** 本記事は、Sophos Firewall v20 MR1 is now available の翻訳です。最新の情報は英語記事をご覧ください。**
Sophos Firewall v20 MR1 がリリースされました。今回のリリースは、メジャーバージョンに匹敵する新機能を搭載した、過去最大のメンテナンスリリースです。
新機能
ファイアウォールのセキュリティとアクセス
- アクセス制御のアップデートは、WAN 上でアクセス可能なサービスをより詳細に制御し、ファイアウォールのセキュリティポスチャを改善します (詳細については以下をご覧ください)
- ローカル ACL の例外リストに新しいサービスを追加: AD SSO、キャプティブポータル、RADIUS SSO、クライアント認証、Chromebook、ワイヤレス、SMTP、RED、IPsec
- FQDN ホスト、ホストグループ、MAC アドレスのサポートにより、アクセスルールの例外処理における柔軟性が高まりました
OpenVPN が v2.6.0 にアップグレード
- Sophos Firewall の OpenVPN モジュールが v2.6.0 にアップグレードされ、SSL VPN のセキュリティとパフォーマンスが強化されました。非互換性および推奨される解決策については、以下の詳細を参照してください。
SD-WAN と VPN の機能強化
- SD-WAN トラフィックの中断最小化、および HA フェイルオーバーおよびデバイスのリブートイベントにおいてゲートウェイの利用可能時間を 4 倍に強化
- リモートアクセス SSL VPN において、VPN ポータルから OpenVPN 3.0 クライアントをダウンロードできるようになりました
- IPsec Phase-1 IKEv2 に GCM 暗号と suite-B 暗号へのサポートが追加され、相互運用性とスループットが向上しました
- DHCP Busybox の改良により、デフォルトのリース時間が 30 秒になり、WAN 切断の問題が解消されました
ゼロタッチ展開
- 新しいファイアウォールの導入は、Sophos Central を介して、USB キーを用いたオンサイトでの操作を必要とせずにゼロタッチで行えます (詳細については以下をご覧ください)。
その他の改善点
- ファイアウォール管理を支援する新しい生成 AI アシスタント (以下の例を参照してください)
- ブラウザの選択言語に基づくログイン時のローカライズ言語の自動検出
- 新しいデバッグファイルのダウンロードオプション
- IP、MAC、FQDN、およびサービスオブジェクトの新しい説明フィールド
- IPv6 DHCP-PD プレフィックス更新の改善
- マッチング条件が「Any」の場合に、IPsec サイト間 VPN からシステム生成トラフィックをバイパスする CLI オプションの追加
- 新しい OpenVPN v2.6.0 および StrongSwan v5.9.11 への更新
SSL VPN の互換性に関する重要な注意事項
今回のリリースバージョンでは、OpenVPN が 2.6.0 にアップグレードされています。v20 MR1 にアップグレードされたファイアウォールは、以下のバージョンのクライアントおよびファイアウォールでは SSL VPN トンネルを確立できません。
- SFOS v18.5 およびそれ以前のバージョン (サポート終了): SFOS v18.5 以前のバージョンと SFOS v20.0 MR1 の間では、サイト間 SSL VPN は確立されません。関連するすべてのファイアウォールの v20.0 MR1 へのアップグレードを同時に実行することをお勧めします。代わりに、サイト間 IPsec や RED トンネルを利用できます。
- レガシー SSL VPN クライアント (サポート終了): すでにサポートが終了したレガシー SSL VPN クライアントでは、リモートアクセス SSL VPN トンネルを確立できません。Sophos Connect クライアントまたは OpenVPN クライアントなどのサードパーティクライアントを利用するか、リモートアクセス IPsec トンネルを利用できます。
- UTM9 OS: UTM9 OS と SFOS 2v0.0 MR1 の間ではサイト間 SSL VPN は確立されません。これらのデバイスを v20.0 MR1 に移行することをお勧めします。代わりに、サイト間 IPsec や RED トンネルを利用できます。
ファームウェアおよびドキュメントの入手方法
