 |
|
従来型のセキュリティ製品では、ITインフラの進化に見合うパフォーマンスを提供できなくなりつつある。フォーティネットの複合脅威セキュリティアプライアンス「FortiGate-1240B」は、文字通り「ひとケタ」違うスループット性能を備え、仮想化をはじめとする多様な環境に導入可能な新製品だ。
インフラの進化による高速セキュリティの必然性 |
||
 |
||
現在、セキュリティ対策をまったく何もしていないという企業はほとんどないだろう。ファイアウォールやアンチウイルスをはじめとするセキュリティ対策は、マルウェアやその引き金となるスパムの侵入を防ぎ、内部からの情報漏えいや不適切なネットワーク使用を防止するために必須のものだ。
しかし、従来型のセキュリティ製品では、ITインフラの進化に見合うパフォーマンスを提供できなくなりつつある。クライアントPCの性能は年々向上しているうえ、企業とインターネットを結ぶ回線はますます太くなった。この結果、動画や音声といった帯域を消費するアプリケーションが広く利用され、日常的に重たいファイルがやり取りされるようになっている。こうした環境において、パフォーマンスに悪影響を与えることなく実装できるセキュリティが求められているのだ。
その上、別の観点からも、高速性を損なわないセキュリティ対策が求められている。一例として、新型インフルエンザの流行を背景に高まるパンデミック対策が挙げられるだろう。この結果、高速かつ安全なリモートアクセスに対するニーズが高まっている。もう1つ企業にとって忘れてならないのが、情報漏えいや内部犯行の防止だ。何らかの手段で増加し続ける社内のトラフィックを精査し、不正行為を抑止したいと考える企業は多い。また、Conficker(コンフィッカー)のようなネットワーク内部での拡大を試みるワームの被害を最小化するため、セキュリティゾーンをより詳細に分割したいというニーズも高まっている。
こうなると、数年前のアーキテクチャに基づく「ギガビットクラス」のセキュリティ製品では、内外ともに処理が間に合わなくなってくる。
文字通りひとケタ違う性能を持つ「FortiGate-1240B」 |
||
|
||
このような問題に応えるのが、フォーティネットが提供する複合脅威セキュリティアプライアンス新製品「FortiGate-1240B」だ。FortiGate-1240Bは、さまざまな脅威に総合的に対処するセキュリティアプライアンス「FortiGateシリーズ」の最新機種だ。ファイアウォール、VPN、不正侵入防御(IPS)、アンチウイルス/マルウェア、アンチスパム、Webコンテンツフィルタリングといった包括的なセキュリティ機能に加え、アプリケーション制御やWAN回線の高速化も行える。
FortiGate-1240Bは、これまでフォーティネットが蓄積してきたセキュリティ技術を継承しつつ、格段の高速化を図っていることが特徴で、余裕を持って10ギガビットクラスのネットワークに対応する。ファイアウォールのスループットは最大40Gbps、IPSec VPNは最大16Gbpsを実現するうえ、AMC(Advanced Mezzanine Card)拡張スロットにオプションの4ポートギガビットSFPモジュールを搭載すると、スループット性能はファイアウォールで44Gbps、VPNは18.5Gbpsまで高まる。また、アンチウイルスのスループットにも注目したい。ストリームベースではなく、中身まで精査しながら900Mbpsの性能を確保する。IPS機能も1.5Gbpsというスループットだ。同社の既存ラインアップはもちろん、同価格帯の他社製品に比べても、文字通り「ひとケタ」違う性能だ。
もう1つ特筆したいのは、収容ポート数だ。従来のラインアップでは多くて16〜20個程度だったギガビットイーサネットポートを40個搭載しており、複数のギガビットネットワークセグメントにまたがりセキュリティを提供できる。10Gbpsイーサネットポートこそ搭載しないものの、極めて高い性能を実現し、同時に拡張し続けるネットワークインフラに対応できる製品と言える。
専用ASICとマルチコアが引き出す高性能 |
||
|
||
では、FortiGate-1240Bはなぜこれほど高速な処理が可能なのだろうか?
