 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
“ファイアウォールベンダ”米SonicWALLが主張するIPSの有効性 |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
米SonicWALL,Inc.(以下、SonicWALL)は、統合セキュリティアプライアンス「SonicWALLシリーズ」を手がける企業だ。日本でも4万台以上を出荷するなど、積極的に展開を行っている同社の事業戦略・製品戦略について、今回はProduct Line Manager High End Products and Firmware、Scott Lukes氏にお話を伺った。 ■ 2系統のSonicOSで「細かな」サポートを提供
そのうちの1つは、アプライアンス用OSを2本立てのラインアップにしたことだ。これは2003年10月に発表された「SonicOS 2.0」から導入されたシステム。従来は1種類だけのOSを提供したきたのだが、「8割のユーザーはシンプルな環境で、2割のユーザーは複雑な環境で」SonicWALLを運用していることから、それぞれに適したソフトウェアを用意したのである。同社では次期バージョン「SonicOS 3.0」の早期リリースを予定しているが、新版に関してもこの流れを継続し、異なるニーズに対して柔軟に対応できるようにする。 そのSonicOS 3.0(Standard版)ではDDNS(Dynamic DNS)に対応するほか、SYN Floodに対する防御法「SYN Cookie」の拡張などが行われる。またSonicOS 3.0 Enhancedではこれらに加え、さらにタグVLANのサポート、OSPF/RIPの両ダイナミックルーティングプロトコルサポート、Active Directory/LADP認証への対応のほか、アンチスパム機能も実装が予定されるなど、さらなる機能の充実を目指す意向だ。この2系統のリリースも発表から1年ほどがたち、ユーザーの認知も進んできたようで、「製品によって異なるが、2割~5割程度のユーザーが上位版のEnhancedを利用している」(Lukes氏)という。 ■ パケットの奥深くまで検知する「ディープパケットインスペクション」で効果的な防御を また2つ目は、第4世代のアプライアンスへIPS(Intrusion Prevention Service、不正侵入防御システム)機能を搭載できるようにしたことだ。このIPSでは、シグネチャベースの「ディープパケットインスペクション(DPI)」技術を用いて、パケットの奥深く(ペイロード部分)までを検査し、それが正常なものかどうかを判断する仕組みを用いている。その判断の基準となるシグネチャファイルは、同社のWebサイトより最新のファイルをアップデートする仕組みで、これを同氏は「ファイアウォールもデータベースと直結していないと、どうしようもないということ」と評した。Lukes氏はこのDPIを採用した理由について、「現在のウイルスから身を守るためには、パケットのヘッダ部分だけをチェックするステートフルインスペクション(SPI)だけでは限界」と断言したが、これは業界全体の流れでもあり、現在では各ベンダがこぞってDPIを導入しはじめている。たとえば、NetScreenシリーズを擁する大手ベンダJuniper Networksも、Screen OS 5.0(現在は同5.1)からこの技術を導入した。 しかしLukes氏によれば、DPIを採用しているからといって、必ずしもその製品が優れているとは限らないという。同氏は「DPIの仕組みを導入しても、パケットの中から何を探し出すか、ということがわかっていないとうまく働かない。1つのパケットのみを見ても防げない攻撃があり、そうしたものは全体の流れを見ないと検出できないのだ」と述べ、競合に対して、同社の技術は優位にあるとした。 なお、シグネチャベースの技術に関しては、どうしても事後の対応にまわってしまうため、「すべての攻撃には対処できない」という点を問題視し、別のアプローチを採用しているベンダもいる。これに関してLukes氏は、「事前防御ではヒューリスティック、アノーマリ検知の両技術が主に使われるが、これらは複雑なもの。それだけでは誤検知などを起こして、検知が正確にできない可能性がある」と主張。 「シグネチャベースの技術は完全なものではないが、その範囲では正確だし、簡単に導入できることから、利用している顧客も多い。今後は、これを完全に捨て去るのではなく、シグネチャベースの技術にインテリジェンスを付加する方法で進めていきたい」とした。 加えて、「ファイアウォールゲートウェイだけでは、ネットワーク内部のウイルス伝搬を抑えられない」(同氏)とし、エンドポイントでのセキュリティ向上が必要との見解を示した。同社ではこのため、パーソナルファイアウォールソフトの「グローバルセキュリティクライアント(GSC)」も積極的に展開していく意向だ。 ■ セキュアな無線LANソリューションも継続して提供する
