** 本記事は、Sophos Firewall v21.5 is now available の翻訳です。最新の情報は英語記事をご覧ください。**
非常に多くのお客様にご参加いただき成功を収めたアーリーアクセスプログラムを経て、ライセンスを取得したすべてのソフォスパートナーおよびお客様向けに Sophos Firewall v21.5 の提供が開始されました。
この度のリリースでは、業界初のイノベーションである「Network Detection and Response (NDR) の統合」により、ネットワーク上のアクティブな脅威の検出機能が強化されています。
新機能の概要
本リリースの概要については、こちらの短い動画をご覧ください。
詳細はこちら
主要な新機能を最大限に活用する方法について詳しく知りたい方は、以下のデモ動画をご覧になるか、本リリースに関する連載記事をご覧ください。
上記に加えて、新機能ガイド、リリースノート、または以下の詳細情報をご確認ください。
詳細情報
業界初の革新的テクノロジー: NDR Essentials
ソフォスは、NDR ソリューションをファイアウォールに統合した最初の企業であり、XDR および MDR のユースケースによって Sophos Firewall の優れた機能がさらに拡張されます。
Sophos Cloud に NDR を実装するという斬新なアプローチを採用し、すべての分析処理をファイアウォールからオフロードすることで、パフォーマンス低下を完全に解消しています。
ソフォスはこのソリューションを「NDR Essentials」と名付け、Xstream Protection ライセンスバンドルを保有するすべての XGS シリーズファイアウォールのお客様に、追加料金なしで提供します。
NDR Essentials の仕組み
Sophos Firewall の XGS シリーズは、TLS 暗号化トラフィックと DNS クエリからメタデータをキャプチャし、その情報を Sophos Cloud 内の NDR Essentials に送信します。送信されたデータは、複数の AI エンジンを使用して分析されます。
TLS 復号を実行することなく、悪意のある暗号化ペイロードを検出できます。これにより、パフォーマンス、使いやすさ、またはセキュリティ上の理由で TLS インスペクションを実施していない組織で発生しがちな大きな死角が解消されます。
さらに、NDR Essentials のドメイン生成アルゴリズムが、マルウェアによって生成された新しい不審なドメインを検出します。これらのドメインは、多くの場合、重要な IoC (セキュリティ侵害の痕跡) となります。実際、多くのケースで、NDR Essentials はドメイン登録される前に新しい C2 ドメインを検出します。
メタデータ抽出は、Xstream FastPath 上に実装された新しい軽量エンジンによって実行されます。そのため、この新機能の注意点として、XGS シリーズハードウェアファイアウォールでのみ利用可能である点が挙げられます。 仮想ファイアウォール、ソフトウェアファイアウォール、クラウドファイアウォールでは、将来的にこの NDR Essentials 統合機能が利用できる可能性がありますが、v21.5 では対応していません。
その他の機能強化、および要望の多かった機能
リモートアクセス VPN への Entra ID (Azure AD) でのシングルサインオン
多くのご要望が寄せられたことで、リモートアクセス VPN がエンドユーザーにとってさらに使いやすくなりました。これにより、Sophos Connect クライアントとファイアウォール VPN ポータルで、企業ネットワーク認証情報を使用できるようになりました。
- Entra ID (Azure AD) でのシングルサインオンが Sophos Connect と VPN ポータルに統合され、SFOS v21.5 に組み込まれました。
- 業界標準の OAuth 2.0 プロトコルおよび OpenID Connect プロトコルを介したクラウドネイティブな統合により、シームレスなエクスペリエンスが実現しています。
- Microsoft Windows 上の Sophos Connect クライアント 2.4 以降でサポートされます。
- その他の VPN および拡張性の機能強化
ユーザーインターフェースおよび操作性の機能強化
接続タイプは「サイト間」から「ポリシーベース」に、トンネルインターフェースは「ルートベース」に名称変更され、より直感的に操作できるようになりました。
- IP リースプールの検証が改善: SSLVPN、IPsec、L2TP、PPTP のリモートアクセス VPN 全体で、IP 競合の可能性を排除します。
- 厳格なプロファイルの適用: IPsec プロファイルでデフォルト値を除外することで、ハンドシェイクを確実に成功させ、パケットの断片化や、トンネル確立の失敗の可能性を排除します。
- ルートベース VPN の拡張性: ルートベース VPN の容量は、最大 3,000 のトンネルをサポートすることで 2 倍に拡張されました。
- SD-RED の拡張性: Sophos Firewall は、最大 1,000 個のサイト間 RED トンネルと最大 650 台の SD-RED デバイスをサポートするようになりました。
Sophos DNS Protection
ソフォスは昨年、Sophos Firewall の Xstream Protection ライセンスをお持ちのお客様に、DNS Protection サービスの無償提供を開始しました。今回のリリースでは、Sophos DNS Protection が Sophos Firewall にさらに統合されました。
- サービスステータスを表示する新しいコントロールセンターウィジェット
- ログと通知による新しいトラブルシューティング機能
- Sophos DNS Protection を簡単にセットアップするための新しいガイド付きチュートリアル
管理の合理化と利便性の向上
Sophos Firewall の他のすべてのリリースと同様、本バージョンでは日常の管理業務をより簡単にする複数の機能が向上しています。
