FWaaSとは?
基礎から従来型との違い、活用方法までわかりやすく解説!
近年、企業を取り巻くICT環境の変化が激しくなっています。サイバー空間における脅威の高度化や巧妙化も進むなかで、このような環境の変化に対応した適切なセキュリティ対策が欠かせません。
従来からセキュリティ対策の要として、ネットワークの境界上にファイアウォール(FW)が設置されてきました。FWも環境の変化とともに進化し、なかでも昨今注目を集めているのが「FWaaS」です。
この記事では、FWaaSの基本的な知識から、従来型FWとの違いやメリット・デメリット、活用方法までわかりやすく解説します。
目次
FWaaSとは?
はじめに、FWaaSがどのようなものなのか、どのような機能を持っているのかなど、基本的な知識から見ていきましょう。
FWaaSは「クラウド型のFW」
FWaaS(FW as a Service)とは「サービスとしてのFW」を意味しており、クラウドベースのFWのことを表します。FWの機能がインターネット経由のサービスとして利用できるものです。FWaaSが提供する機能としては、主に次のようなものが挙げられます。
- URLフィルタリング:不適切なWebサイトへのアクセスを防止
- 不正侵入防止システム(IDS/IPS):ネットワークへの不正侵入を防止
- 脅威への対策:ウイルスなどのマルウェアの検出と対策
- DNSセキュリティ:DNSを利用して悪意あるドメインへのアクセスをブロック
FWaaSはレイヤ7 FWを含む、高度な機能を提供するクラウド型の次世代ファイアウォール(NGFW)です。FWaaSにより、ネットワークセキュリティの一部または全体をクラウドに移行できます。
FaaSとは異なるため注意
FWaaSと名前が似ているものとして「FaaS」が挙げられます。
FaaS(Function as a Service)は、アプリケーション開発に利用される関数をクラウドサービスとして提供するものであり、サーバーレスアーキテクチャの一部です。FaaSを利用することで、開発者はサーバーを気にすることなく開発に集中できる、という特徴を持ったサービスとなっています。
名前は似ていますが、FWとは関係のないサービスであるため、混同しないように注意しましょう。
FWaaSが必要とされる背景
なぜFWaaSは近年注目されているのでしょうか。その要因としては「サイバー脅威の増加と巧妙化」「企業のICT環境の複雑化」などが考えられます。
サイバー脅威の増加と巧妙化
サイバー脅威は年々増加傾向にあり、警視庁が公開している資料によると、ランサムウェアの被害は令和4年以降高い水準で推移していることがわかります。具体的な被害件数は令和2年下期には21件でしたが、令和4年以降は毎期100件近くにまで増えています。
直近では、株式会社ドワンゴがランサムウェアの被害に遭い、自社サービスの停止や情報漏えいなどにより、甚大な不利益を被ることとなりました。自社開発のWebサービスを長年提供する企業でさえランサムウェアの被害に遭う可能性がある、ということからサイバー脅威の巧妙化が進んでいると推察されます。
また、ぜい弱性探索行為などの観測状況についても件数が年々増加しています。これは、何もサービスを提供していないセンサーにより検知されたアクセスをカウントした件数です。特にIoT機器を狙ったものが増加しており、海外を送信元とする件数がかなり高い水準となっています。
このように、サイバー脅威の増加と巧妙化が進むなかでは、適切なセキュリティ対策の一環としてFWaaSが必要です。
企業のICT環境の複雑化
2020年以降、新型コロナウイルスの世界的な流行により、企業は自社のICT環境を強制的に変更せざるを得なくなりました。当時はオフィスワークが難しくなり、企業活動を継続するためには新たな組織環境と対策が必要とされました。
そこで積極的に導入された施策がテレワークやクラウドサービスです。しかし、当時は環境を整えることを優先する企業が多く、導入時に十分なセキュリティ対策がなされないケースも見受けられました。
新型コロナウイルスの影響が少なくなった現在、変化したICT環境はそのままで業務環境は複雑化しています。ICT環境・業務環境が変化したために、あらためてセキュリティ対策を施す必要があり、最新のICT環境に適しているFWaaSの導入が注目されているのです。
FWaaSと従来型のFWの違い
従来型のFWは、ソフトウェアあるいはアプライアンスとしてオンプレミスで設置するものでした。対して、FWaaSはクラウドサービスとして利用するため、ハードウェアを用意する必要がありません。これらの違いを含め、FWaaSと従来型のFWの違いについてかんたんに表にまとめます。
項目 | FWaaS | 従来型のFW |
---|---|---|