もともとFortiGateシリーズは、独自に開発した専用ASICを用いたハードウェア処理による高いパフォーマンスを特徴としてきた。FortiGate-1240Bは、新世代のASIC「FortiASIC Network Processor NP4」とコンテンツプロセッサ「FortiASIC Content Processor CP6」を搭載している。FortiASIC CP6とマルチコアCPUの連携で複雑な脅威を高速に検出しながら、FortiASIC NP4で10ギガビットクラスのファイアウォールとVPNを実現することができる。
セキュリティ製品には信頼性も求められるが、FortiGate-1240Bは冗長構成が可能なほか、電源コンポーネントの二重化によって、可用性を高める機構を実装している。機器の障害によって、ネットワーク利用に支障が生じない仕組みだ。
また、もう1つの拡張スロットFMC(Fortinet Storage Module)には、HDDではなくSSDを採用しており、格段に故障率が低くなっている。標準で64GBのSSDを1台装備するうえ、FMCは6スロットあるため増設への要求にも十分対応できる。FMCには、WAN最適化機能を支援するキャッシュのほか、ファイアウォールなどのログが保存可能だ。これにログ分析/管理製品「FortiAnalyzer」を組み合わせれば、統合的なセキュリティログ管理システムを構築することもできる。
さらにFortiGate-1240Bでは、最新版のFortiOS 4.0 メンテナンスリリース1を搭載する。この新バージョンは、エンドポイントのセキュリティ制御機能を強化していることが特徴だ。禁止されているアプリケーションを実行しているクライアントを検知し、ネットワークからの隔離に対応した。
既存ファイアウォール十数台の集約も可能に |
||
|
||
では次に、高いパフォーマンスと豊富な機能を誇るFortiGate-1240Bの「使いどころ」を考えてみよう。
最初に思い浮かぶのは、データセンターにすでに導入されている旧世代ファイアウォールの置き換えだろう。1台のFortiGate-1240Bは、数Gbpsクラスのセキュリティ機器十数台を集約できるパフォーマンスを実現する。そのうえ仮想UTM機能によって、既存のネットワークの設計をそのまま引き継ぐことが可能だ。既存の環境はそのままに、運用管理の手間や電源などインフラに要するコストを大きく削減できる。
 |
| 図1 既存のファイアウォールをFortiGate-1240Bで集約 |
一方企業や教育機関、自治体などのネットワークでは、ルータの下にFortiGate-1240Bを導入することによって、パフォーマンスに悪影響を与えることなくファイアウォールやVPN、アンチウイルスなどの対策を実現できる。「コアセキュリティ」としてFortiGateを活用する、従来通りの実装方法だ。
また最近は、地方の拠点に分散していたサーバを集約し、本社データセンターに統合する取り組みを進めている企業が多い。流通業などでは、本部と加盟店をインターネットで結んで情報を共有するケースも増えている。
こんな場合、FortiGate-1240Bはセキュリティ以外の面でも威力を発揮する。WAN最適化機能によって、データセンターにストレスなくアクセスできる環境を実現するのだ。例えば、動画などの重たいデータがデータセンターのファイルサーバに置かれている場合でも、キャッシュやCIFSなどのプロトコル最適化の働きで、遅延の悪影響を抑えてアクセスすることができる。それも、セキュリティを確保しながらだ。
 |
| 図2 WAN最適化機能を活用 |
発展形として、FortiGateの持つ認証/ログ管理とFortiAnalyzerを組み合わせ、統合セキュリティログ管理システムを構築することも可能だ。専用ツールやインテグレーションの手間をかけることなく、ネットワークで何が起こっているかを可視化できる。
 |
| 図3 FortiGate+FortiAnalyzerによる可視化ソリューションの概要 |
