次世代ファイアウォールを再定義するチェック・ポイント
2001年から「VPN-1/FireWall-1」で既に「Next Generation」をうたっていたチェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)。同社でセキュリティ・コンサルティング本部 本部長を務める卯城大士氏は、「現在、再び次世代のファイアウォールの必要性が真剣に問われている」と話す。
同氏は近年の代表的な脅威として、受動的な攻撃の傾向があると指摘。攻撃者はOSやアプリケーションの脆弱性を研究し、応答の通信に細工したウェブサイトなどを用意しているという。
そのウェブサイトへ誘導されたクライアントは、アクセスしたサーバからのレスポンスの通信で脆弱性を悪用され、PCにキーロガーやボットを仕込まれて情報が流出するのだという。
「日用品と化した旧来型ファイアウォールによるポート制御の静的なアクセス制御では防ぎきれない。アプリケーションやプロトコルの内容を精査し、異常な通信や脆弱性を悪用する通信をブロックする動的な能力が必要となる」(卯城氏)
チェック・ポイントでは、求められるセキュリティゲートウェイの要件として、ファイアウォールと侵入防御が集約され、しかもIPSの機能が同梱ではなくしっかりと実装されていること、トラフィック検査およびブロックが密接に動作すること、または脅威の変化に対し防御性能を速やかにアップデートできることを挙げる。
さらには、複数のセキュリティポイントを同じレベルで簡単、正確に管理できる統合管理や、運用がストレスにならないようセキュリティのパフォーマンスなども重要だという。
同社が推す製品は、中小中堅企業向けの「UTM-1」シリーズと、大企業およびサービスプロバイダ向けの「Power-1」シリーズの統合アプライアンスだ。
UTM-1は、ファイアウォール、VPN、侵入防御、アンチウイルス、ウェブフィルタリングといったネットワーク保護に必要なすべての機能を提供し、80万円以下のエントリーモデルも用意している。400Mbps〜4Gbps以上のパフォーマンスと最高3年間のトータルセキュリティパッケージが売りだ。
また、Power-1は、インテルアーキテクチャのマルチコアプロセッサに対応し、各プロセッサ間でインテリジェントなロードシェアを行うことで、最大14Gbpsのゲートウェイスループットと、最大6.1の侵入防御スループットを誇る。
チェック・ポイントのユニーク性のひとつに、「SmartDefense」というサブスクリプションサービスがある。最新防御機能を提供し、リリースされる機能の迅速なアップデートと、脅威の性質や保護機能の設定方法などをアドバイザリする。米国と本社のあるイスラエル、さらにベラルーシのセキュリティ研究者チームが24時間体制で対応しているという。