編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

「セキュリティの脅威は進化し続けている」--米Fortinet副社長

日川佳三(編集部)

2005-09-01 21:53

 米Fortinetは、ファイアウォールに各種のセキュリティ機能を搭載した統合型セキュリティ・ゲートウェイ「FortiGate」を開発するベンダーである。2005年9月1日、同社の副社長でワールドワイドの技術セールスと製品マーケティングを担当するジョン・ピーターソン(John Peterson)氏が来日し、ZDNet Japanに対してセキュリティ市場の展望を語った。

 FortiGateは、SOHO向け最下位モデル「FGT-50A」から、通信事業者までを対象とした最上位モデル「FGT-5140」まで全20モデルで構成する。全モデルともに専用ASICを搭載し、FortiOSと呼ぶOSが稼動する。機能はいずれのモデルも、ファイアウォール、VPN、IDS/IPS、ウイルス対策、スパム対策、コンテンツ・フィルタリングなどを搭載する。

--セキュリティ・ゲートウェイ市場は賑わっている。競合他社と比べた米Fortinetの優位性は何か。

 企業が求めるセキュリティ機能を独自設計の専用ASICとして実装している点が優れている。2000年の設立当時、VPN機能を持つASICベースの製品は市場に溢れていたが、ウイルス対策など上位層のセキュリティまでを含んだASICベースのゲートウェイを製品化した企業はなかった。米FortinetはASICベースで高位レイヤーまでのセキュリティ機能を実現した、世界で初めての企業なのだ。

 あらゆる製品に言えることだが、よりレイヤーの高い機能をASIC化していくというのが製品技術の自然な流れだ。機能の実装方法の進化は、次のようになる。第1段階はPC上で稼動させるソフトウェア、第2段階は専用ハードウェアを用いたアプライアンス、第3段階はASICに機能を実装、第4段階はよりレイヤーの高い機能をASIC化する。例えば、不正アクセスのパターンを記録したシグネチャに合致するかどうかをハードウェアで処理できれば、より高速になる。

 アプリケーション層の機能を使ってアプリケーション層のセキュリティ対策を施すだけでなく、下位のレイヤーに位置する機能であっても、アプリケーション層を意識した対策が可能だ。具体的には、FortiGateでは、IPパケットをバッファ・メモリ上で再構成して、通信内容をスキャンする。複数パケットに分散したウイルスのコードを検知するということだ。こうした処理もASICで高速に実行する。

 賢い機器でもある。ユーザー企業でのネットワークの使われ方を自己学習するのだ。通常とは異なるトレンドを発見して警告を出す。例えば、電子メールのトラフィックが20%前後の企業があったとして、この企業の電子メールのトラフィックが70%に達したとする。明らかにおかしいことが分かるわけだ。FortiGateは、こうしたトレンド分析と学習、警告の機能を備えている。

--単一のゲートウェイにレイヤーの異なる複数の機能をまとめる必要が本当にあるのか。実際に1台ですべてをまかなう企業がいるのか。

 世の中にあるセキュリティ上の脅威が、レイヤーの異なる複数の機能を利用しているのだ。例えば、スパムを利用してユーザーのPCにウイルスを感染させ、PCからウェブサーバにワームとして拡散し、ウェブサーバのシステムを破壊するといった具合だ。脅威に対抗するためには、あらゆるレイヤーのあらゆるセキュリティ機能が必要になる。

 脅威は絶え間なく進化しているのだ。情報システムにとって最初の脅威は、泥棒に盗まれるといった物理的な脅威だった。それが不正アクセスという姿に進化した。現在ではさらにレイヤーが上がってきている。昨今の企業ユーザーは、電子メールなどを媒介としたコンテンツの脅威に悩まされている。

 もしこうした機能を独立した別々のハードウエアで提供していたら、個々のハードウェアの導入コストが膨らむばかりでなく、運用管理コストは膨大になり、複数のゲートウェイを通過するがゆえにネットワークは遅延してしまう。あらゆる層に分散する脅威を1台で防止できるようにする意義を理解しなければならない。

--ネットワーク上での実際の使われ方は企業次第だが、製品としては1台で全機能を持っておくべきということか。

 その通りだ。企業によっては旧式のファイアウォールやウェブプロキシを使い続け、電子メール・サーバの手前にFortiGateを導入する場合もある。この場合、電子メールのセキュリティ機能だけを利用する。だがこうした企業も、いずれは旧式のファイアウォールをFortiGateに置き換え、FortiGateの全機能を利用するようになる。

 FortiGate自体は、個々の機能のオンとオフが簡単に設定できるようになっている。1台のFortiGateで全機能を利用することもできれば、複数のFortiGateを用意し、個々のFortiGateを単一機能で使うといった利用も可能だ。また、1台のFortiGateを、仮想的に複数のFortiGateとして利用することもできる。

 柔軟な構成を採りやすくするため、ゲートウェイを1枚のブレードにしてブレード型機器としたのが、通信事業者や大企業での利用を想定したFortiGate 5000シリーズなのだ。最大14枚のブレードをシェルフに収容できる。ブレード同士は、外部のネットワーク・ケーブルまたはバックプレーンを経由して接続する。1台の負荷分散装置に複数のウェブサーバをスター型に接続する形態と同じであり、可用性の確保と処理能力の負荷分散が可能になる。

--今後の製品展開を教えて欲しい。

 直近では、P2Pアプリケーションのセキュリティ機能を考えている。具体的には、P2Pのユーザー名情報をアクセス制御に利用するものだ。P2Pアプリケーションは自分自身をサーバや通信相手に伝達するアプリケーションだ。FotriGate上で、P2Pのユーザー名ごとに、アクセスを許可する接続先や、利用可能なP2P機能を定義できるようにする。P2P用のブラックリストとホワイトリストを用意するということだ。

--エンド・ツー・エンドのセキュリティは企業にとって悩みの種だ。

 その通りだ。セキュリティ・ポリシーで禁じている企業もあるくらいだ。例えば、社内のPCからインターネット上の資源に対してSSLコネクションを張られてしまったら、社外から入り込むウイルスを防止できなくなるし、機密情報が社外に漏れる恐れもある。暗号化されたら企業は手を出せなくなるのだ。アプリケーション・プロキシを使って検閲するやり方もあるが、現在、よりよい対策方法をリサーチ中だ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]