Have an account?

  •   Personalized content
  •   Your products and support

Need an account?

Create an account

企業別の次世代ファイアウォール(NGFW)の比較

Data valid as of October 2018.

シスコ

Palo Alto Networks

Fortinet

Check Point Software Technologies

Expand all

セキュリティ機能

継続的な分析と事後検出Cisco FirePOWER では、イベントの境界(ポイントインタイム)を超えた継続的な分析を実現します。 当初は悪意のないように 見えたり 、最初の防御層を回避したりする高度なマルウェアに対しても、過去にさかのぼった検出、警告、追跡、分析、修復ができます。 限定的ポイントインタイム分析のみ(ポイントインタイム分析では、 ファイルを最初に検知した時点でファイルが判定されます。後でファイルが変化したり、不正に機能したりする場合、マルウェアの 攻撃内容 や拡大範囲を適切に追跡できません)。 限定的ポイントインタイム分析のみ(ポイントインタイム分析では、 ファイルを最初に検知した時点でファイルが判定されます。後でファイルが変化したり、不正に機能したりする場合、マルウェアの 攻撃内容 や拡大範囲を適切に追跡できません)。 限定的ポイントインタイム分析のみ(ポイントインタイム分析では、 ファイルを最初に検知した時点でファイルが判定されます。後でファイルが変化したり、不正に機能したりする場合、マルウェアの 攻撃内容 や拡大範囲を適切に追跡できません)。
Cisco FirePOWER では、イベントの境界(ポイントインタイム)を超えた継続的な分析を実現します。 当初は悪意のないように 見えたり 、最初の防御層を回避したりする高度なマルウェアに対しても、過去にさかのぼった検出、警告、追跡、分析、修復ができます。 ポイントインタイム分析のみ(ポイントインタイム分析では、 ファイルを最初に検知した時点でファイルが判定されます。後でファイルが変化したり、不正に機能したりする場合、マルウェアの 攻撃内容 や拡大範囲を適切に追跡できません)。 ポイントインタイム分析のみ(ポイントインタイム分析では、 ファイルを最初に検知した時点でファイルが判定されます。後でファイルが変化したり、不正に機能したりする場合、マルウェアの 攻撃内容 や拡大範囲を適切に追跡できません)。 ポイントインタイム分析のみ(ポイントインタイム分析では、 ファイルを最初に検知した時点でファイルが判定されます。後でファイルが変化したり、不正に機能したりする場合、マルウェアの 攻撃内容 や拡大範囲を適切に追跡できません)。
ネットワーク ファイル トラジェクトリ継続性シスコのソリューションはネットワーク全体でホストがどのようにファイル(マルウェア ファイルを含む)を転送したかをマッピングし、ファイル転送が ブロックされたか、あるいはファイルが検疫されたかを確認できます。これにより、感染範囲の把握、 アウトブレイクの制御、最初に感染したコンピュータの特定ができます。継続的な分析に基づくトラジェクトリ。継続的な分析に基づくトラジェクトリ。継続的な分析に基づくトラジェクトリ。
シスコのソリューションはネットワーク全体でホストがどのようにファイル(マルウェア ファイルを含む)を転送したかをマッピングし、ファイル転送が ブロックされたか、あるいはファイルが検疫されたかを確認できます。これにより、感染範囲の把握、 アウトブレイクの制御、最初に感染したコンピュータの特定ができます。継続的な分析に基づくトラジェクトリ。継続的な分析に基づくトラジェクトリ。継続的な分析に基づくトラジェクトリ。
影響の評価Cisco FirePOWER がすべての侵入イベントを攻撃の影響と関連付けて、 迅速な 対応が必要なものをオペレータに伝えます。評価はパッシブ デバイス検出の情報 (OS、クライアント/サーバ アプリケーション、脆弱性、ファイル処理、接続 イベントなど) に基づきます。限定的影響は脅威の重大度に対してのみ測定されます。ホストが実際に脅威に対して 脆弱かどうかを判断するホスト プロファイル情報はありません。 限定的影響は脅威の重大度に対してのみ測定されます。ホストが実際に脅威に対して 脆弱かどうかを判断するホスト プロファイル情報はありません。 限定的影響は脅威の重大度に対してのみ測定されます。ホストが実際に脅威に対して 脆弱かどうかを判断するホスト プロファイル情報はありません。
Cisco FirePOWER がすべての侵入イベントを攻撃の影響と関連付けて、 迅速な 対応が必要なものをオペレータに伝えます。評価はパッシブ デバイス検出の情報 (OS、クライアント/サーバ アプリケーション、脆弱性、ファイル処理、接続 イベントなど) に基づきます。影響は脅威の重大度に対してのみ測定されます。ホストが実際に脅威に対して 脆弱かどうかを判断するホスト プロファイル情報はありません。 影響は脅威の重大度に対してのみ測定されます。ホストが実際に脅威に対して 脆弱かどうかを判断するホスト プロファイル情報はありません。 影響は脅威の重大度に対してのみ測定されます。ホストが実際に脅威に対して 脆弱かどうかを判断するホスト プロファイル情報はありません。
セキュリティの自動化および適応型脅威管理シスコのソリューションは、ネットワーク、ファイル、ホストにおける動的な変化に対して防御を自動的に適用します。 こうした 自動化は、NGIPS ルール調整やネットワーク ファイアウォール ポリシーなどの主要な防御要素にも及びます。 限定的すべてのポリシーで管理者の介入が必要となります。ポリシーは基本的な調整に限定されます。誤検出 の特定とその軽減は手動になります。 限定的すべてのポリシーで管理者の介入が必要となります。ポリシーは基本的な調整に限定されます。誤検出 の特定とその軽減は手動になります。 限定的ポリシーの適用には管理者の介入が必要となります。
