Enterprise Watch
最新ニュース

F5グッドウィン社長、「F5の強みはアプリケーションレイヤを熟知していること」


 2月4日から6日まで、「NET&COM 2004」(主催:日経BP社)が千葉市の幕張メッセで開催されている。6日には、F5ネットワークスジャパン株式会社(以下、F5)の代表取締役社長、ティム・グッドウィン氏が「セキュリティへの取り組み、そしてSSL VPNの世界へ広がるIPへの将来像」と題して特別講演を行った。

 グッドウィン氏によれば、F5が持っている強みは、アプリケーションレイヤ(レイヤ7)を熟知していることだという。その同社の製品で注目を集めているものは、2003年に登場したSSL VPN「Fire Pass」、ロードバランサーの分野で高いシェアを持つ「BIG IP」の2つだ。


SSL VPNで真のクライアントレスを実現する、Fire Pass

F5ネットワークスジャパンの代表取締役社長、ティム・グッドウィン氏
 「当社としては、SSL VPNの技術はまだ新しいので、最初はテストをして、うまくいけばその後で導入してもらえると考えていた」(グッドウィン氏)という。しかし、現実は違った。「IPSecを使ったソリューションはもういい、すぐに導入したいという声が多かった」というのだ。その理由について同氏は「IPSec VPNは便利ではあったが、コストがかかるなど、望んだ通りには動いていなかったからではないか」と分析する。

 では、IPSecとは違う、SSL VPNのメリットとは何だろうか。「それは、使いやすさと運用コストの削減が可能なこと。SSL VPNでは、WebブラウザからSSLでアクセスできればソフトは何もいらない。わざわざ事前にインストールしたり、IT部門にいろいろと設定してもらったりする必要はないのだ」。

 また、リモートアクセスを考えたときに、日本では携帯電話やPDAが普及しているということは見逃せないという。「携帯などから社内のリソースにアクセスしたいという要望は強いものがある。今ではこうした機器もSSLをサポートしているので、当社では特に日本のために、こうしたデバイスでもSSL VPNの恩恵を受けられるようにした。またIPSecでリモートアクセスをした場合、一度アクセスした後は、何でも実行できてしまうことが欠点にもなりうる。しかしSSL VPNでは、Outlookだけに利用を制限するなど、アプリケーションごとの制御が可能な点も有利な点だ」(グッドウィン氏)。

 こうした、さまざまなメリットのあるSSL VPNだが、注目されている技術だけに、製品をリリースしている企業は数多くある。グッドウィン氏は競合製品との違いについても触れ、「IPSecに比べてすぐれている点は専用ソフトのインストールがいらないことだが、他社の製品ではアプリケーションすべてに対応していなかったり、別料金のオプションが必要だったりすることが多い。当社製品ではすべてのアプリケーションがソフトをインストールすることなく利用でき、真の“クライアントレス”を実現している。また、携帯電話をサポートしたほか、SSL VPNを利用してPCのリモートコントロールを可能にする機能もある。この機能を使えば、重いアプリケーションをモバイルの非力なPCから実行することもできる」と差別ポイントを強調した。


IP電話を止めないために

 もう一方のBIG IPの利用例としては、SIPを使う環境に導入される例が増えてきているという。SIPは使いやすく拡張性の高いプロトコルのためIP電話などで利用が進んでおり、現在ではネットワークになくてはならないプロトコルになっている。「HTTPを利用するWeb閲覧であれば応答が遅くてもある程度なら問題ないだろうが、SIPが最も利用されている“電話”の場合は、落ちたり遅延したりすることは許されない」(同氏)。

 当然、冗長化や負荷分散などの手段を用いて、ネットワークを構築する手法が取られるわけだが、「SIPの負荷分散ができるロードバランサーは、BIG IPだけ」(グッドウィン氏)という。では、どうしてSIPの負荷分散に対応したロードバランサーが少ないのだろうか。

 「SIPを利用する場合は、通常SIPプロキシを使う。SIPの通信先は“コールID”で識別をするが、これはパケット内のレイヤ7領域にあり、レイヤ3/4レベルの機器では識別ができないからだ」(グッドウィン氏)という。IPアドレス、ポート番号などで識別しようとしても、同じセッション内でさえ時として変わってしまうそれらでは、常に同じ相手先とセッションを維持し続けることができない。

 「しかし、BIG IPではレイヤ7のアプリケーションヘッダだけでなく、アプリケーションデータを含む16kバイトまで参照できるUIEエンジンを採用しているために、コールIDもきちんと識別ができ、SIPの負荷分散に対応するのだ」(同氏)。

 さらにBIG IPでは、SIPサーバーなどの可用性を高めるために動作チェック機能も備えている。機器では、ハードウェアが動いていてもソフトウェアが止まってしまっているということが当然あり得る。同製品にはこれを検知するために、Ping試験以外にもアプリケーションがきちんと動作しているかどうかを確認する機能が盛り込まれているとのことだ。


 以上の2つが既存製品で実現されていることだが、F5では今後アプリケーションセキュリティゲートウェイ(AGS)の投入を予定している。グッドウィン氏は「これは、ファイアウォールの次世代と思ってもらえばいい。ファイアウォールではアプリケーションレイヤの攻撃は防御できないが、当社の技術を利用し、アプリケーションに対する攻撃をカットするものだ。現在では社内的な攻撃も脅威としてあるので、AGSはゲートウェイだけでなく内部にも設置されることになるだろう」(グッドウィン氏)と述べ、アプリケーションレイヤをカバーできるセキュリティ製品の重要性を強調した。

 そしてグッドウィン氏は「F5のビジョンはセキュアなアプリケーショントラフィック管理だ。レイヤ7に熟知した当社の強みを生かし、ネットワークからアプリケーションを守れるソリューションを提供したい」と語り、講演を締めくくった。



URL
  F5ネットワークスジャパン株式会社
  http://www.f5networks.co.jp/

関連記事
  ・ F5草薙氏、「SSL VPNは、リモートアクセスでIPSecを補完するもの」(2003/11/28)


( 石井 一志 )
2004/02/06 20:04

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.