Network Security Functions — NGFW・VPN・SWG・CASB・ZTNAなど9機能詳解
ネットワークセキュリティを構成する 9 機能(NGFW・VPN・SWG・CASB・ZTNA・DLP・FWaaS・SD-WAN・NAC)を個別に解説し、SSE/SASE への収斂マップと各機能の実装上の落とし穴を整理する。
article technology ja ネットワークセキュリティを構成する 9 機能(NGFW・VPN・SWG・CASB・ZTNA・DLP・FWaaS・SD-WAN・NAC)を個別に解説し、SSE/SASE への収斂マップと各機能の実装上の落とし穴を整理する。Network Security Functions — NGFW・VPN・SWG・CASB・ZTNA など 9 機能詳解
ネットワークセキュリティは単一のアプライアンスで実現するものではなく、複数の機能コンポーネントが役割分担しながら多層防御を構成する。本記事では NGFW / VPN / SWG / CASB / ZTNA / DLP / FWaaS / SD-WAN / NAC の 9 機能を個別に解説し、それらが SSE・SASE というクラウドプラットフォームにどう収斂しているかを地図化する。各機能の「何を守るか」「どこが盲点か」を実務視点で整理する。
機能群の収斂マップ — SSE と SASE への統合
9 機能は大きく「セキュリティレイヤー」と「ネットワークレイヤー」に分かれ、両者がクラウド上で統合されたものが SASE だ。
| レイヤー | 機能 | SSE 統合 | SASE 統合 |
|---|---|---|---|
| セキュリティ | NGFW・SWG・CASB・ZTNA・DLP・FWaaS・NAC | 中心的構成要素 | SSE を包含 |
| ネットワーク | SD-WAN・VPN | 一部連携 | SD-WAN が核 |
従来は各機能が独立したアプライアンスやポイントソリューションで提供されていた。2019 年以降の SSE / SASE 潮流により、単一ベンダーがクラウド上でこれらを統合提供するモデルが主流になりつつある。
NGFW — 次世代ファイアウォール
NGFW(Next-Generation Firewall)は従来のステートフル FW に L7(アプリケーション層)の検査機能を加えたものだ。主な機能は以下の通り。
- App-ID / アプリケーション制御: ポートではなくアプリケーションの特徴量でトラフィックを識別・制御する。例えば同一ポート 443 でも Salesforce と個人 Dropbox を区別できる。
- IPS/IDS(侵入防止/検知): 既知の攻撃シグネチャとふるまいベースの検知でゼロデイを含む攻撃を遮断する。
- URL フィルタ: カテゴリベースで有害サイトや C2 サーバへのアクセスをブロックする。
- SSL/TLS 復号: 暗号化トラフィックを一度復号して検査し再暗号化する。証明書ピンニングが実装されたアプリへの対応が実装上の課題になる。
NGFW はオンプレの境界に配置されるケースが多いが、クラウド型の FWaaS に移行が進んでいる。Palo Alto の Prisma Access や Fortinet の FortiSASE は FWaaS を SASE に統合して提供している。
VPN — 暗号化トンネルとリモートアクセス
VPN(Virtual Private Network)は公衆インターネット上に暗号化トンネルを張り、拠点間(Site-to-Site VPN)またはリモートクライアント(Remote Access VPN)を接続する技術だ。
プロトコルの種類:
- IPsec: L3 暗号化。IKE フェーズ 1/2 でセッション確立。拠点間 VPN の標準。
- SSL-VPN / TLS-VPN: HTTPS(ポート 443)を使うためファイアウォール通過が容易。リモートアクセスに多用。
- WireGuard: 軽量・高速な新世代プロトコル。コードベースが IPsec の 1/50 以下で監査が容易。
VPN の課題は「接続したら内部ネットワーク全体にアクセスできる」粗い制御だ。ZTNA はこれをアプリ単位・ユーザー単位の細粒度制御に置き換えるものとして台頭した。現在は「VPN → ZTNA 移行」が SASE 移行の最初のステップとして推奨される。