シスコのソリューションは、ネットワーク、ファイル、ホストにおける動的な変化に対して防御を自動的に適用します。 こうした 自動化は、NGIPS ルール調整やネットワーク ファイアウォール ポリシーなどの主要な防御要素にも及びます。 すべてのポリシーで管理者の介入が必要となります。ポリシーは基本的な調整に限定されます。誤検出 の特定とその軽減は手動になります。 すべてのポリシーで管理者の介入が必要となります。ポリシーは基本的な調整に限定されます。誤検出 の特定とその軽減は手動になります。 ポリシーの適用には管理者の介入が必要となります。
振る舞いベースの IoC(侵入の痕跡)Cisco FirePOWER がファイル動作とサイトのレピュテーションを考慮し、 1,000 を超える動作指標を活用して、ネットワークとエンドポイントのアクティビティを関連付けます。これにより、数十億のマルウェアのアーティファクトが提供され、 対象範囲を大幅に広げてグローバルな脅威を防御できるようになります。限定的別の製品を追加することで、標準的な(振る舞いベースではない)IoC を利用できます。限定的IoC は動作ではなく脅威の重大度に基づいています。限定的IoC は動作ではなく脅威の重大度に基づいています。
Cisco FirePOWER がファイル動作とサイトのレピュテーションを考慮し、 1,000 を超える動作指標を活用して、ネットワークとエンドポイントのアクティビティを関連付けます。これにより、数十億のマルウェアのアーティファクトが提供され、 対象範囲を大幅に広げてグローバルな脅威を防御できるようになります。別の製品を追加することで、標準的な(振る舞いベースではない)IoC を利用できます。IoC は動作ではなく脅威の重大度に基づいています。IoC は動作ではなく脅威の重大度に基づいています。
ユーザ、ネットワーク、およびエンドポイントの認識 Cisco FirePOWER は、ユーザ、あらゆるマシンのユーザ履歴、 モバイル デバイス、 クライアント側のアプリケーション、オペレーティング システム、 仮想 マシン間の通信、脆弱性、脅威、URL を可視化し、完全なコンテキスト認識による脅威分析と保護を実現します。限定的ユーザ認識のみ。 限定的ユーザ認識のみ(別のエンドポイント ソフトウェアを使用しない場合)。 限定的ユーザ認識のみ(別のエンドポイント ソフトウェアを使用しない場合)。
Cisco FirePOWER は、ユーザ、あらゆるマシンのユーザ履歴、 モバイル デバイス、 クライアント側のアプリケーション、オペレーティング システム、 仮想 マシン間の通信、脆弱性、脅威、URL を可視化し、完全なコンテキスト認識による脅威分析と保護を実現します。ユーザ認識のみ。 ユーザ認識のみ(別のエンドポイント ソフトウェアを使用しない場合)。 ユーザ認識のみ(別のエンドポイント ソフトウェアを使用しない場合)。
NGIPS次世代型 リアルタイムのコンテキスト認識とネットワーク マッピングを実現する次世代 IPS。 シグニチャベース シグニチャベース シグニチャベース
リアルタイムのコンテキスト認識とネットワーク マッピングを実現する次世代 IPS。
高度な脅威からの統合化された保護搭載された動的なサンドボックス機能(AMP ThreatGrid)により、 サンドボックス を認識し回避できるマルウェアを検出します。具体的なイベントの関連付け、 1,000 を超える振る舞いベースの IoC、数十億のマルウェアのアーティファクト、わかりやすい脅威スコアを提供します。 限定的クラウド サブスクリプションまたはオンプレミス アプライアンスとして使用可能なサンドボックス。 限定的クラウド サブスクリプションまたはオンプレミス アプライアンスとして使用可能なサンドボックス。 限定的クラウド サブスクリプションまたはオンプレミス アプライアンスとして使用可能なサンドボックス。
搭載された動的なサンドボックス機能(AMP ThreatGrid)により、 サンドボックス を認識し回避できるマルウェアを検出します。具体的なイベントの関連付け、 1,000 を超える振る舞いベースの IoC、数十億のマルウェアのアーティファクト、わかりやすい脅威スコアを提供します。 クラウド サブスクリプションまたはオンプレミス アプライアンスとして使用可能なサンドボックス。 クラウド サブスクリプションまたはオンプレミス アプライアンスとして使用可能なサンドボックス。 クラウド サブスクリプションまたはオンプレミス アプライアンスとして使用可能なサンドボックス。
マルウェア修復Cisco AMP for Networks のインテリジェントな自動化により、たとえ攻撃が発生した後であっても、 進行中の攻撃の把握、調査、阻止を素早く効率的に実行できるようになります。 限定的根本原因や感染経路は解明できないため、脅威の範囲は不明です。修復は侵害後のインシデント対応時 に手動で行う必要があります。 限定的根本原因や感染経路は解明できないため、脅威の範囲は不明です。修復は侵害後のインシデント対応時 に手動で行う必要があります。 限定的根本原因や感染経路は解明できないため、脅威の範囲は不明です。修復は侵害後のインシデント対応時 に手動で行う必要があります。
Cisco AMP for Networks のインテリジェントな自動化により、たとえ攻撃が発生した後であっても、 進行中の攻撃の把握、調査、阻止を素早く効率的に実行できるようになります。 根本原因や感染経路は解明できないため、脅威の範囲は不明です。修復は侵害後のインシデント対応時 に手動で行う必要があります。 根本原因や感染経路は解明できないため、脅威の範囲は不明です。修復は侵害後のインシデント対応時 に手動で行う必要があります。 根本原因や感染経路は解明できないため、脅威の範囲は不明です。修復は侵害後のインシデント対応時 に手動で行う必要があります。

