標的型攻撃やゼロデイ攻撃など、企業を狙うサイバー攻撃はますます高度化し、一方でリッチなWebアプリケーションや動画によって、ネットワークに掛かる負荷は増大し続けている。そんな中、企業の「盾」となる次世代ファイアウォールには、トラフィックの内容を確実にチェックしながら、ネットワークパフォーマンスに影響を与えないことが求められている。そんな矛盾する要件を両立させる、デルソニックウォールの次世代ファイアウォールの特徴を紹介する。
2013年8月にモデルチェンジを行ったデルソニックウォールの次世代ファイアウォール「NSAシリーズ Gen6」をご存じだろうか。その特徴を紹介し、なぜ「次世代」ファイアウォールと呼べるのかをひもといていく。
標的型攻撃やゼロデイ攻撃など、企業を狙うサイバー攻撃はますます高度化している。従来型の単純なファイアウォールやシグネチャに基づく対策だけでは十分とはいえないのが現状だ。そこで多くのベンダーが、サンドボックスを活用した未知の脅威の検出や、ワールドワイドで収集したインテリジェンスの活用など、新しい基軸を打ち出している。
トラフィックを可視化し、今、ネットワークでどんなアプリケーションが使われているかを把握できる「次世代ファイアウォール」もその1つだ。といっても、性能や機能、サイジングなど、一見しただけではその差が分かりにくいのが実情だ。そこで、まずは「性能」という面から、デルソニックウォールと他の次世代ファイアウォール製品とを比較してみよう。
デルソニックウォールのNSAシリーズは、ファイアウオール、VPN、ゲートウエイアンチウイルス、アンチスパイウエア、IPS、コンテンツフィルタリングといった機能を1つの筐体に統合したセキュリティアプライアンスだ。加えて、誰がどのアプリケーションを使用しているかを判別し、アプリケーションの可視化とコントロールを実現することもできる。
テストでは、HTTPで擬似的なユーザートラフィックを生成して負荷を与え、「アンチウイルス」「侵入防御」「URLフィルタリング」など、NSAシリーズが備えるセキュリティ機能を全て有効にした状態で処理能力を検証した。まずはその結果をご覧いただきたい。
アプリケーショントランザクションレートのテストでは、毎秒60トランザクションからスタートし、20トランザクションずつ増加、最大で毎秒400トランザクションの負荷を与えたときにどの程度のレスポンスが返せたかを検証した。
デルソニックウォールの「NSA 5600」での結果は、パケットの検査を行いながら、インプット性能とアウトプット性能がほぼ同じ線形で右肩上がりとなっている。たとえ負荷が高まっていっても、安定して処理を継続できていることの証明だ。
対して他社製品では、一見して、グラフががたついていることが見て取れる。負荷を与えてインプットの赤いグラフが右肩上がりとなっていても、アウトプットの青いグラフは上がっていかない。これは“処理が滞っているサイン”だ。しばらくするとアウトプットもグッと上がるのだが、実はこれは「負荷が高くなったため、検査を行わない」モードに移行しているからだという。
まとめると、NSAシリーズは高負荷時でもトランザクションを遅延なく処理できることが分かる。もし負荷が処理能力を超えた場合は多少の遅延やエラーが記録されるが、安定したトラフィックを維持できるのがポイントだ。詳細は下記の検証記事を参照してほしい。
この結果が示す通り、デルソニックウォールの次世代ファイアウォール製品、NSAシリーズ Gen 6の特徴は何といっても「速さ」だ。そして、同社が独自に開発した特許技術の「RDFPI」(Reassembly-Free Deep Packet Inspection)こそが、速さを担保するキーテクノロジーになっている。
RFDPIは、直訳すると「パケットを再構築することなく検査できる技術」。TCP/IPでは、ファイルを送るとき、細かなパケットに分割してネットワーク上に流す。パケットの中身を見て安全かどうかを判断するには、通信を意味のある「かたまり」になるまで蓄積する必要があった。このため、これまでの製品ではパケットがある程度バッファーにたまるまでその通信が安全かどうか分からず、結果として遅延が発生していた。
しかし、ユーザーは遅延に敏感だ。特に、リアルタイム性の求められるアプリケーションでは致命的な問題となる。このため、「複数のセキュリティ機能を統合して使える」はずのUTMなのに、パケットを深く検査することなく、単に「ちょっと速いファイアウォール」としてしか使っていなかった企業も多かったという。
これに対しRFDPIは、「パケットを蓄積することなく」、通信が安全かどうかをチェックする機構だ。次々とやってくるパケットをシグネチャと一致しているかどうか、素早く判断する。パケットの再構築まで待つことなく、悪意ある通信と同じ傾向を持っていたと判断した時点でセッションを“捨て”るのだ。
このアーキテクチャでは、バッファにパケットデータを蓄積する必要がないので、従来製品に比べ高速化が図れる。
“アーキテクチャはシンプルに”――これがデルソニックウォールの次世代ファイアウォールのポイントでもある。高速かつシンプルであるがゆえに、高負荷時でも複数のセキュリティ機能が有効に活用できる。巧妙なマルウェアが増加する中、アンチウイルスだけでなく、IPSやフィルタリングなどを組み合わせた「多層防御」はいまや必須だ。
富田氏は「過去、UTMを“ちょっと早いファイアウォール”としてしか使っていないお客様や、アンチウイルス機能しかオンにしていないお客様は多かった。脆弱性を突く攻撃を止めるためには、むしろIPSが必要なお客様が多いのでは」と語る。パフォーマンスを気にすることなく、複数のセキュリティ対策を「オン」にできることは、企業にとってますます重要になるだろう。