こうしたアプローチに関してはSonicWALLも同様だという。1つだけ異なるのは、無線LANスイッチのかわりにSonicWALLアプライアンスを利用すること。同社では、アクセスポイント製品「SonicPoint」を6月にリリースするとともに、SonicWALLアプライアンスへ管理機能を搭載させ、無線LANスイッチがなくても無線LANの集中管理を行えるようにした。また、小規模拠点や企業の支社などのために、ファイアウォール一体型のアクセスポイント「TZ170 Wireless」を10月に発売。顧客の規模を問わず、無線LANソリューションの導入が可能なようにしている。 これらの同社製品に共通する特徴は、セキュアな無線LAN構築が可能なことだ。従来は「IPsec VPNを無線LAN区間に利用することで、安全に無線LANが展開できる」としてきた同社だが、「WPA/WPA2/IEEE 802.11iなどのアプローチで十分ではないかと考える顧客が増えてきた」(Lukes氏)ことから、そちらもきっちりとサポートし、柔軟に対応できるようにしているという。なお、WPA2/IEEE 802.11iでは新たに暗号化アルゴリズムとしてAESもサポートされるようになったが、SonicWALLアプライアンスではIPsec VPNですでにAESをサポートし、ハードウェアでのアクセラレーションを実現している。 ■ SSL-VPNは2005年、検疫ネットワークは検討中
もう1つは、SonicWALLアプライアンスと100BASE-TX対応レイヤ2スイッチ(24ポート)を統合した「SonicWALL PRO 1260」。同製品を利用することで、ユーザーはより容易にネットワーク管理を行えるようになるという。なお、同製品では各ポート間を流れるトラフィックの制御までは行わないが、これに関してLukes氏は「今回の製品はエントリークラスのもの。ハイエンド製品が登場するのであれば、そうした機能も含まれるかもしれない」と述べ、今後の展開に含みを持たせた。 一方、2004年には発売されるとしていたSSL-VPN製品は、「2005年の中盤には出す」(Lukes氏)とコミットした上で、多少早くなる可能性もあると述べた。提供形態としては「eコマースなどでは単体製品が必要となるだろうし、小規模向けには既存製品にアドオンする形がよいだろう」と語ったように、SonicWALLアプライアンスにアドオンする形と、専用の新アプライアンスの両形態でリリースされる見込みだ。 さらに、業界の関心が高まっている検疫ネットワークに関しても、投入を検討しているという。検疫ネットワークを実現するためには、PC側に入れ込まれたエージェントと、ルータやスイッチ、ファイアウォールなどのネットワークインフラ、認証サーバーの連携が必要となるが、「当社ではすでに、(エージェントとして使える)GSCとSonicWALLアプライアンスを持っている」とし、ポイントソリューションしか持たない他社よりも優位な立場にいると述べた。 ■ URL 米SonicWALL,INC.(日本語) http://www.sonicwall.com/japan/ ■ 関連記事 ・ 米SonicWALL、2系統のOSを用意したアプライアンスを発表(2003/10/03) ・ 米SonicWALL、用途によりOSアップグレードが可能なセキュリティアプライアンスを発表(2003/11/11) ・ 米SonicWALL、中規模ネットワーク向けセキュリティアプライアンスを発表(2004/03/08) ・ 米SonicWALL、ファイアウォールの侵入検知オプション提供(2004/03/18) ・ 米SonicWALL、無線LANに対応した小型セキュリティアプライアンス(2004/10/06)
( 石井 一志 )
|
