Sophos Firewall v20 MR1 が提供開始

製品SFOS v20Sophos Firewallメンテナンスリリース (MR)

過去最大規模のメンテナンスリリースである Sophos Firewall v20 MR1 が提供開始になりました。メジャーバージョアップに匹敵するレベルの新機能が加わっています。

20245月 15作成者:

新機能の概要

ファイアウォールのセキュリティとアクセス:

  • デバイスアクセスの管理機能が強化され、WAN でアクセス可能なサービスをきめ細かく制御できるようになりました。これにより、ファイアウォールのセキュリティ対策がいっそう向上します (詳しくは以下をご覧ください)
  • ローカル ACL の例外リストに以下の新サービスが追加されました: AD SSO、キャプティブポータル、RADIUS SSO、クライアント認証、Chromebook、ワイヤレス、SMTP、RED、IPsec
  • アクセスルールの例外で、FQDN ホスト、ホストグループ、MAC アドレスを指定できるようになりました

OpenVPN が v2.6.0 にアップグレード:

  • Sophos Firewall の OpenVPN モジュールが v2.6.0 にアップグレードされ、SSL VPN のセキュリティおよびパフォーマンスが強化されました。互換性がないケースおよび推奨の対策については、以下をご覧ください。

SD-WAN および VPN の機能強化:

  • SD-WAN のスケーラビリティが向上し、HA のフェールオーバーおよびデバイスの再起動時のゲートウェイの可用性が 4倍になり、トラフィックの中断が最小に抑えられるようになりました
  • リモートアクセス SSL VPN の OpenVPN 3.0 クライアントをユーザーが VPN ポータルからダウンロードできるようになりました
  • IPsec のフェーズ 1 IKEv2 が GCM および Suite-B 暗号に対応し、相互運用性およびスループットが向上しました
  • DHCP Busybox のデフォルトのリース時間が 30秒になり、WAN が切断される問題を解消しました

ゼロタッチ導入:

  • ゼロタッチ導入が徹底され、Sophos Central から新しいリモートファイアウォールを導入、設定できるようになりました。リモートサイトに作業担当者や USB メモリは不要です (手順について詳しくは、以下を参照してください)

その他の機能強化:

  • 生成 AI を活用した新しいアシスタントによって、ファイアウォール管理を支援 (以下を参照してください)
  • ログイン時の言語を自動検出 (ブラウザの言語選択に基づく)
  • デバッグファイルのダウンロードオプションが追加
  • IP、MAC、FQDN、サービスオブジェクトの説明フィールドが追加
  • IPv6 DHCP-PD プレフィックスの更新が改善
  • 一致条件が「任意」の場合に、IPsec サイト間 VPN からのシステム生成トラフィックをバイパスする CLI オプションが追加
  • OpenVPN v2.6.0 および StrongSwan v5.9.11 にアップデート

 

SSL VPN の互換性に関する重要なお知らせ

このリリースでは、OpenVPN が 2.6.0 にアップグレードされました。v20 MR1 にアップグレードしたファイアウォールと、以下のクライアントやファイアウォールバージョンとの間に SSL VPN トンネルを確立することはできません。

  • SFOS v18.5 以前のバージョン (サポート終了): SFOS v18.5 以前のバージョンと SFOS v20.0 MR1 間でサイト間 SSL VPN を確立することはできません。あらかじめ計画のうえ、対象のファイアウォールをすべて同時に v20.0 MR1 にアップグレードすることをお勧めします。または、サイト間 IPsec か RED トンネルをご利用ください。
  • レガシー SSL VPN クライアント (サポート終了): レガシー SSL VPN クライアントはすでにサポート終了となっているため、これに対してリモートアクセス SSL VPN トンネルを確立することはできません。Sophos Connect クライアントまたはサードパーティのクライアント (OpenVPN クライアントなど) を使用するか、リモートアクセス IPsec トンネルをご利用ください。
  • UTM9 OS: UTM9 OS と SFOS v20.0 MR1 間でサイト間 SSL VPN を確立することはできません。UTM9 OS デバイスを v20.0 MR1 に移行することをお勧めします。または、サイト間 IPsec か RED トンネルをご利用ください。

リリースノートの全文

 

