ステートフルインスペクションによる“従来型”のファイアウォールは、約17年間大きく変わらずに、そのまま利用された。しかし、その間にネットワークを取り巻く環境が進化し、大きく様変わりしていった。
従来のファイアウォールは、アプリケーションによって通過するポートが違うことを前提に、「ポートの開閉」という制御をする。2000年代半ばには、既にネットワークトラフィック量の80%ほどが「ポート80」(HTTP)や「ポート443」(HTTPS)を通過する状況だった。もちろん外部から攻撃があっても、この2つのポートを閉ざすことはインターネット通信を遮断し、システムの停止につながるので絶対にできない。現在のWebアプリケーション全盛の時代に向かうにつれ、知らず知らずのうちに、従来のファイアウォールの効果がどんどん減ってしまったのである。
そこで、次世代ファイアウォールが登場した。次世代ファイアウォールの一番の特徴は、ポートだけではなく、そのポートを通過するアプリケーションが何なのかを判別してくれることだ。従来の仕組みでは「HTTP通信」としか認識されなかったものが、よりきめ細かく通信内容を識別できるようになった。情報漏えいにつながるとして、多くの企業でその利用が禁止されているP2Pソフトなどのアプリケーションかどうかと、いうレベルまで制御できるようになったのだ。
次世代ファイアウォールの“定義”は、それを語る人やメーカーの製品によっても違うが、一般的には以下の3つの機能が備わっているかどうかだろう。
ただ、これだけでは次世代ファイアウォールの本質は分かりにくい。前回記載したように次世代ファイアウォールは、従来のファイアウォールから一足飛びで進化したわけではなく、その途中に海外では「失敗作」といわれるUTMを挟んでいる。
この変遷も踏まえて従来型ファイアウォールやUTMの弱点が次世代ファイアウォールでどのように改善していったかを以下に示す。
これまでミドルエンド以上ではスループット性能が出なかったUTMの弱点を新設計の高速エンジンで解決し、Webアプリケーションの急増に応じて通信ポート単位の制御からアプリケーションの可視化による制御を可能にした。そして、ディレクトリサービスと連動することで、誰(ユーザー)がどのようにアプリケーションや通信を利用しているのかが管理できるようになったのだ。
このように次世代ファイアウォールとは、従来型のファイアウォールの歩みがほぼ止まっていた1990年からの十数年分の環境変化に対応する機能を搭載し、新しいコンセプトの下で一足飛びのごとく進化したファイアウォールである(図1参照)。
Copyright © ITmedia, Inc. All Rights Reserved.