Next-Generation Firewall とは?従来型との比較とメリット/デメリット

What is a next-generation firewall (NGFW)?

2025/06/02 techtarget — NGFW (next-generation firewall) とは、従来からのファイアウォール機能と、新たな能力を組み合わせるネットワーク・セキュリティ・デバイスであり、高度なサイバー攻撃を検知/阻止するものだ。NGFW は、ハードウェア/ソフトウェア/クラウドをベースに展開される。サイバー攻撃を検知/阻止するために、アプリ/ポート/プロトコルのレベルでセキュリティ・ポリシーを適用する、従来からのファイアウォールの機能に加え、以下の高度な能力を備えている。

  • アプリケーション認識
  • 統合型 IPS (intrusion prevention system)
  • ユーザー/グループの制御を可能にする ID 認識
  • ブリッジ・モード/ルーティング・モード
  • 外部インテリジェンス・ソースの利用
高度な脅威対策

NGFW の大半は、エンタープライズ・ファイアウォール機能/IPS 機能/アプリケーション制御という、少なくとも3つの基本機能を統合している。

従来のファイアウォールにステートフル・インスペクションが導入されたように、NGFW はファイアウォールの意思決定プロセスに対して、追加のコンテキストをもたらす。このコンテキストにより、NGFW は通過する Web アプリケーション・トラフィックの詳細を把握し、脆弱性を悪用する可能性のあるトラフィックを、ブロックするための措置を可能にする。

See where a next-generation firewall sits in the technology stack.
次世代ファイアウォールの機能

NGFW は、従来からのファイアウォール機能である QoS ベースの、Packet Filtering/NAT (Network Address Translation)/PAT (Port Address Translation)/URL Blocking/VPN などに対して、新たな機能を組み合わせている。

そこに含まれるものとしては、Intrusion Prevention/SSL SSH Inspection/Deep-Packet Inspection/Reputation-based Malware Detection/Application Awareness などが挙げられる。これらのアプリケーション・レイヤにおける機能は、OSI ネットワーク・スタックの Layer 4~7 で発生する、アプリケーション攻撃の増加を阻止するものである。

次世代ファイアウォールのメリット

NGFW における、さまざまな機能の組み合せにより、ユーザーには大きなメリットが生じる。それにより、従来のファイアウォールでは不可能だった、ネットワークに侵入する前の段階での、マルウェアのブロックが可能になるケースが増える。

さらに、脅威インテリジェンス・フィードとの統合が可能な NGFW は、APT (Aadvanced Persistent Threats) への対応にも優れている。

アプリケーション認識/検査サービス/保護システム/認識ツールなどを用いて、基本的なデバイス・セキュリティの強化を試行する企業にとって、NGFW は低コストの選択肢になり得る。

次世代ファイアウォールの課題

NGFW にも、課題が残されている。設定/保守が複雑になる場合があり、セキュリティ・チームに対して新たなスキルと専門知識を要求するケースが出てくる。また、誤検知などを含むアラートが大量に発生し、セキュリティ管理者の負担が増大する可能性もある。

NGFW は、他のセキュリティ・ツールとの統合が必要になるため、それにより複雑さが増し、相互運用性の問題が生じる可能性がある。また、NGFW は、進化する新たな脅威に対抗するために、脅威インテリジェンス・フィードなどへの統合と、継続的なアップデートも必要になる。したがって、NGFW の高度な機能により、デプロイメントの遅延やスケーラビリティの問題を引き起こされる可能性もある。

さらに言えば、従来のファイアウォールと比べて、NGFW は優れた保護機能を提供するが、多くの場合において、取得/導入/運用コストが高くなる。

次世代ファイアウォールと従来型ファイアウォール

次世代ファイアウォールと従来型ファイアウォールは、どちらも組織のネットワークとデータ資産を保護することを目的としている、いくつかの類似点と相違点がある。

主な類似点としては、ネットワーク・トラフィックへのインターフェイス・ポイントでパケットをブロックする、静的パケット・フィルタリングが挙げられる。また、どちらもステートフルパケット・インスペクションと、ネットワーク/ポートのアドレス変換を提供し、VPN 接続を確立できる。

この二種類のファイアウォールにおける、最も重要な違いの一つは、ネットワーク・パケットに含まれるデータを検査する NGFW が、単純なポート/プロトコル・インスペクションを超えたレベルで、ディープ・パケット・インスペクションを提供しているところにある。その他の重要な違いとしては、NGFW にはアプリケーション・レベルのインスペクションおよび侵入防御があり、脅威インテリジェンス・サービスから提供されるデータに基づく機能が追加されていることが挙げられる。

さらに NGFW は、NAT/PAT/VPN サポートといった、従来のファイアウォール機能を拡張している。それにより、ファイアウォールがルータとして動作するルーティング・モードと、ファイアウォールがパケットをスキャンするときに、Bump In The Wire のように動作する透過モードで動作する。そして、すでに説明してきた、新しい脅威管理テクノロジも統合している。

NGFW (次世代ファイアウォール) は、たまに見かけるキーワードですが、従来のファイアウォールに加えて、アプリケーション認識や侵入防止、脅威インテリジェンスとの連携などが提供されるものなのですね。高度な保護が期待できる一方で、導入や運用には専門知識が求められる点やコスト面の課題もあるようです。よろしければ、NGFW で検索も、ご参照下さい。