脅威インテリジェンス(Talos)

ユニークなマルウェアのサンプル数(1 日あたり)150 万 数万 数万 数万
ブロックされる脅威(1 日あたり)197 億* * 電子メールを除く 報告なし 報告なし 報告なし
* 電子メールを除く
スキャンされる電子メール メッセージ(1 日あたり)6,000 億 スキャンされた 600B のうち、85 % を超えるメールがスパムです。 報告なし 600 万 報告なし
スキャンされた 600B のうち、85 % を超えるメールがスパムです。
監視される Web リクエスト(1 日あたり)160 億 WSA/CWS によって監視される Web リクエスト(1 日あたり)Google では 1 日あたり 35 億の検索を処理していると 予想されます。 報告なし 3,500 万 報告なし
WSA/CWS によって監視される Web リクエスト(1 日あたり)Google では 1 日あたり 35 億の検索を処理していると 予想されます。
自動化されたインテリジェンス フィードセキュリティ インテリジェンス フィードは 2 時間ごとに更新されます(5 分間隔で調整可能)。
セキュリティ インテリジェンス フィードは 2 時間ごとに更新されます(5 分間隔で調整可能)。

運用機能

スキャニング アーキテクチャ OptiFlow™ シングル パス ASIC マルチパス
OptiFlow™ シングル パス ASICマルチパス
ソフトウェア定義型セグメンテーションCisco TrustSec および ACI により、ワークロードと導入 (物理、 仮想、クラウド)から分離したセキュリティ サービスをプロビジョニングします。セキュリティ グループ タグ(SGT)を使ってネットワークのソフトウェアをセグメント化します。
Cisco TrustSec および ACI により、ワークロードと導入 (物理、 仮想、クラウド)から分離したセキュリティ サービスをプロビジョニングします。セキュリティ グループ タグ(SGT)を使ってネットワークのソフトウェアをセグメント化します。
脅威封じ込めの自動化Cisco Rapid Threat Containment により、Cisco Identity Services Engine による検疫が自動化されます。
Cisco Rapid Threat Containment により、Cisco Identity Services Engine による検疫が自動化されます。
運用と管理優良セキュリティとネットワーク運用を統合します。単一コンソールまたはコンソールの HA ペアにより、すべてのアップデート、 パッチ、レポート、脅威情報が提供されます。限定的NGFW 管理用の単一の UI。マルウェア、エンドポイント、その他のプラットフォーム機能については 別の UI を使用します。 限定的NGFW 管理用の単一の UI。ロギングやイベント用には別の製品と UI を使用します。サンドボックス用には 別の製品 と UI を使用します。 優良NGFW、ATP などの個々の機能ごとに単一のマネージャを使用します。
セキュリティとネットワーク運用を統合します。単一コンソールまたはコンソールの HA ペアにより、すべてのアップデート、 パッチ、レポート、脅威情報が提供されます。NGFW 管理用の単一の UI。マルウェア、エンドポイント、その他のプラットフォーム機能については 別の UI を使用します。 NGFW 管理用の単一の UI。ロギングやイベント用には別の製品と UI を使用します。サンドボックス用には 別の製品 と UI を使用します。 NGFW、ATP などの個々の機能ごとに単一のマネージャを使用します。
展開モデル標準アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure) 標準アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure) 標準アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure) 標準アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure)
アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure) アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure) アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure) アプライアンス、仮想インスタンス(VMware)、パブリック クラウド(AWS、Azure)
eStreamer APICisco FirePOWER は、クライアント アプリケーション、SIEM、 SOC プラットフォームにイベント データとホスト プロファイル情報を転送し、実用的なインテリジェンスを向上させることができます。