構築(設置)場所 | クラウド環境 | オンプレミス環境(オフィス内のサーバーやデータセンターなど) |
運用・管理面 |
|
|
コスト |
|
|
FWの考え方 |
|
|
従来の業務環境はオフィス内で完結していました。そのため、社内のネットワークと社外のネットワークを分け、その境界にFWを設置することが一般的な対策でした。
しかし、テレワークやクラウドサービスの業務利用、企業のグローバル化など、業務環境はオフィス内で完結することが難しくなっています。従来の考え方では、変化する業務環境に対して十分なセキュリティ対策が取れません。FWaaSはFWの機能をクラウドサービスとして利用可能なだけではなく、昨今の業務環境に合わせたセキュリティ対策の実現が可能です。
FWaaSの仕組みと機能
FWaaSが昨今の業務環境・ICT環境における変化に対して、適切なセキュリティ対策を実現できる理由はその仕組みにあります。
従来型のFWに代表される境界防御型セキュリティでは、ゲートウェイとなるFWは社内ネットワークに存在するため、例えば自宅などから業務で利用するクラウドサービスへの接続を制御することができません。
しかし、FWaaSはクラウド上でゲートウェイとして動作します。そのため、ユーザーはテレワークなど、どこから接続しても、必ずFWaaS経由で各種のサービスやシステムにアクセスすることになります。
さらに、FWaaSには次のような機能が備わっており、さまざまなサイバー脅威からクラウドサービスを含めた社内環境を守ることが可能です。
機能 | 内容 |
---|---|
パケットフィルタリング | FWの基本機能。IPアドレス、ポート番号などによる通信制御 |
URLフィルタリング | 悪意あるWebサイト、不適切なWebサイトへのアクセスを遮断 |
IDS/IPS | 不正アクセスと見なせる通信の検知と防御 |
DNSセキュリティ | 悪意のあるドメインに対するアクセスの遮断、DNSを悪用した通信のフィルタリング |
DLP(Data Loss Prevention) | 機密情報を監視し、データの不正な持ち出しを検出・防御 |
サンドボックス | マルウェアなどの疑いのあるファイルを隔離し、挙動をチェックする |
FWaaSはクラウドサービスであるため、そのほかのセキュリティに関連するクラウドサービスとも連携できます。FWとしてだけでなく、さまざまなサイバー脅威への対策手段として利用可能です。
FWaaSがもたらすメリット
FWaaSはどのようなメリットを企業にもたらすのか、ここで一度まとめてみます。
コストの削減
FWaaSはクラウドサービスであり、初期導入コストがかかりません。一方、従来型のFWを導入する際には、ソフトウェアやアプライアンスの費用、ライセンス料などによる高額な初期導入コストが必要でした。
FWaaSの場合、ほとんどのサービスが従量課金制で、利用した分だけ料金を請求される仕組みです。また、ハードウェアを意識する必要がなく、ハードウェアの運用・保守はサービス提供側に任せられます。
運用管理の簡素化
従来型のFWの場合は、社内で利用する特定のネットワークからしかアクセスできないため、運用に手間がかかっていました。加えて、各拠点に設置したFWごとに設定が必要になる場合が多く、管理も大変でした。
対して、クラウドサービスであるFWaaSであれば、どこからでも管理画面にアクセスできます。管理上もクラウドで一元的にポリシーの管理ができるため、運用・管理の簡素化が実現できます。
さらに、拠点拡張などの際に利用可能なリソースを増減させるといったスケーラビリティも従来型のFWに比べて向上しており、運用管理の効率化を実現可能です。
強固なセキュリティ環境の構築
FWaaSを単体利用することはあまり多くありません。ほとんどの場合、SASE(Secure Access Service Edge)の実現のために利用するものであり、CASB(Cloud Access Security Broker)やEDR(Endpoint Detection and Response)などと組み合わせてゼロトラストを実現します。
- SASE:ネットワーク制御とセキュリティ機能をクラウドにより統合したネットワークセキュリティモデル
- CASB:クラウドサービスの利用を安全に管理・制御するためのセキュリティ対策ソリューション
- EDR:ユーザーのデバイスに対する脅威を検出し対応を実現するセキュリティソリューション
- ゼロトラスト:すべてのアクセスを信頼せず、アクセスごとに常に認証を行うセキュリティモデル
ゼロトラストが実現すれば、日々変化する業務・ICT環境に対する強固なセキュリティ環境を構築することにつながります。
FWaaSのデメリット、課題