アンチパターン: VPN 残置のまま ZTNA を追加するハイブリッド構成。ユーザーが VPN / ZTNA を使い分ける混乱が生じ、移行が完了しない。計画的な VPN 廃止スケジュールが必要だ。
SWG — セキュアウェブゲートウェイ
SWG(Secure Web Gateway)はウェブプロキシ機能を持つセキュリティレイヤーで、全ウェブトラフィックを経由させて検査する。主な機能は 4 つだ。
- URL カテゴリフィルタ: マルウェア配布・フィッシング・ギャンブルなどカテゴリ別にブロック。カテゴリ DB は日々更新される。
- マルウェアスキャン: ダウンロードファイルをサンドボックスや AV エンジンで検査する。
- SSL/TLS 復号: 暗号化ウェブトラフィックを復号検査する(NGFW と同機能、SWG 側で担う場合が多い)。
- DLP 連携: 機密データのアップロードを検出・遮断する。
クラウド型 SWG は Zscaler Internet Access(ZIA)や Netskope が代表的で、ユーザーのトラフィックを最寄り PoP に転送して検査する。
アンチパターン: SSL 復号を設定せずにクリアテキスト HTTP のみをスキャンするケース。HTTPS が標準となった現代では検査対象の 80-90% が暗号化トラフィックであり、復号なしではほぼ盲点だ。
CASB — クラウドアクセスセキュリティブローカー
CASB(Cloud Access Security Broker)は SaaS / IaaS へのアクセスを仲介・制御するセキュリティレイヤーだ。
2 つの展開モード:
- API モード: SaaS の管理 API(Microsoft 365 / Google Workspace / Salesforce 等)に直接接続し、保存データのスキャン・権限棚卸・不審アクセス検知を行う。リアルタイム制御ではなく事後分析が主。
- インライン(プロキシ)モード: SWG と同様にトラフィックを経由させてリアルタイムに制御する。シャドー IT の検出やデータアップロードの遮断に有効。
主な用途:
- シャドー IT 検出: 企業が把握していない SaaS の利用状況(アクセス元 IP・デバイス・使用量)を可視化する。
- データ保護: 機密ファイルの外部共有や個人ストレージへのアップロードを検出・ブロック。
- リスクスコアリング: 利用 SaaS に SOC 2 / ISO 27001 取得の有無などのリスク属性を付与する。
アンチパターン: インラインモードのみで API モードを使わないケース。保存データ(SharePoint / OneDrive 等)のスキャンができず、既に外部共有されているファイルを見逃す。
ZTNA — ゼロトラストネットワークアクセス
ZTNA(Zero Trust Network Access)は VPN に代わるリモートアクセス技術で、アプリケーション単位のアクセス制御を実現する。
2 つの展開モデル:
- エージェントベース: エンドポイントにクライアントソフトを導入し、デバイス認証・ポスチャーチェック(OS バージョン・パッチ適用・EDR 状態)を行う。より細粒度の制御が可能。
- エージェントレス(ブラウザベース): BYOD や BYOD 未対応デバイスへのアクセスに利用。ブラウザ経由で特定アプリのみにアクセスでき、デバイス側にソフトのインストール不要。
動作原理: ユーザーがアプリにアクセスする際、IdP(Okta / Azure AD)で認証後、ZTNA コントローラーがコンテキスト(ユーザー / デバイス / 場所 / 時刻)を評価してアクセス可否を判定する。アプリは直接インターネットに公開されず、コントローラー経由でのみ到達できる(インターネット非公開化)。
ZTNA 市場は Palo Alto / Zscaler / Cloudflare / Cisco / Microsoft が約 25-30% のシェアを占める(情報カットオフ ~2025-08、confidence: medium 固定)。
DLP — データ漏洩防止
DLP(Data Loss Prevention)は機密データの意図しない外部流出を検知・遮断する技術だ。検知の仕組みは 3 種類ある。
- 正規表現マッチ: クレジットカード番号・マイナンバー・SSN などパターンで検出。誤検知が多い。
- 機械学習分類: 文書の内容をモデルが分類し、「財務レポート」「設計図」などを識別する。
