次世代ファイアウォールはゼロトラストの中核だが、導入しさえすれば安全が担保されるわけではない。本稿では、NGFWの導入と運用を進めるに当たって考慮すべき要点を整理する。
次世代ファイアウォール(NGFW)は、従来のファイアウォールの機能だけでなく、侵害検知や攻撃対応、ポリシー適用といった機能を備え、ゼロトラストアーキテクチャの構築に重要な役割を果たす。しかし、NGFWを導入した現場では、「導入したが効果が見えない」「コストばかり膨らむ」といった声が聞こえてくる。せっかくNGFWを導入するのであれば、事前にどのような点を考慮すればいいのか。
NGFWは、ハードウェア、ソフトウェア、クラウド、SaaSといった形態で提供される。企業のシステム構成によって、これらを組み合わせて利用するのが一般的だ。例えば、クラウド通信の監視にはSaaSを、オンプレミスのデータセンターにはハードウェアを配置する。そして、これらを統合管理画面で一元的に制御する構成だ。そこで重視すべきポイントが、「どこに置くか」だ。ネットワークの入口と出口だけでなく、拠点間や外部接続などの“境界”にどう配置するかが、防御力を左右する。どのモデルを導入するのか決定する際には、以下の観点を検討する必要がある。
将来的なトラフィック増加を見越し、柔軟にスケールできる構成かどうか。ネットワークのスループット増加が見込まれる場合は、ソフトウェア型やクラウド型を選択する。
既存の拠点で効率的にトラフィックを監視できるか、それとも別の経路に集約すべきか。
ロードバランシングや冗長構成によって、求められる稼働率を維持できるか。
自社で全てを管理するのか、外部のベンダーに委託するか。
後付けでAIを含む高度な機能を追加できるか。追加した際に、性能や安定性は損なわれないか。
NGFWのコストは、製品価格だけでは判断できない。ベンダーごとに購入形態やライセンス、サブスクリプションの体系が異なるため、さまざまな条件を精査する必要がある。
主なコストには、ハードウェアや汎用(はんよう)サーバの費用、ライセンスや保守費、管理コンソールの導入費、ログ管理やID管理との連携費などがある。運用担当者やステークホルダー向けの研修費用も必要だ。
見落としがちなのが、パイロット導入や本番展開、既存技術からの移行、不要システムの廃棄といった周辺コストだ。将来的なアップグレード費用や、運用・監視にかかる人件費も無視できない。
特にクラウド型では、トラフィック量やオプションサービスによってコストが変動するため、見積もりの内容は複雑になる。ベンダーの見積もりツールを活用し、長期的な運用コストを試算することが重要だ。
NGFWのROIを正確に算出するのは容易ではない。なぜなら、「発生しなかった被害」の価値を定義する必要があるためだ。
現実的には、データ侵害や攻撃の阻止件数、インシデント対応時間の短縮、運用工数の削減、レピュテーションリスクの回避、システム稼働率の向上といった指標で評価することになる。
また、他のセキュリティ製品でも防げた可能性がある場合でも、それはNGFWの価値を否定するものではない。多層防御の一部として機能することで、フェイルセーフ(故障や誤作動があった場合の安全性を確保する仕組み)を実現している点に意味がある。
NGFW導入の本質は、製品選定ではない。構成設計、コスト管理、ROI評価をどうバランスさせるかという「判断の問題」だ。
どこに配置するか、どのモデルを組み合わせるか、どこまで自社で管理するか。この判断を誤れば、コストだけが増え、セキュリティの強化には至らない。そこでIT部門には、個別製品の知識ではなく、全体最適を見据えた設計力が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
