FWaaS(Firewall as a Service)とは?

ファイア アズ ア サービス (FWaaS) は、オンデマンドのトラフィック分析と脅威のブロックを提供するクラウド ファイア ウォール サービスです。 FWaaS は、古いオンプレミスのファイアウォール設定に依存している組織が直面する主要なセキュリティ制限の一部に対処することを目的としています。FWaaS は、世界中に分散されたクラウド ポイント オブ プレゼンスを通じて提供され、ユーザー、デバイス、アプリケーションをどこにいても保護し、オンプレミス、クラウド、リモート環境全体で一貫性があり、スケーラブルで低遅延のセキュリティを保証します。

専門スタッフに相談する SASE計算機

サービスとしてのファイアウォール(FWaaS)

従来のファイアウォールでは不十分な理由

数十年にわたり、企業のセキュリティは明確な境界を基準に設計されてきました。企業ネットワークは、オフィスの LAN に接続された個々のデバイスで構成されていました。トラフィックは事前に定義されたポイントでネットワークから出ます。そして、この定義された境界では、従来のファイアが配備される可能性があります。

これらの古いファイアウォールでは、管理者は IP アドレスやポート番号などの事前定義された要素に基づいてトラフィックを許可またはブロックするルールを実装していました。これらのルールは多くの場合手動で管理され、定期的に更新されます。しかし、このモデルは時代遅れでした。信頼できる内部システムと信頼できない外部インターネットの間に明確に定義された境界を構築したからです。今日の企業ネットワークの大部分は、もはやこの見通しに一致していません。

 

これにはいくつかの根本的な要因があります。

  • クラウドが境界を解消しました:アプリケーションとそれに対応するデータは、かつては企業のデータ センターに限定されていましたが、現在では、 SaaSプラットフォーム、 IaaSプロバイダー、およびハイブリッド環境で処理されることが多くなっています。 ユーザーは、企業のファイアウォールを完全にバイパスして、企業のデバイスから Salesforce、Microsoft 365、または AWS でホストされているアプリに直接アクセスします。従来の境界ベースのファイアウォールでは、断片化されたインフラストラクチャ全体で一貫してポリシーを適用することはできません。
  • リモートワークとハイブリッドワークフォース:従業員は現在、自宅、コワーキングスペース、空港など、あらゆる場所で定期的に働いています。本社に設置された境界ファイアウォールでは、世界中に散らばっているユーザーやデバイスを効果的に保護することはできません。検査のために企業ネットワークを介してトラフィックをバックホールすると、遅延が発生し、従業員の作業が遅くなり、エンドユーザーにストレスを与えるリスクもあります。たとえば、WFH エンジニアリング チームは、自宅のネットワークから GitHub アカウントにアクセスし、コード リポジトリを直接同期できます。オフィスの境界ファイアウォールは、アカウントの乗っ取りやデータ漏洩を防ぐのに役立ちません。
  • 進化する脅威の状況:攻撃者はもはやブルートフォースによる外部侵入だけに頼るのではなく、サプライ チェーンを悪用し、資格情報を侵害し、信頼できるネットワーク全体での横方向の移動に依存しています。従来のファイアウォールは、内部の東西トラフィックではなく、主にエッジを保護するため、侵入されると有効性は制限されます。
  • マルチクラウド インフラストラクチャ: 企業は AWS、Azure、GCP 上でワークロードを同時に実行します。「境界」はもはや単一のボトルネックではなく、プロバイダー全体にわたる仮想ネットワークの分散メッシュです。固定アプライアンスに結び付けられた従来のファイアウォールは、これらの動的な環境全体に均一なポリシーを適用できるように拡張することができません。

 

 

サービスとしてのファイアウォール (FWaaS) の仕組み

Firewall as a Serviceは、 次世代ファイアウォール (NGFW)の機能を取り入れ、物理アプライアンスからクラウドに移行します。 このようにセキュリティ機能を物理インフラストラクチャから切り離すことで、組織はリモートのモバイルワーカーやオフィスを、アプリケーションがオンプレミスやクラウドに存在する最新の企業ネットワークに安全に接続できます。