さまざまなメリットがある一方で、あらかじめ知っておくべきデメリットや課題も存在します。
ICT環境の大幅な変更が必要
FWは基本的にゲートウェイとして機能するものです。そのため、FWを変更するということは、ネットワークの構成を大きく変更することになります。また、FWaaSを単体で利用することは少なく、さまざまな機能を統合して利用することになるため複雑な管理や操作も必要です。
FWaaSを導入する際には業務環境を見直して、あらゆるネットワークアクセスを把握しなければなりません。そのうえで、業務に影響がないようにしっかりと検討・設計することが重要です。
トラブル発生時に会社全体のシステムが停止する可能性がある
FWaaSによってクラウド上にFW機能が集約されるため、仮にサービスが停止してしまうとネットワークが寸断されます。サービスとして基本的に冗長性は確保されているはずですが、単一の故障によるシステム停止に陥らないように設計・構築の段階でチェックしておく必要があります。
導入前には、利用を検討しているFWaaSに生じたトラブルの頻度や、トラブル発生時の対応について確認することが大切です。
FWaaSとSWG、NGFWの違い
「FWaaSはSASEを実現するためのもの」と先述しましたが、その際に 「SWG(Secure Web Gateway)」との違いについて疑問に思われるかもしれません。FWaaSとSWGの違いは、SASEを構成するゲートウェイ方式の違いといえます。
FWaaSはクラウド上にFWがあるイメージで、SWGは社外ネットワークと社内ネットワークの間に設置し、アクセスを制御するイメージです。ゲートウェイとして機能する点は同じですが、SWGは主にWebトラフィックを制御します。
また、同様に「NGFW(Next-Generation FW)」とFWaaSの違いについても気になる方が多いのではないでしょうか。NGFWは「次世代ファイアウォール」を意味し、従来型のFWを拡張したものです。従来型のFWに備わる主機能はパケットフィルタリングでしたが、NGFWはより上位のレイヤでフィルタリングを行ない、アプリケーションごとの制御も実現可能です。
FWaaSはNGFWの一種であるといえます。NGFWのなかでもよりクラウドとの親和性を高めたものがFWaaSです。そのため、クラウド環境に特化したNGFWをFWaaS、オンプレミス・ハイブリッド環境に強いものを特にNGFWと呼んでいる、と考えてよいでしょう。
FWaaSの活用方法
FWaaSはSASEを実現するための手段です。FWaaSは単体では利用せず、前述のソリューションなどを含めZTNA(Zero Trust Network Access)やMDM(Mobile Device Management)などとも組み合わせて統合的なセキュリティ環境を構築します。
- ZTNA:ユーザーやそのデバイスからの通信に対する信頼性を常に検証し、最小限のアクセス権限を付与するセキュリティモデル
- MDM:モバイルデバイスの管理とセキュリティを一元的に行うソリューション
FWaaSを用いたSASEを実現することで、テレワークにおけるセキュリティ強化やクラウドアプリケーションの保護、デバイスによらないアクセス管理などが実現できます。ただし、SASEやゼロトラストの実現は容易ではなく、FWaaSを導入すれば完了するわけではありません。
まずは、社内のグループ単位・部署単位などといったスモールスタートから始めて、徐々に全社に適用していくように導入を進めていくことをおすすめします。
まとめ
FWaaSはクラウド型のFWです。サイバー脅威は年々増加・巧妙化し続けており、企業のICT環境の複雑化も相まって、適切なセキュリティ対策を講じるために欠かせないサービスとなっています。
FWaaSは従来型のFWと比べて、コストの削減や運用管理の簡素化といったメリットも期待できます。一方で、注意すべきデメリットや課題も存在するため、導入する際には信頼性のあるパートナー企業やサポート体制も含め、事前にしっかりと確認しておきましょう。
「FWaaSが単体で導入されることは少ない」とお伝えしたとおり、近年のネットワーク・セキュリティ対策は単一のソリューションで行うものではありません。さまざまなソリューションを組み合わせて対策することが一般的ですが、運用・管理が難しく導入が進まないというケースも多く見られます。
そこで、弊社ではネットワークとセキュリティ基盤を丸ごと提供する「VxGPlatform」を提供しています。VxGPlatformはサイバーセキュリティ・メッシュに必要な機能をシングルベンダーSASEで提供するマネージドセキュリティサービスです。
FWaaSをはじめとしたセキュリティ対策の刷新、セキュリティアーキテクチャの実装を検討されている場合は、ぜひ一度お問い合わせください。