大変人気の高かったScreenOSのセキュリティゲートウェイ製品は、販売終了になってしまっている。このため、「同じようにリーズナブルな価格で、同じような使い勝手の製品はないのか」と悩む人が増えている。だが、正解は意外なところにあった。
ScreenOSベースのセキュリティゲートウェイ製品群は、日本で広く使われてきた。特にSSG5は人気の非常に高い機種だ。だが、ScreenOSに基づく製品は全て販売終了となっていて、機能強化が行われない状態になってしまっている。これは、セキュリティ製品として大きな問題だ。さらに、例えばSSG5では、2020年1月にサポート期限が来てしまう。「次にどの製品へ移行すればいいのか」と悩んでいる人は多いはずだ。
「ScreenOS難民」ともいえるこうした人々にとっての正解は何だろうか。NetScreenを買収したジュニパーネットワークスには、Juniper SRXというセキュリティルータシリーズがあり、同等の価格ではるかに高いパフォーマンスの製品を手に入れることができる。
「いや、ScreenOSと同じ使い勝手の製品がないから困っているんだ」とお怒りの読者には、「SRXをScreenOSと同じように使える」ということをお伝えしたい。これについては、本記事の後半で説明する。
SSG5を活用してきた読者におすすめするのは、ジュニパーが最近発売した新機種「Juniper SRX300」。同名シリーズの最下位機種で、価格は、ScreenOSでもっとも人気のあった機種であるSSG5とほぼ同額だ。
ほぼ同額でありながら、パフォーマンスは次のように大きく改善する。ファイアウォールスループットはSSG5の160Mbpsに対し、SRX300では1Gbps。VPNスループットは40Mbpsから250Mbpsになる。同時接続セッション数は8000から6万4000へと、8倍になる。
エントリ機種SRX300の仕様 | |
---|---|
ファイアウォール パフォーマンス(最大) | 1Gbps |
IPSパフォーマンス | 100Mbps |
VPNパフォーマンス | 250Mbps |
最大同時セッション数 | 6万4000 |
新規セッション数/秒(持続、TCP、3 ウェイ) | 5000 |
最大セキュリティ ポリシー数 | 1000 |
一方、機能は全般的に優れているといえるが、特にUTMで充実している。
最大の違いは「AppSecure」という次世代ファイアウォールを搭載していること。アプリケーション単位でファイアウォールをきめ細かく、確実に設定・運用できる。
また、「SkyATP」との連携は重要なポイントだ(SRX340と345は対応済み。SRX300と320は2017年以降に対応予定)。SkyATPとはジュニパーが提供しているクラウド型のサンドボックス、つまり新たなマルウェアの検出と対応を支援するサービスだ。これは次のような仕組みとなっている。
まずSRX単体で、既知のマルウェアについては検出して防御できる。だが、最近大きな問題となっているのは、未知のマルウェアだ。SRXでは、既知のマルウェアではないものの、怪しいファイルについて、ジュニパーのSkyATPサービスに自動で通知し、実際に検体を送付する。SkyATPはこの検体を「泳がせて」、振る舞いを即座に解析、マルウェアであることが確認された場合、SRXに対応策を自動実行させることができる。SkyATPはクラウド型のサービスという利点を生かし、セキュリティオペレーションの自動化およびゼロデイ対応を実現している。
SRXのもう1つの大きな特徴は、Junosを搭載していること。ジュニパーの製品は、上位機種から最下位の機種まで、同社が当初は通信事業者向けのルータ用に開発したJunosというOSが使われている。エントリ用のネットワーク製品の価格で、通信事業者によって鍛え抜かれたものと同じ品質の、高機能なソフトウェアが使えることになる。
また、Junosは「シングルリリーストレイン」といって、ソフトウェアバージョンが枝分かれせずに、必ず上位互換を保ったまま進化する。このため、バージョンアップによって、これまでに使えていた機能が突然使えなくなるといったことが起こらない。これが実現できているメーカーは意外に少ない。
Junosはファイアウォールのメーカーには真似することのできない、主要ネットワーク製品メーカーならではの、充実した運用ができるOSだ。しかもそのコマンドラインインターフェースでは、他の主要ネットワーク製品メーカーと異なり、積極的に運用工数を減らせる工夫がなされている。
基本的なコマンド操作方法は、一連のコマンドを連ねたスクリプト、あるいは設定ファイルのようなものをつくり、これをコミット(適用)するという手順だ。文法に誤りがないかどうかを適用前にチェックできる他、投入した設定を撤回したい場合には、「設定ファイルを撤回」といった意味のコマンドを入力するだけで、これができる。
他にも、全製品で共通のOSであることの利点として、さまざまな機能パッチなどが迅速に適用されること、製品間の互換性が明確に確保されることなどが挙げられる。
ScreenOSユーザーには、そのグラフィカルで分かりやすい設定・管理コンソールを気に入っている人が多い。そのため、ScreenOSから他の製品に乗り換えようとしても、考えあぐねてしまうということが起こる。
こうした人々にとっていいニュースがある。本記事の冒頭でも述べたが、SRXでもScreenOSと同じような使い勝手を実現できる。その決め手となるのは「CW4S」というソフトウェアだ。
これはWindows上で動作するアプリケーション。国内のソフトウェア開発会社が、ジュニパーの協力を得て、国内のScreenOSユーザーのために開発した管理ツールだ。
端的にいえば、ScreenOSほぼそのままの操作画面で、SRXに対し、各種の設定や運用の作業が行える。しかもこの設定ツールは無償で提供されている。下記のURLからダウンロード可能だ。
CW4SのダウンロードURL http://cw4s.org/
操作する対象となるSRXがなくとも、一通り操作が体験できるので、ぜひ試していただきたい。
下に、CW4Sがどんなツールなのかを具体的に説明しよう。
CW4Sでは、SRXの機能を全てグラフィカルな画面で設定できるわけではないことに注意する必要がある。だがこれは、SRXの機能が豊富であるため、仕方のない側面がある。一方、ScreenOSを使ってやってきたことと同じことをしたいのであれば、かなり満足のいくものになっている。また、基本的な設定はCW4Sで実行し、より詳しい設定についてはJunosのコマンドラインで行うといった使い分けができる。
CW4Sの操作感についてより詳しくは、こちらの動画をご覧いただきたい。
「CW4Sがいくら便利なものであっても、フリーソフトウェアでサポートを受けられないのなら、職場で安心して使えないではないか」。その通りだ。
そこでジュニパー製品の主要国内ディストリビューターであるソフトバンクC&Sでは、SRXを販売するだけでなく、ScreenOSからの移行をトータルで支援、CW4Sについてもサポートを提供している。上記のような動画や説明資料でCW4Sを積極的に紹介しており、CW4Sに関する質問に対応できるのは、現時点ではソフトバンクC&Sのみ。さらに、Junosコマンドラインの利用に関しても、相談に乗っている。
ScreenOSユーザーの悩みはよく分かる。だが、利用してきた機種と同額で、より高機能かつ高パフォーマンスのSRXが手に入る。そして、ScreenOSと同様な使い勝手で利用できる。このことはぜひ、知っていただきたい。
サポート終了が近づいてあわてることのないように、次の一歩を踏み出していただきたい。ソフトバンクC&Sでは、こうしたユーザーを全力でサポートしている。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク コマース&サービス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年1月27日