FWaaS は、この崩壊への対応として登場しました。クラウドネイティブアーキテクチャを介して提供されるFWaaSは、ユーザー、デバイス、アプリケーションが存在するあらゆる場所にエンタープライズグレードのファイアウォールを拡張します。トラフィックを本社のコア物理アプライアンスに送り返す必要はありません。FWaaSは、一元的に定義し、グローバルに適用できるポリシーを提供し、分散環境全体のトラフィックを詳細に検査します。FWaaS と従来のファイアウォールのどちらが優れているかという問題は、FWaaS の弾力性と場所に依存しない性質によって決まります。

FWaaSの主な機能

FWaaS は、ネットワーク セキュリティのクラウド時代への進化を表しています。FWaaS は、データセンターにインストールされたハードウェア アプライアンスに依存するのではなく、クラウド ネイティブ プラットフォームを通じてエンタープライズ グレードのファイアウォールを提供します。可視性を一元化し、一貫したポリシーを適用し、動的に拡張することで、ユーザー、アプリケーション、データの保存場所に関係なく保護します。

以下は、FWaaS を定義し、従来のファイアウォール デプロイメントと区別するコア機能です。

一元化されたダッシュボード

FWaaS プロバイダーの主な USP は、高度にカスタマイズ可能なインターフェースです。ファイアウォールハードウェアが仮想化されているため、FWaaSプロバイダーは、すべてのリアルタイムトラフィック情報を取得し、アクセス可能な情報に変換するユーザーフレンドリーなダッシュボードを構築できます。

セキュリティ専門家は、このダッシュボードから、ユーザー、デバイス、場所のグループ全体にわたるファイアウォール ポリシーを定義できます。管理者は、複数のオンプレミスアプライアンスを手動で構成することなく、一貫したアクセス制御、コンテンツフィルタリング、脅威対策ルールをグローバルに適用できます。 この集中化により、コンプライアンスが簡素化され、人的エラーが削減され、分散環境全体にポリシーを即座に伝播できるようになります。

FWaaS ダッシュボードは、セキュリティ チームの包括的なログ記録および分析ツールとして機能します。同時に、PCI DSS、HIPAA、GDPR などの自動化されたコンプライアンス要件などの詳細なレポート ツールにより、運用に関する深い洞察が得られます。

クラウドネイティブのスケーラビリティと弾力性

FWaaS は、クラウドで提供される他のインフラストラクチャ サービスと同様に機能します。プロバイダーは、大規模な中央データ センター内に大規模なファイア ウォール システムを展開します。共有リソースにより、独自のハードウェアを購入するよりも低コストで顧客にファイア ウォール機能が付与されます。 他のすべての Software as a Service (SaaS) モデルと同様に、各顧客の環境は分離され、安全に保たれます。その結果、各顧客はサードパーティのハードウェアに依存しながら、独自のトラフィックに必要な構成とポリシーを実装できます。FWaaS はこの柔軟なアーキテクチャ上に構築されているため、基盤となるファイアウォールの容量は、組織の変化するトラフィック量と成長に合わせて自動的に調整されます。

この動的なスケーラビリティにより、詳細な容量予測の必要性もなくなり、CISO の運用上の負担が軽減され、戦略的なセキュリティ イニシアティブに集中できるようになります。

FWaaS プロバイダーはこのような大規模なデータセンターを運営しているため、顧客のトラフィックがルーティングされ、顧客独自のネットワークに返される方法の効率性を考慮する必要があることがよくあります。Point of Presence (PoP) は、FWaaS プロバイダーのこの対応策です。顧客のトラフィックを地理的に近いデータセンター経由でルーティングすると、ソースと発信元間の遅延が短縮されます。PoP は集中管理されていますが、地理的に分散されたデータセンターであるため、プロバイダーはトラフィックを顧客またはクラウド リソースの場所に近づけることができます。

PoP は、グローバル FWaaS 組織がさまざまなブランチからのトラフィックを整理して保護するのにも役立ちます。すべてを 1 つの国のサーバー経由でバックホールする代わりに、FWaaS プロバイダーが PoP を持つ場所であればどこでも、高品質のファイアウォール機能と速度を提供できます。

