目次

• ファイアウォールとは
• オンプレファイアウォールの問題点
• ファイアウォールクラウド化のメリット
• Cato Cloudのファイアウォールとは
• 次世代ファイアウォールとしてのCato Cloud
• まとめ
• 資料請求

ファイアウォールとは

ファイアウォールとはインターネット（社外）と社内ネットワーク間に設置され、事前に決められたルールに沿って通してもよい通信かどうかを判定、制御することで不正アクセスやサイバー攻撃から社内リソースを守る仕組みや製品を指します。

オンプレミスファイアウォールの問題点

従来から社内と社外の境界に存在するファイアウォールですが、近年、運用負荷や高コストであることが指摘されるようになっています。各拠点に物理的に設置をする必要があり、拠点ごとに異なる設定をそれぞれの機器の管理コンソールで投入する必要があります。また、保守の際にも現地に赴く必要があり、設置や保守に伴ってコストが高くなる場合があります。

その他、以下のような課題が生じる可能性があります。

• セキュリティ対策が遅れる可能性
• スケーラビリティに問題が発生する可能性

それぞれこのような課題が生じる可能性がある理由を記載いたします。

• セキュリティ対策が遅れる可能性について
  脆弱性対策を行う際、手動でファームウェアアップグレードを行わなければなりません。
  管理者が手動でアップグレードを行う場合、脆弱性に対する対策の発表を受けてからアップグレードの実施日の調整を行う必要があるため、アップグレード実施までに時間がかかってしまいます。
  また、時間やコストがかかることから作業が不十分な場合、新たな脆弱性の攻撃対象になる可能性があります。
• スケーラビリティに問題が発生する可能性について
  昨今のSaaSアプリケーション利用増加に伴い、企業の規模拡大につれてトラフィック量が急激に増加する場合があります。こういった場合、オンプレミスのファイアウォールには機器の性能に限界があるため、拡張性に問題が発生する可能性があります。

ファイアウォールクラウド化のメリット

上記の問題を解決するため、近年のクラウド化の動きから社内に存在していたオンプレミスのファイアウォール製品もクラウド化して運用するという風潮が強まっています。

ファイアウォールクラウド化には以下のメリットがあげられます。

• 運用負荷の削減
  各拠点に物理的に設置する必要がないためコストの削減および展開時の負荷削減につながります。
  また、運用管理の点でも視覚的に優れた管理コンソールで遠隔で設定の変更等を実施することが可能です。この管理コンソールを使用して各拠点の設定を一元的に管理することで管理者の負荷削減につながります。
• セキュリティレベルの向上
  ファイアウォールをクラウド化した場合、脆弱性対策に必要なアップグレードやパッチ適用は基本的にベンダー側で行われ、最新の状態が保たれます。
  また、クラウド化されたファイアウォールは社内に存在しているリソースだけでなく、インターネットのIaaS上に存在しているリソースの保護も実施することが可能です。
• 柔軟性の高さ
  インターネット上のクラウドで提供されるファイアウォールは必要に応じてスケーリング等を行い、余分なコストを削減するなど柔軟に運用することが可能となります。
  また、トラフィックが物理的な機器を経由する必要がないことからネットワーク的なボトルネックの発生を防ぐ効果もあります。

Cato Cloudのファイアウォールとは

ではCato Cloudの持つクラウド化されたファイアウォールにはどのような機能が備わっているかを説明します。
Cato CloudにはInternet FirewallとWAN Firewall、LAN Firewallという3種類のファイアウォールがあります。

※同一拠点内のホスト同士の通信を制御するLAN Firewallという機能も存在しますが、こちらの通信はCato Cloudを経由しないため今回は説明から除きます。

これらのファイアウォールの違いは制御対象となる通信の違いとなります。
まず、Internet Firewallはリモートアクセスユーザーや拠点からCato Cloudを経由して行う、インターネット向けの通信を制御するファイアウォールとなります。
対してWAN Firewallはリモートアクセスユーザーや拠点同士の拠点間通信を制御するファイアウォールとなります。
Cato Cloudではこれらを組み合わせて一般的なファイアウォールに備えられている以下の機能をカバーします。