Sophos Firewall OS v20 MR1 は、Sophos Firewall のライセンスをお持ちのすべてのお客様に無償で提供されるアップグレードです。最新のセキュリティ、信頼性、パフォーマンスに関する修正をすべて適用するため、できるだけ早くすべてのサポート対象ファイアウォールデバイスに適用してください。
このファームウェアのリリースは、当社の標準的なアップデートプロセスに従って行われます。
Sophos Central から SFOS v20 MR1 を手動でダウンロードして、いつでもアップデートできます。手動で更新を行わない場合は、今後数週間ですべての接続デバイスに順次提供されます。アップデートが利用可能になると、ローカルデバイスまたは Sophos Central 管理コンソールに通知が表示され、お客様のご都合に合わせてアップデートのスケジュールを設定できます。
Sophos Firewall OS v20 MR1 は、v20、v19.5、v19.0 のすべての旧バージョンからのアップグレードが完全にサポートされています。詳細については、リリースノートの [Upgrade Information] タブを参照してください。
製品のドキュメントは、オンラインでも製品内からでもご覧いただけます。
素晴らしい新機能のいくつかを詳しくご紹介します。
アクセス制御の強化
最新のアクセス制御強化機能を確認し、WAN 上で利用可能なサービスを制限して、セキュリティポスチャを改善してください。
新機能
- 追加された新サービス: IPsec/RED
- ACL の例外ルールが新しいホストタイプに対応: FQDN ホスト、FQDN ホストグループ、MAC アドレス、MAC アドレスリスト
- ACL の例外ルールが新しいサービスに対応: AD SSO、キャプティブポータル、Radius SSO、クライアント認証、Chromebook、ワイヤレス、SMTP、SNMP、RED、IPsec
- 新しい VPN サービスグループと例外ルールの情報を追加したデバイスアクセス管理ページの機能強化
Sophos Central からのファイアウォールのゼロタッチ展開
今回のアップデートにより、リモートファイアウォールの事前定義、導入、設定完了までが、オンサイトで USB デバイスを用いて作業をせずに行えるようになりました。USB デバイスはもう必要ありません。
以下がその手順です。
- Sophos Central でデバイスのシリアル番号を入力します。
- Sophos Central でタイムゾーン、LAN、WAN、DHCP の設定、初期保護設定などの重要な設定を事前に行います。
- 電源ケーブルと WAN ケーブルを接続してファイアウォールをリモートロケーションに配備し、電源を入れます。ファイアウォールが起動時に自動的に Sophos Central に接続し、ステップ 2 の設定をダウンロードして適用します。
- 以上の手順で、Sophos Central からファイアウォールを管理し、設定を完了できます。
詳細はドキュメントを参照してください。
生成 AI を搭載したファイアウォールアシスタント
生成 AI を搭載した新しい Sophos Assistant が、ファイアウォールの管理を支援します。アシスタントに平易な言葉で質問すると、ガイドや役立つリソースへのリンクが提供されます。
たとえば、DNAT の設定を手伝ってほしい場合は、アシスタントに以下のように尋ねます。
また、簡単なガイドだけでなく、必要であれば、より深く掘り下げるための包括的なリソースのリストも要求できます。
ログイン時の自動言語検出
ログイン画面では、ブラウザの設定に基づいて自動的に言語が選択されます。
全体として、今回のリリースはファイアウォールにとって素晴らしいアップデートです。今までと同様、Sophos Firewall のすべてのお客様に無料で提供されます。ソフォスは、リリースのたびに大きな付加価値を提供し続けています。
ファームウェアを最新の状態に保つ
Sophos Firewall には革新的なホットフィックス機能が統合されており、新たなゼロデイ脆弱性やその他の重大な問題が発生した場合に、緊急かつ重要なパッチをリモートでファイアウォールにプッシュできます。この仕様により、通常ファームウェアのアップグレードや再起動に伴うダウンタイムがなく、迅速に修正が適用されます。ファイアウォールは、重要な修正を手動で行わずとも、即座に適用できます。
ただし、メンテナンスリリースには緊急性の低いセキュリティ修正が含まれていることが多いため、ファイアウォールのファームウェアを常に最新の状態に保つことが非常に重要です。Sophos Firewall のライセンスをお持ちのお客様は、すべてのファームウェアアップデートを無料でご利用いただけます。毎回のリリースで強化される素晴らしい機能を利用しない理由はありません。