高度な脅威対策

FWaaS プロバイダーは現代のネットワーク セキュリティの最前線に立っているため、ほとんどの自社製ファイアウォールよりもはるかに広範囲にわたる高度なセキュリティ制御スイートを提供できます。ほとんどの FWaaS プロバイダーは、通過するパケットの実際のペイロードを継続的に検査するディープ パケット インスペクション (DPI) を提供できます。一部のプロバイダーは、SSL/TLS 復号化によりファイアウォール管理者に完全な可視性を与え、暗号化されたトラフィックに対してもこれを提供できます。

DPI に加えて、FWaaS プロバイダーは、シグネチャと動作分析の形式で自動化された脅威検出を提供します。リアルタイムのトラフィック データは、グローバルな脅威インテリジェンス フィードから得られる、常に更新される脅威シグネチャと動作パターンのデータベースと照合されます。クラウド サービスである FWaaS は、新しい IPS シグネチャと脅威インテリジェンスの更新を自動的に受信します。

さらに、これらのエンジンは組織のクラウド層で動作するため、これらの脅威インテリジェンス フィードはネットワーク全体に即座に適用され、パッチの遅延や構成のドリフトが排除されます。

どこからでも安全なアクセス

トラフィックがブランチ オフィス、ホーム ネットワーク、またはモバイル エンドポイントから発信されるかどうかに関係なく、FWaaS は同じ検査および制御ポリシーを適用できます。一部の FWaaS プロバイダーは、リモート ユーザーが自宅のデバイスから接続できるようにするトンネリング プロトコルを提供しています。この機能は、SD-WAN クライアントまたは VPN によって提供され、FWaaS プロバイダーのクラウド インフラストラクチャを介してすべてのトラフィックを送信する安全な暗号化トンネルを確立します。このルーティングにより、ユーザーの場所に関係なく、すべてのトラフィックの脅威とポリシーコンプライアンスが検査されます。

統合されたアイデンティティとアプリケーションの認識

最新の FWaaS ユースケースは、Azure AD、Okta、Google Workspace などの ID プロバイダー (IdP) と統合されます。ユーザーがログインすると、認証リクエストが IdP にリダイレクトされ、IdP はユーザーの ID を確認し、アサーションを FWaaS に送り返します。

これにより、最新の FWaaS では、問題の特定のユーザーに応じてポリシーを実装および適用できるようになります。認証後、FWaaS は認証されたユーザーとそのグループまたはロールを対応するファイアウォール ポリシー ルールにマッピングします。これにより、ファイアウォールは顧客のID アクセス管理実施の重要なコンポーネントになることができます。

FWaaS は、アイデンティティ認識に加えて、アプリケーション層の可視性も提供します。FWaaS はネットワークのアクティビティの最前線に位置するため、各アプリまたはサービスの動作プロファイルを構築できます。時間が経つにつれて、既知のアプリケーションの動作とシグネチャをカタログ化するパターン マッチングとシグネチャ ベースの分類エンジンを適用できるようになります。これらはアプリケーション システム キャッシュに維持され、トラフィック フロー中のアプリケーションを迅速に認識できるようになります。

ゼロトラストとSASEアーキテクチャのサポート

Secure Access Service Edge (SASE) アーキテクチャは、セキュリティ アプリケーションを個別の独立したアプリケーションに分割するのではなく、ネットワークとセキュリティの機能を統合されたクラウド ベースのフレームワークに統合し、 SD-WAN 、FWaaS、セキュア Web ゲートウェイ (SWG) 、およびゼロ トラスト ネットワーク アクセス (ZTNA) を統合することを目的としています。

FWaaS は、データセンターではなくユーザーに近いクラウド エッジでセキュリティを強化する役割と、最小権限のアクセスと ID、デバイスの状態、セッション コンテキストの継続的な検証を保証する機能により、SASE の基礎となります。