- フィンガープリント: 既知の機密ファイルのハッシュを登録し、コピーや変形版を検出する。
DLP は SWG・CASB・エンドポイント(EDR)の各レイヤーで実装される。例えば SWG が HTTPS アップロードをスキャンし、CASB が SaaS 内の外部共有を検出する形で連携する。DLP の暗号化連携として、機密ファイル検出時に自動暗号化(Azure Information Protection / Virtru 等)するポリシーも一般的だ。
アンチパターン: 正規表現マッチのみで運用し誤検知が多発するケース。アラート疲れで管理者が通知を無視するようになり、実際の漏洩を見逃す。機械学習分類と組み合わせて精度を上げる必要がある。
FWaaS — Firewall as a Service
FWaaS(Firewall as a Service)はクラウド上で提供される次世代 FW 機能だ。オンプレアプライアンスを廃し、PoP 経由で NGFW 相当のトラフィック検査を行う。
SSE / SASE 統合の文脈では FWaaS が SWG と役割が重複する部分もあるが、主な差分は「インターネット向けトラフィック以外のトラフィック(例: DC 向け、拠点間トラフィック)」も制御できる点だ。SASE プラットフォームでは単一ポリシーエンジンで FWaaS・SWG・ZTNA を統合管理できる。
メリット: アプライアンスのライフサイクル管理不要・グローバルポリシーの一元管理・スケールアウトが容易。
課題: 全トラフィックをクラウド経由にするためインターネット帯域依存が高まる。帯域コストと遅延の増加を事前試算する必要がある。
SD-WAN — ソフトウェア定義 WAN
SD-WAN(Software-Defined WAN)はルーティングをソフトウェアで制御し、複数の WAN 回線(MPLS・インターネット・LTE)を動的に使い分けるネットワーク技術だ。
主な機能:
- ローカルブレイクアウト: SaaS トラフィックをデータセンター経由にせず、拠点からインターネットに直接出す。VPN バックホールの解消。
- 動的経路制御: 遅延・帯域・パケットロスを監視し、最適な回線にリアルタイムでトラフィックを振り替える。
- QoS / アプリ優先制御: 音声・ビデオ会議トラフィックを優先帯域で送る。
SD-WAN はネットワーク効率化の技術であり、それ単体ではセキュリティ機能を持たない。SASE では SD-WAN + SSE を統合することで、「高速・安全・一元管理」のネットワークを実現する。
アンチパターン: SD-WAN をセキュリティなしで導入するケース。ローカルブレイクアウトを有効にしながら SWG や CASB と連携しないと、インターネットへの直接アクセスが無防備になる。
NAC — ネットワークアクセス制御
NAC(Network Access Control)は有線・無線ネットワークへの接続時に端末を認証し、ポリシーに非準拠の端末を隔離する技術だ。IEEE 802.1X ベースで RADIUS サーバと連携する。
ポスチャーチェックの例:
- OS バージョン・パッチ適用状態
- EDR(Endpoint Detection and Response)エージェントの稼働状態
- 証明書の有効性
- 禁止ソフトウェアの有無
NAC は主にオフィスネットワーク(有線 LAN・Wi-Fi)向けで、クラウドファースト環境では ZTNA が補完ないし代替する。ハイブリッド職場では NAC と ZTNA が共存し、オフィス内では 802.1X、在宅では ZTNA という使い分けが一般的だ。
アンチパターン一覧
| 機能 | アンチパターン | 影響 |
|---|---|---|
| SWG | SSL 復号未設定 | 暗号化トラフィックへの盲点(全体の 80-90%) |
| CASB | インラインのみで API モード未使用 | 保存データの外部共有を見逃す |
| DLP | 正規表現マッチのみ | 誤検知多発でアラート疲れ・有効漏洩見逃し |
| SD-WAN | セキュリティ未統合でローカルブレイクアウト | インターネット出口が無防備 |
| ZTNA | エージェントレスのみ(ポスチャーチェックなし) | 侵害デバイスからのアクセスを許可してしまう |
| VPN | ZTNA 並存で廃止せず | 操作混乱・移行が完了しない |