時には攻撃者が、セキュリティ機構のチェックから逃れるため、パケットを入れ替えたり、無関係なブロックを挟み込むといったテクニックを駆使してくることもある。だが、そうした手法は少数派。確実にマルウェアを検出できることの裏付けとして、セキュリティ製品のテストを行う研究機関、NSS Labsのテストでは、デルソニックウォールの次世代ファイアウォールは良好な結果を残している。例えば、NSAシリーズと同じアーキテクチャを持つハイエンド製品「E10800」は、「次世代ファイアウォール」部門、ならびに「IPS(侵入検知)」部門にで“Recommended(推奨)”という高い評価を得ている。
高負荷時でもデルソニックウォールの次世代ファイアウォールのパフォーマンスが落ちない理由は、RFDPIの他にもある。もう1つのキーとなるアーキテクチャは「マルチコア」だ。
デルソニックウォールの次世代ファイアウォール製品は、パケットのスキャン処理に特化したマルチコアのMIPS64プロセッサを搭載している。中規模向けのNSAシリーズでは4〜24、ハイエンドのE10800では96ものコアを搭載し、処理の負荷を分散することで、パフォーマンスを確保しているのだ。
これは、近年増加している暗号化通信の検査という意味からも有効だ。最近ではセキュリティを担保するために、多くのWebサイトがHTTPSを使った暗号化通信を利用するようになった。このSSLトラフィックをスキャンできなければ、次世代ファイアウォールを利用する意味が半減してしまう。
この点、デルソニックウォールの製品では、SSLトラフィックについても高速に検査が行える。暗号化されたパケットを一度解いて中身を確認し、再度暗号化するという、リソースを必要とする処理を、マルチコア、かつシンプルなアーキテクチャによって高速に処理できるのだ。
デルソニックウォール セールスエンジニア マネージャーの富田隆一氏は、シンプルなアーキテクチャが導き出す機器自体の「速さ」のほかに、もう1つ、重要な点を指摘する。それが「対応の速さ」だ。
攻撃の巧妙化、高度化が進む中、「脆弱性を突く攻撃を止める」ためには、各方面からの情報収集と連携が欠かせない。例えば、アプリケーションやOSのゼロデイ攻撃を止めるためには、いかにスピーディに情報を収集し、迅速にシグネチャを作って配布できるかが鍵となる。シグネチャ配布が遅れれば遅れるほど、被害は拡大してしまうからだ。
この点、デルソニックウォール製品におけるIPSのシグネチャ更新は素早いと富田氏は説明する。例えば、2013年に報告されたマイクロソフトのアプリケーションの脆弱性、Internet Explorerのゼロデイ攻撃については、マイクロソフトが発表してからデルソニックウォールは24時間以内にシグネチャーを配信しました。
技術の下支えをしているのは、デルソニックウォールが展開している「GRIDネットワーク」だ。世界約70万カ所にセンサーを設置して24時間365日体制でインターネットを監視し、素早く脅威を検知、シグネチャ配信を行っている。ネットワークに大きな脅威が発生した場合、アラートメールも配信している。「今、ネットワーク全体でどんな攻撃が盛んなのか」「どこで攻撃が発生しているのか」といった、企業単体では把握が困難な「インテリジェント」を手に入れることができる。
もう1つ管理者にとって重要なのは「可視化」だ。万が一情報が漏えいした疑いがあったとき、その調査に時間がかかればかかるほど影響は拡大してしまう。
デルソニックウォールの次世代ファイアウォールは、単にアプリケーションを識別するだけでなく、「アナライザ機能」によってその状況をグラフィカルに、分かりやすく表示できるようになっている。
例えば、普段からこの機能を活用して平常時のトラフィック量を把握しておけば、通信量が突出して増えるといった異常事態が生じたとき、それがどこからの通信か、内側からなのか外からなのかをドリルダウンで簡単に調査できる。
また、標準的なsyslog形式でのログも出力可能だ。社内にsyslog解析ツールがあれば使い慣れたツールで監視、調査することもできる。
ネットワーク機器を導入するには、ある程度「先」を見据えなくてはならない。ネットワークを通じて交換される情報は、これまでのテキスト中心のものから動画、音声へと、時代を経るたびに大容量化してきた。これはそのまま、ゲートウェイ機器への高負荷につながる。
将来のネットワークを見据えて失敗しない機器選定のポイントの1つが、「高負荷でも安定して、安心して使える」ことだ。「シンプル」「高速」という思想によってこうしたニーズに応えるデルソニックウォールの製品は、その意味からも注目に値するだろう。
2014年はSNS、モバイルデバイスが標的となる――デル ソニックウォールの脅威調査チームが2013年のセキュリティ脅威に関するリポートをまとめた。
※ダウンロードにはTechTargetジャパンへの会員登録が必要です
Copyright © ITmedia, Inc. All Rights Reserved.
提供:デル株式会社 デルソニックウォール
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2014年3月30日
2014年はSNS、モバイルデバイスが標的となる――デル ソニックウォールの脅威調査チームが2013年のセキュリティ脅威に関するリポートをまとめた。