Cisco FirePOWER は、クライアント アプリケーション、SIEM、 SOC プラットフォームにイベント データとホスト プロファイル情報を転送し、実用的なインテリジェンスを向上させることができます。
修復 APICisco FirePOWER はサードパーティ製品と連携できます。資産の VLAN または アクセス コントロールの変更や、ヘルプ デスクでチケットのオープンもできます。
Cisco FirePOWER はサードパーティ製品と連携できます。資産の VLAN または アクセス コントロールの変更や、ヘルプ デスクでチケットのオープンもできます。
ホスト APIインベントリ、脆弱性および資産管理、Nmap などの他のシステムから Cisco FirePOWER プラットフォームにデータを送信できます。
インベントリ、脆弱性および資産管理、Nmap などの他のシステムから Cisco FirePOWER プラットフォームにデータを送信できます。

重要なインフラストラクチャ(ICS/SCADA)

使用可能な強化および高耐久化バージョン
Base 機能セットNGFW、AMP、NGIPS、脅威インテリジェンス NGFW には、アプリケーションの可視性、URL フィルタリング、IPS、ウイルス対策、ユーザ識別が含まれます。FirePOWER には、NGIPS、Advanced Malware Protection(AMP)、レトロスペクション、 影響分析など前述の主要なセキュリティ機能がすべて含まれます。 NGFW onlyNGFW onlyNGFW only
NGFW には、アプリケーションの可視性、URL フィルタリング、IPS、ウイルス対策、ユーザ識別が含まれます。FirePOWER には、NGIPS、Advanced Malware Protection(AMP)、レトロスペクション、 影響分析など前述の主要なセキュリティ機能がすべて含まれます。
SCADA ルール最大 250 Snort に基づく最大 250 のルール。Talos では ICS 業界向けのルールを提供しています。サードパーティのルールを インポートできます。お客様がルールを作成できます。 最大 100最大 300最大 180
Snort に基づく最大 250 のルール。Talos では ICS 業界向けのルールを提供しています。サードパーティのルールを インポートできます。お客様がルールを作成できます。
Modbus、DNP、CIP プリプロセッサModbus、DNP3、BACnet。SCADA プロトコルは FirePOWER システムで利用できます。 Modbus, DNP3, OPC, ICCP, IEC 61850Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850
Modbus、DNP3、BACnet。SCADA プロトコルは FirePOWER システムで利用できます。 Modbus, DNP3, OPC, ICCP, IEC 61850Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850

サービス プロバイダー

キャリアクラス認定NEBS レベル 3NEBS レベル 3NEBS レベル 3
NEBS レベル 3 NEBS レベル 3NEBS レベル 3
キャリアクラス機能GTP v2、CG-NAT、Diameter、SCTP、SIP シグナリング ファイアウォールGTP v2、CG-NAT、Diameter、SCTP、SIP シグナリング ファイアウォールGTP v2、CG-NAT、Diameter、SCTP、SIP シグナリング ファイアウォール
GTP v2、CG-NAT、Diameter、SCTP、SIP シグナリング ファイアウォール GTP v2、CG-NAT、Diameter、SCTP、SIP シグナリング ファイアウォールGTP v2、CG-NAT、Diameter、SCTP、SIP シグナリング ファイアウォール
サードパーティのサービス スティッチングサードパーティおよびネイティブ コンテナを FirePOWER Threat Defense で動作するように シームレスに接続できます。
サードパーティおよびネイティブ コンテナを FirePOWER Threat Defense で動作するように シームレスに接続できます。
True DDoSRadware DefensePro vDOS コンテナが NGFW システム(Cisco FirePOWER 9300) に直接統合されます。限定的別の製品が必要です。限定的別の製品が必要です。
Radware DefensePro vDOS コンテナが NGFW システム(Cisco FirePOWER 9300) に直接統合されます。 別の製品が必要です。別の製品が必要です。