FWaaS を導入する際の重要な考慮事項

FWaaS は単一のツールというよりは継続的なサプライヤーパートナーシップであるため、契約に署名する前に組織の要件を明確にすることが重要です。

  • 価格設定とライセンス モデル: サブスクリプション/ライセンス料金、機能階層、使用量やユーザー数に応じて価格が予測どおりに調整されるかどうかなどの価格体系を比較します。さまざまなプロバイダーの価格設定は、サブスクリプションベース、使用量ベース (従量課金制)、またはハイブリッド アプローチなど、いくつかのモデルのいずれかに従います。顧客は通常、消費された帯域幅、保護されるユーザーまたはデバイスの数、選択された特定の機能またはサービス層などの要素の組み合わせに基づいて支払います。予期しないコストを回避するには、透明な価格設定が不可欠です。
  • 集中管理とポリシーの一貫性: FWaaS のベスト プラクティスでは、ポリシーへの定期的な注意が必要です。そのため、統合管理コンソールを備えたクラウド ネイティブ FWaaS を探してください。これにより、すべてのユーザー、場所、クラウド環境にわたる集中的なポリシー作成、適用、監視が可能になります。FWaaS 管理の複雑さが大幅に軽減されます。組織のセキュリティ チームの規模に応じて、カスタマイズ可能なダッシュボードの重要性と、FWaaS がセキュリティ アラートを専門分野に応じて個々のアナリストにルーティングできるかどうかを検討してください。これらのカスタマイズオプションは、それを必要とするチームにとって大幅な時間の節約となる可能性があります。
  • グローバル PoP ロケーション:プロバイダーは、リモート ユーザーと分散オフィスに対して低遅延、高可用性、最適なパフォーマンスを保証する広範な PoP ネットワークを備えている必要があります。これらの PoP は、組織のオフィスおよび従業員の所在地と国を反映する必要があります。
  • FWaaS SASE 統合: FWaaS が、組織のネットワーク内に導入されている現在のネットワーク テクノロジーとどの程度統合されるかを評価します。使用するサードパーティ サービスによって、最適な FWaaS が大幅に変わる場合もあります。導入されている ID/アクセス管理ソリューション、従業員が使用するアプリケーション、既に導入されているセキュリティ ソリューションの範囲をリストします。
  • スケーラビリティとパフォーマンス:プロバイダーがトラフィック量やユーザー ベースに合わせてどの程度拡張できるかを理解し、これらのボリュームの変化がファイアウォールのパフォーマンスとスループットにどのような影響を与えるかを正確に把握します。正確な統計は不要になりますが、今後 3 ~ 5 年間の成長とスループットの要件を考慮してください。
  • デプロイメントと管理の容易さ:プロバイダーのオンボーディング プロセス、構成の容易さ、自動化機能の可用性を考慮します。 ユーザーフレンドリーなインターフェース、簡単にアクセスできるレポート、統合可能なログ管理により、運用効率が大幅に向上します。特にレポート機能により、セキュリティ管理者は FWaaS がどの程度機能しているか、どの対応領域を改善できるかを評価できます。
  • サポートと SLA:最後に、パートナーシップに含まれるテクニカル サポートのレベルを確認します。可用性 (24 時間 365 日)、応答時間、稼働時間の保証と解決時間を規定するサービス レベル契約 (SLA) を評価します。プロバイダーの信頼性と顧客サービスの実績を確認します。

 

チェック・ポイントSASEでどこからでもユーザーを守る

Check Point’s Check Point SASE delivers secure, high-performance connectivity through its Global Private Backbone: it builds private traffic highways that bypass the public internet and instill full-visibility protection. Users – whether in the office, at home, or on the move—connect seamlessly to the nearest Point of Presence (PoP) for minimal latency and a consistently smooth experience. By combining optimized network performance with global reach, Check Point’s SASE enhances workforce productivity while maintaining the security and resilience required for modern, distributed enterprises. Explore Check Point’s SASE solution for yourself with a demo.

Or, if you’re more focused on the intricacies of FWaaS, Check Point offers comprehensive, cloud-native security that seamlessly integrates with AWS, Azure, Google Cloud, and Kubernetes workloads. Its context-aware threat prevention engine automatically adapts to dynamic cloud assets, stopping attacks before they spread. While many FWaaS tools can be difficult to price up, see exactly what you can expect with a pricing request.