- 表の列のサイズ変更: 以前から要望の多かった機能です。ファイアウォールステータスと設定の多くの画面で、列幅のサイズ変更がサポートされるようになりました。サイズ変更はブラウザのメモリに保存され、次回アクセス時にも保持されます。SD-WAN、NAT、SSL、ホストとサービス、サイト間 VPN など、多くの画面でこの新機能を利用できます。
- フリーテキスト検索の拡張: SD-WAN ルートでは、ルート名、ID、オブジェクト、およびオブジェクト値 (IP アドレス、ドメインなどの条件) による検索が可能になりました。また、ローカル ACL ルールでは、コンテンツベースの検索を含め、オブジェクト名と値による検索がサポートされるようになりました。
- デフォルト設定: ご要望にお応えして、以前は新しいファイアウォールを設定する際に作成されていたデフォルトのファイアウォールルールとルールグループが削除され、初期設定時に提供されるデフォルトのネットワークルールと MTA ルールのみが残されました。デフォルトのファイアウォールルールグループと、カスタムゲートウェイのデフォルトゲートウェイプローブは、いずれもデフォルトで「None (なし)」に設定されています。
- 新しいフォント: Sophos Firewall のユーザーインターフェースで、より軽妙で、よりクリーンでシャープなフォントが採用され、読みやすさとパフォーマンスが向上しました。
その他の改善点
- 仮想、ソフトウェア、クラウドのライセンス: ご存知ない方のためにもう一度お知らせしますが、Sophos Firewall の仮想、ソフトウェア、クラウドのライセンス (BYOL) に RAM の制限がなくなりました。ライセンスは、コア数によって厳密に制限されるようになり、RAM の制限はありません。
- WAF のファイルサイズ制限の拡大: Web アプリケーションファイアウォール (WAF) の設定可能なリクエスト (アップロード) ファイルサイズ制限がサポートされ、最大 1GB までのファイルをスキャンできるようになりました。
- セキュアバイデザイン (セキュリティを基盤とした設計): ソフォスは Sophos Firewall のセキュリティを継続的に改善しています。今回のリリースでは、セキュアなハッシュ検証を使用して OS のコアファイルへの予期せぬ変更を検出するために、リアルタイムのテレメトリ収集機能を追加しています。これにより、監視チームは潜在的なセキュリティインシデントをプロアクティブに特定し、問題が深刻化するのを未然に防ぎます。
- DHCP プレフィックス委任の緩和: /48 から /64 のプレフィックスがサポートされ、ISP との相互運用性が向上しました。ルーター広告 (RA) と DHCPv6 サーバーもデフォルトで有効になりました。
- パス MTU の検出: これは、ブラウザにおける最新の ML-KEM (Kyber) 鍵交換サポートによる TLS 復号エラーを解決します。Sophos Firewall のディープパケットインスペクションエンジンは、各フローの MTU を自動的に検出し、調整するようになりました。これにより、特定のネットワーク条件に基づいた最適なパフォーマンスが実現します。
- NAT64 (IPv6 から IPv4 へのトラフィック): 明示的なプロキシモードでの IPv6 から IPv4 へのトラフィックに対して NAT64 がサポートされます。このモードでは、IPv6 専用クライアントが IPv4 Web サイトにアクセスできます。また、ファイアウォールは、IPv6 専用クライアントに対して IPv4 アップストリームプロキシもサポートします。
v21.5 の導入方法
これまでのファイアウォールのリリースと同様、Sophos Firewall v21.5 へのアップグレードは、Sophos Firewall をご利用のお客様に無料で提供されます。サポートされているすべてのファイアウォールデバイスにできるだけ早い適用をお願いします。このリリースには、優れた機能およびパフォーマンスの向上のみならず、重要なセキュリティの修正も含まれています。
Sophos Firewall V21.5 は、すべてのバージョンの Sophos Firewall ファームウェアからのアップグレードに対応しています。
このファームウェアのリリースは、当社の標準的なアップデートプロセスに従って行われます。
新しい V21.5 ファームウェアは、今後数週間以内に、接続されているすべてのデバイスに段階的に展開されます。アップデートが利用可能になると、ローカルデバイスまたは Sophos Central 管理コンソールに通知が表示され、お客様のご都合に合わせてアップデートのスケジュールを設定できます。
Sophos Central またはローカルデバイスのコンソールにファームウェアアップデートの通知が表示されるまで待つか、Sophos Central からいつでも最新の Sophos Firewall ファームウェアを手動でダウンロードすることができます。
Sophos Central から最新のファームウェアを入手する方法を、以下に説明いたします。
1.Sophos Central アカウントにログインし、Sophos Central コンソールの右上にあるアカウント名のドロップダウンメニューから [Licensing] を選択します。
2.この画面の左上にある「ファイアウォール ライセンス」を選択します。
3.[>] をクリックして展開すると、アップデートするファイアウォールデバイスで利用可能なライセンスとファームウェアのアップデートが表示されます。
4.ダウンロードするファームウェアリリースをクリックします (現在、Safari ではダウンロードに問題があるため、Chrome など別のブラウザを使用してください)。
5.上記と同じボックスで [Other downloads] をクリックすると、初期インストーラーやソフトウェアプラットフォームのファームウェアアップデートにもアクセスできます。
繰り返しになりますが、新しい V21.5 ファームウェアは、今後数週間以内に、接続されているすべてのデバイスに段階的に展開されます。アップデートが利用可能になると、ローカルデバイスまたは Sophos Central 管理コンソールに通知が表示され、お客様のご都合に合わせてアップデートのスケジュールを設定できます。
