NGFW - 次世代ファイアウォール(NGFW)
アプリケーション識別・IPS・SSL復号などを統合した高機能ファイアウォール。従来のポートベースの制御を超えた制御が可能。
概念図
NGFW が統合する機能
NGFW(Next-Generation Firewall)は従来のステートフルパケットフィルタに、アプリケーション識別・IPS・SSL 復号・ユーザー識別・脅威インテリジェンス連携を統合した製品群を指します。
ポート番号ベースの制御を脱し、「誰が、どのアプリを、どんな脅威シグナルを伴って使っているか」を 1 台で判定できるのが特徴です。
| 機能 | 概要 | 従来 FW との違い |
|---|---|---|
| アプリケーション識別(App-ID 等) | ポートではなくペイロード・挙動でアプリ(Teams, Dropbox, BitTorrent 等)を識別 | ポート 443 の中身が Zoom か Shadow IT かを区別できる |
| IPS(侵入防止) | シグネチャ / アノマリで攻撃トラフィックを遮断 | L4 だけ見ていた従来 FW ではエクスプロイトを検知できない |
| SSL / TLS 復号 | 信頼された CA 証明書をクライアントに配り、中間で復号して検査 | 暗号化された通信の中身を検査できるようになる |
| ユーザー識別 | AD / SSO / エージェントでユーザー ID を取得し、ID ベースのポリシーを適用 | IP ベースでなく「経理部門」単位でルールが書ける |
| 脅威インテリ連携 | 既知の C2 / マルウェア URL / 悪性 IP のフィードでブロック | リアクティブな手動ブロックから、フィード駆動の自動防御へ |
これらが単一ポリシーエンジンで相関的に働く点が、UTM の「機能を詰め込んだだけ」の製品との違いとしてしばしば強調されます。
DPI と SSL インターセプトの論点
NGFW の根幹は DPI(Deep Packet Inspection) と SSL インターセプト です。
ペイロードまで見ることで検知能力は飛躍的に上がる一方、プライバシー・法務・パフォーマンス面で慎重な設計を要求されます。
| 観点 | メリット | 注意点 |
|---|---|---|
| DPI | アプリ識別、IPS、マルウェア検知の基盤 | スループットが大幅に低下することがあり、サイジングが重要 |
| SSL 復号 | 暗号化通信内の攻撃・情報漏洩を検知 | プライバシー規制・労働法・利用規約への配慮が必須 |
| 証明書ピンニング | — | バンキングアプリ等はピンニングにより復号不可、除外リストが必要 |
| プロトコル多様化 | — | QUIC / HTTP/3 は従来の SSL 復号技術と相性が悪い |
| パフォーマンス | — | 全機能フル有効時はカタログ値より大幅に低下しがち |
実運用では「全復号」ではなく、復号対象カテゴリ(業務アプリ)と除外対象カテゴリ(金融・医療・個人通信)をポリシーで分け、プライバシーと可視性のバランスを取る設計が一般的です。
代表製品と SASE / SSE との関係
NGFW 市場は少数の主要ベンダが競合しており、アーキテクチャや運用感に違いがあります。
| 製品 | 主な特徴 |
|---|---|
| Palo Alto Networks(PAN-OS) | App-ID / User-ID / Content-ID を統合した単一パスアーキテクチャ。カテゴリの老舗 |
| Fortinet FortiGate | 独自 ASIC によるハードウェア支援で高スループット、価格競争力に強み |
| Check Point Quantum | 統合管理コンソール SmartConsole による大規模運用に強み |
| Cisco Firepower(旧 Sourcefire) | Snort 由来の IPS エンジン、ASA の後継位置付け |
| Juniper SRX | ルーティング機能と統合、キャリア / データセンター向けにも適用 |
クラウドシフトが進むにつれ、NGFW の機能はネットワーク境界装置から SASE(Secure Access Service Edge) および SSE(Security Service Edge) へと拡張されつつあります。
具体的には、SWG、CASB、ZTNA、FWaaS といった機能群と NGFW の機能がクラウド側で統合され、ユーザーがどこからアクセスしてもエッジで同じポリシーが適用されるモデルです。
| 区分 | 役割 | 代表ベンダ |
|---|---|---|
| NGFW(従来型 / データセンタ) | 境界と拠点間の強力な制御 | Palo Alto, Fortinet, Check Point |
| FWaaS / SASE | クラウドで FW 機能を提供、リモートワーカー対応 | Zscaler, Netskope, Cato Networks, Palo Alto Prisma |
このため最近の設計では「データセンターには NGFW アプライアンス、ユーザーアクセスには SASE」というハイブリッドに落ち着くケースが増えています。
関連トピック
ファイアウォール- ネットワークトラフィックを監視・制御し、不正なアクセスを遮断するセキュリティ装置。パケットフィルタリングやステートフルインスペクションなどの方式がある。 パケットフィルタリング- IP アドレス・ポート番号・プロトコルに基づいてパケットを許可・拒否する最も基本的なファイアウォール方式。 WAF(Web アプリケーションファイアウォール)- HTTP/HTTPS トラフィックを検査し、SQLインジェクションやXSSなどの Web アプリケーション攻撃を検知・遮断する。 IDS/IPS(侵入検知/防止システム)- ネットワークやホストへの不正アクセスをリアルタイムに検知(IDS)または検知して遮断(IPS)するシステム。