ファームウェアおよびドキュメントの入手方法

Sophos Firewall OS v20 MR1 は、Sophos Firewall のライセンスをお持ちのすべてのお客様に無料で提供されるアップグレード版です。セキュリティ、信頼性、パフォーマンス関連の最新の修正が含まれているため、サポート対象のすべてのファイアウォールデバイスにできるだけ早く適用する必要があります。

このファームウェアのリリースは、ソフォスの標準的なアップデートプロセスに従います。  Sophos Central から SFOS v20 MR1 を手動でダウンロードして、いつでもアップデートを行えます。  もしくは、数週間以内に、ネットワークに接続されたすべてのデバイスに配布されます。アップデートが利用可能になると、ローカルデバイスまたは Sophos Central 管理コンソールに通知が表示され、好きな時間にアップデートを予約できます。

Sophos Firewall OS v20 MR1 は、v20、v19.5、v19.0 の任意のバージョンからのアップグレードが完全にサポートされています。詳細については、リリースノートの 「Upgrade Information」タブを参照してください。

完全な製品ドキュメントは、オンラインおよび製品内で入手できます。

ここでは、優れた新機能の一部を詳しくご紹介します。

 

デバイスアクセスのセキュリティ

デバイスアクセスの管理が以下に示すように強化され、WAN を利用できるサービスを制限できるようになりました。これにより、セキュリティ対策をいっそう向上することが可能となります。

新機能:

  1. 新しいサービスが追加: IPsec/RED
  2. ACL 例外ルールで選択できるホストの種類が追加: FQDN ホスト、FQDN ホストグループ、Mac アドレス、Mac アドレスリスト
  3. ACL 例外ルールで選択できるサービスが追加: AD SSO、キャプティブポータル、Radius SSO、クライアント認証、Chromebook、ワイヤレス、SMTP、SNMP、RED、IPsec
  4. デバイスアクセス管理ページが強化: 例外ルールに VPN サービスグループや詳細情報が追加

 

Sophos Centralからのファイアウォールのゼロタッチ導入

ファイアウォールを現場で接続するだけで、事前に定義した設定の導入から完了まで、すべてリモートから行えるようになりました。USB デバイスは不要です。

手順

  1. Sophos Central で、デバイスのシリアル番号を入力します
  2. Sophos Central で、基本的な設定を行います (タイムゾーン、LAN、WAN、DHCP の設定、セキュリティの初期設定など)
  3. リモートにあるファイアウォールを電源および WAN ケーブルにつなぎ、電源を入れます。ファイアウォールが起動すると自動的に Sophos Central に接続し、手順 2 の設定をダウンロードして適用します
  4. Sophos Central でファイアウォールを管理し、設定を完了できます

詳細は、ドキュメントをご覧ください。

 

生成 AI のファイアウォールアシスタント

生成 AI を活用した Sophos Assistant が新しく搭載され、ファイアウォールの管理を支援してくれるようになりました。普通の言葉で質問を投げかけると、手順や関連リソースへのリンクを示してくれます。

たとえば、DNAT の設定方法がわからない場合は、以下のように質問します。

すると、簡潔な手順や、詳細情報を調べるのに役立つリソースの全リストが表示されます。

 

ログイン時の自動言語検出

ブラウザの設定に基づき、ログイン画面の言語が自動的に選択されます。

このたびのリリースでは全体的に、優れた機能強化の数々が加えられています。もちろん、Sophos Firewall のライセンスをお持ちのお客様は無料でご利用になれます。今後も、リリースごとに新たな価値をご提供してまいりますのでご期待ください。

 

ファームウェアを最新の状態に保つ

Sophos Firewall には、画期的な Hotfix 機能が搭載されており、緊急かつ重要性の高いパッチは無線経由でファイアウォールにプッシュされ、ゼロデイ脆弱性や新たに発生した深刻な問題に対応できるようになっています。この方法により、修正を迅速に適用できるのはもちろん、ファームウェアのアップグレードや再起動が不要なため、ダウンタイムも回避できます。このように、管理者が特に操作を行わなくても、重要な修正がただちに適用されるので便利です。

ただし、緊急性の低いセキュリティ修正は通常メンテナンスリリースに含まれるため、ファイアウォールのファームウェアを最新の状態に保っていただくことは非常に重要です。Sophos Firewall のライセンスをお持ちのお客様はファームウェアのアップデートを常に無料でご利用になれますので、リリースの際には必ずご活用くださるようお願いいたします。

著者について

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.