FortiGate-1240Bは、Active DirectoryやeDirectoryといったディレクトリ製品と連携する機能を備えている。ユーザーやグループ単位でセキュリティポリシーを設定し、それぞれの業務に応じたアクセス制限やセキュリティを施すことが可能だ。
これにFortiAnalyzerを組み合わせることによって、ユーザーIDやグループIDとひも付けながらログを分析できる。ネットワークで何が起こっているかというマクロな情報に加え、どのユーザーがどんなアプリケーションを利用しているか、どのサイトにアクセスしたかといったミクロな情報を一目で把握し、不審な点があれば詳細な情報にドリルダウンできる。これにより、業務と無関係なサイトへのアクセスがないか、社内でのマルウェア感染などが生じていないかをすぐに把握し、適切な対処につなげることができる。
仮想環境を生かすバーチャルセキュリティサービス |
||
|
||
何より注目したいのは、FortiGate-1240Bの持つ仮想化機能をフルに生かした、仮想セキュリティサービス(Virtual Security Service)ソリューションだ。
データセンターではいま、仮想環境の導入が急ピッチで拡大しているが、そこで浮上している課題は、仮想マシンのセキュリティをどのように確保するかだ。仮想マシン1台が不正アクセスを受けた結果、同一の物理マシンに搭載されたほかの仮想マシンに影響を与えるような事態は避けなくてはならない。かといって、1台ずつセキュリティ製品を導入していては手間が変わらず、何のために仮想化したのか分からなくなってしまう。
FortiGate-1240Bのバーチャルセキュリティサービス機能は、こうした環境に即した、仮想マシン単位のセキュリティ機能を提供する。しかも、「仮想サーバ1にはアンチウイルスだけ」「仮想サーバ2にはIPSとアプリケーション制御」……といった具合に、きめ細かくサービス内容を制御できることが特徴だ。顧客からは、まるで自社専用の複合セキュリティアプライアンスを利用しているような感覚で利用できる。FortiGate-1240Bは標準で10の仮想UTMを利用でき、オプションライセンスの購入で最大25までの仮想UTMを設定することができる。
 |
| 図4 FortiGate-1240Bのバーチャルセキュリティサービス |
ここでやはり効いてくるのが、FortiGate-1240Bの高いパフォーマンスだ。「仮想マシン単位でのセキュリティ」ならばソフトウェアでも実現できるかもしれないが、速度面で実用に耐えないし管理が煩雑だ。これに対しFortiGate-1240Bは、多数の仮想マシンに対して、ストレスなくセキュアな環境を提供する。
さらに、アプリケーション制御やログ収集を組み合わせることによって、仮想マシンの運用全体も支援できる。セキュリティ対策を講じ、ユーザーの利用実態を把握し、それに応じて設定やポリシーを最適化していくというサイクルを回していくことにより、自らの環境にとって最適なセキュリティ対策を実現できるだろう。
|
関連リンク
 |
フォーティネットジャパン |
|
FortiGate-1240B 概要 |
|
FortiAnalyzer 概要 |
提供:フォーティネットジャパン株式会社
アイティメディア営業企画
制作:@IT 編集部
掲載内容有効期限:2010年2月20日
|
関連リンク
関連記事
フォーティネットは2つの機器で“悪いことができない”ネットワークを作る (@IT Special)“超高速”なのに“低価格”なUTMは中堅・中小企業のセキュリティ対策の強い味方(@IT Special)WAN流量を抑えてコスト削減、FortiOS 4.0を発表(@IT NewsInsight)UTMによる統合セキュリティは「日本車と同じ」(@IT NewsInsight)高速ASICで16Gbpsのスループット、フォーティネットの新UTM(@IT NewsInsight)進化するセキュリティ、そのベクトルはどこに向かうのか(@IT Security&Trustフォーラム)意外とウマ合い! 統合セキュリティ機器活用法 連載インデックス(フォーティネットジャパン 菅原継顕氏による連載)