• URLフィルタリング機能
• 監視機能

※一般的なファイアウォールが備えるNAT機能に関してはCato Cloudではファイアウォール機能ではなくNetwork Rulesという他の機能で担っています。

URLフィルタリング機能

Internet/WAN Firewallでは一般的なファイアウォールと同じようにルールベースで通信を評価し、通信がいずれかのルールにマッチした場合にルールに則った制御が行われます。

また、Cato Cloudルールでは以下の項目を設定しCato Cloud経由の通信が発生した場合、設定したルールで通信を評価します。

• Source（送信元情報）
• Device（送信元端末の状態）
• App/Category（どのような宛先、アプリケーションの通信なのか）
• Service/Port（どのポートプロトコルの通信なのか）

Sourceには特定の拠点やリモートアクセスユーザーを指定することも可能であり、IPアドレスやグループでの指定も可能となります。また、Azure ADやオンプレミスのADサーバのグループ情報を使用して社内ユーザーをグループ単位で制御することが可能となります。
Deviceにおいては地理的情報やインストールされているアンチマルウェア等を指定することで、送信元の端末を指定することが可能となります。
App/Categoryでは宛先やアプリケーションを指定するのですが、宛先には一般的なFQDNやドメインでの指定、IPアドレスでの指定が可能です。アプリケーションについては一般的なアプリケーション（BoxやSlack、Twitter...等）の多くがCato側で事前に定義されており、こちらを指定することも可能です。
また、Cato Cloudのファイアウォールではすべてのポート/プロトコルに対応しています。

各ルールでルールにマッチした通信に対して、Allow（許可）やBlock（ブロック）、また通信自体は許可させるものの通信を行ったユーザーに警告画面を表示させるPrompt（警告）等の方法を指定し、制御を行います。

監視機能

Cato Cloudのファイアウォールでは一般のファイアウォールと同様に管理者への通知機能も備えています。以下のように特定のルールにマッチする通信が発生した場合、指定したメーリングリストやWebhookやJira、Teamsといったアプリケーションへ通知を行うことも可能です。こちらを使用することで危険度の高い通信が行われていることを管理者側で把握することが可能となります。

また、通信がルールにマッチした場合には送信元情報、宛先情報、通信の情報を含むログが出力されます。管理者はこの出力されたログからどのルールにマッチする通信が多いのかを把握し、今後の運用を検討することが可能です。

次世代ファイアウォールとしてのCato Cloud

上記で一般的なファイアウォールと同様の制御が可能と説明しましたが、Cato Cloudでは備えている他の機能と組み合わせて次世代ファイアウォールとしての機能を発揮することが可能となります。

• TLS Inspection
  SSLの複合化を行うことでカプセル化された通信の中身を確認し制御を行うことが可能となります。
• IPS（侵入防止システム）
  Cato Cloudを経由する通信においてサイバー攻撃やフィッシング等、悪意のある通信を検知しブロックすることが可能となります。
• アプリケーション制御
  前項で説明したとおり、Cato CloudのファイアウォールではL7のアプリケーションレベルで詳細な通信制御が可能となります。

まとめ

• 従来、企業の社内ネットワークにおいてオンプレミスで設置がされていたファイアウォールは、近年指摘されるようになった問題や風潮の影響を受けてクラウド化が進められています。
• Cato Cloudの備える2種類のファイアウォールは一般的なファイアウォールの機能の多くをカバーできることに加え、クラウド化によるセキュリティの向上と運用負荷の削減を望むことが可能となります。
• Cato Cloudではファイアウォールに他の複数の機能を組み合わせることで次世代ファイアウォールとしての機能を発揮することも可能となります。

資料請求

今回はCato Cloudのファイアウォール機能にのみフォーカスして紹介していますが、Cato CloudはSASEと呼ばれるセキュリティ領域の製品であり、SD-WANやZTNA、SWG等、近年の企業ネットワークに不可欠といえる様々な機能を包括的に提供することが可能となります。

既存のファイアウォールからのリプレイスを検討されており、既存製品の機能とCato Cloudの詳細な比較やCato Cloudの他機能に関する情報をご希望のお客様につきましては弊社へお問い合わせいただきますようお願いいたします。