a Service)とは、従来は物理機器として社内に設置していたファイアウォール(不正な通信を遮断する関所)を、クラウド上のサービスとして提供する仕組みです。企業はハードウェアを購入・管理することなく、インターネット経由でファイアウォール機能を利用できます。

テレワークや拠点の多様化が進む現代では、「会社の入口にファイアウォールを置く」という従来モデルでは守りきれないケースが増えています。FWaaSでは、社員がどこからアクセスしてもクラウド上の1か所でトラフィック(通信)を検査・制御できるため、セキュリティポリシーを一元管理できます。

FWaaSは、SASE(Secure Access Service Edge) と呼ばれるクラウド型セキュリティアーキテクチャの中核コンポーネントの一つでもあります。SD-WANCASBSWGなどと組み合わせることで、ネットワークとセキュリティを統合したクラウドサービスとして機能します。

FWaaSの構造と仕組み

FWaaSがどのように通信を守るか、従来型との比較を含めて整理します。

比較項目従来型ファイアウォール(オンプレミスFWaaS(クラウド型)
設置場所社内・データセンターの物理機器クラウド上のサービス
管理主体自社のIT部門サービスプロバイダー
スケーリング機器増設が必要(コスト大)自動でスケールアップ
テレワーク対応VPN経由で迂回が必要どこからでも直接接続
導入コスト初期費用が高い月額サブスクリプション
ポリシー管理拠点ごとに個別設定クラウドで一元管理

FWaaSの主な機能

  • URLフィルタリング — 危険なWebサイトへのアクセスを遮断
  • 侵入防止(IPS) — 既知の攻撃パターンを検知してブロック
  • アプリケーション制御 — 特定のアプリやサービスの通信を制御
  • DNSセキュリティ — 悪意あるドメインへの名前解決を防ぐ
  • SSL/TLSインスペクション暗号化通信の中身も検査
  • ログ・可視化 — 全通信を記録して分析・レポート

覚え方:「FWaaS = 空の関所」

空の関所」と覚えると便利です。昔の関所(ファイアウォール)は道の途中(オフィスの入口)にあったけど、FWaaSは空(クラウド)に浮かぶ関所。どこへ向かう旅人(通信)も、この空の関所を必ず通過しなければならない、というイメージです。

歴史と背景

  • 1980年代後半 — ファイアウォールの概念が登場。DEC(デジタル・イクイップメント)が初期の実装を開発
  • 1990年代〜2000年代 — Cisco・Juniper・Check Pointなどがオンプレミス型ファイアウォール機器市場を形成。企業はデータセンターや本社に物理機器を設置するのが標準
  • 2010年代前半 — クラウドサービス(SaaS)の普及により、社内ネットワーク経由でのアクセスでは遅延が増加。「ヘアピニング問題」(クラウドへの通信も一度社内に引き込む非効率)が顕在化
  • 2019年 — Gartner社がSASE(Secure Access Service Edge)という概念を提唱。FWaaSはその構成要素として注目を集める
  • 2020年〜 — コロナ禍によるテレワーク急拡大で、クラウド型セキュリティへの需要が爆発的に増加。Zscaler・Palo Alto Networks・CloudflareなどがFWaaSを主力サービスとして展開
  • 2020年代中盤ゼロトラストアーキテクチャとの統合が進み、FWaaSはZTNAゼロトラストネットワークアクセス)と組み合わせて使われるのが主流に

FWaaSとSASEアーキテクチャの関係

FWaaSは単独のサービスとして使うこともできますが、SASE(Secure Access Service Edge) フレームワークの中では他のセキュリティ機能と統合されて機能します。

SASEアーキテクチャとFWaaSの位置づけ SASE(Secure Access Service Edge)クラウドレイヤー FWaaS Firewall as a Service ★ 今回のテーマ SWG Secure Web Gateway Webフィルタリング CASB Cloud Access Security Broker ZTNA Zero Trust Network Access SD-WAN 拠点間ネットワーク 最適化 DNS Security 悪意あるドメインの 名前解決をブロック テレワーカー 支社・拠点 クラウドアプリ すべての通信はSASEクラウドレイヤーを経由して検査・制御される

FWaaSと従来型VPNの違い

VPN(Virtual Private Network)も社外からの安全な接続に使われますが、役割が異なります。

観点VPNFWaaS
主な目的暗号化トンネルでの安全な通信路確保トラフィックの検査・フィルタリング
トラフィックの流れ社内NWへ引き込んでから外部へクラウドで直接検査・制御
スケーラビリティ集中ポイントでボトルネックになりやすいクラウドで自動スケール
テレワーク時の遅延ヘアピニングで遅延が出やすい最寄りのPoPで処理して低遅延

関連する規格・RFC

規格・RFC番号内容
RFC 2979ファイアウォールの動作・相互運用性に関する定義
RFC 6887NAT/ファイアウォール越えのためのPort Control Protocol(PCP)

関連用語

  • SASE — ネットワークとセキュリティをクラウドで統合するアーキテクチャ
  • ゼロトラスト — 「何も信頼しない」前提でアクセスを検証するセキュリティ思想
  • ZTNA — ゼロトラストの考え方に基づくネットワークアクセス制御
  • SWG(Secure Web Gateway) — WebトラフィックをフィルタリングするクラウドセキュリティサービスCASB
  • CASB — クラウドアプリの利用を監視・制御するセキュリティブローカー
  • SD-WAN — ソフトウェアで制御する広域ネットワーク技術
  • VPN — 暗号化トンネルで安全な通信路を確立する技術
  • ファイアウォール — 不正な通信を遮断するネットワークの関所