「VoIPセキュリティで第2の革命を起こす」、チェック・ポイント
2005/5/19
チェック・ポイント・ソフトウェア・テクノロジーズは5月16日、同社セキュリティ製品の統一プラットフォームとなる「NGXプラットフォーム」を発表した。NGXは同社の主力製品であるファイアウォール/VPNアプライアンス「VPN-1」や、内部セキュリティ製品「InterSpect」、Webセキュリティ製品「Connectra」など21製品の機能を拡張する。
チェック・ポイントでは2003年からネットワーク境界部のセキュリティに加え、Webセキュリティ、内部セキュリティの強化に注力してきたが、フェーズ2として3つのレイヤを統合する戦略を打ち出した。
チェック・ポイントのVPNソリューションズ・ディレクター ダン・サレル氏 |
同社のセキュリティ製品がNGXプラットフォーム上で統合されることにより、単一の管理コンソールからすべての製品を管理することが可能になった。チェック・ポイントのVPNソリューションズ・ディレクター ダン・サレル(Dan Sarel)氏は、「すべてがよりシンプルになり、なおかつより高いセキュリティを確保できる。シングルポイントソリューションでインフラを構成した場合に比べ、導入コストと運用コストを大幅に削減することが可能なった」と語る。
NGXプラットフォームに移行することで、セキュリティ管理者はWebベースの管理ポータル「SmartPortal」を利用して、ネットワーク上のどこからでもセキュリティ機器の管理や監視が可能になる。万が一大規模な攻撃を受けた場合、複数の管理者が協力して対応できる。
既存のセキュリティ製品の機能も向上している。Application Intelligence機能の強化によりDCE RPC、DNS、P2Pなどさまざまなアプリケーションに対して、IDSやIPS製品を導入することなく保護を提供できるようになった。また、Web Intelligence機能の強化により、LDAPインジェクションやディレクトリ・リスティングなどに柔軟に対応可能。サレル氏は、「このようなWebアプリケーションへの攻撃に対処する製品としてWebアプリケーションファイアウォール(WAF)があるが、既存のWAFは管理が複雑で運用が難しい。NGXプラットフォームに移行することで、WAFは不要になる」と話した。
VPN機能も強化した。ダイナミック・ルーティング機能により、複雑になる複数のVPNトンネルを少ないリソースで管理可能となった。VPNトンネルの管理機能も簡単になり、管理画面に表示されたトンネルを右クリックすることで、そのトンネル内でどのようなプロトコルが、どのユーザーによって、どのくらいの割合で利用されているのかをリアルタイムで把握できる。
VPNそのものはすでに“枯れた”技術として確立されている。チェック・ポイントのセキュリティ技術本部長 卯城大士は、「VPNでつなぐことは、すでに当たり前。これからはつながった後に何が必要となるのかが重要。ある程度の規模のVPNを必要とする企業は、次のステップとして管理、耐障害性という問題に行き着く。NGXは、このステージでのアドバンテージを提供するものだ」とコメントした。
NGXへのアップグレードは基本的には無償。まずはCD-ROMで配布し、後にWebサイトからのダウンロードも開始する予定だ。
国内でのNGXの展開として卯城氏は、「SIerの協力などを得て、新たな顧客を開拓していきたい。例えば、VoIPを導入する企業が増えているが、VoIPを導入してからセキュリティを考えるのではなく、導入時にセキュリティをセットとして提案したい」と語る。「利便性とセキュリティは両立しないといわれているが、NGXはその“常識”の壁を破壊できると思う。例えば、P2Pアプリケーションなどの導入によって、ネットワークはどんどん便利なものになっていく。『NGXプラットフォーム上では、さまざまなアプリケーションを使っても、安全にネットワークにつなげます』というメッセージを発信していきたい」。
NGXプラットフォームの戦略について、ダン・サレル氏にインタビューを行った。
――NGXプラットフォームへの移行によって、どのようなメリットが得られるのか?
サレル氏 セキュリティに対する脅威は、日々複雑化・多様化しており、新たな攻撃手法が発表されるペースも速くなっている。NGXプラットフォームは、そのような多くの脅威に対して確実に対応可能になるため、できる限り速やかにアップグレードを実施して欲しい。
NGXプラットフォームは、チェック・ポイントが展開しているセキュリティ製品のほとんどでアップグレードが可能だ。一部の製品ではアップグレードできないものの、NGXプラットフォームからの統合管理が可能だ。
――NGXプラットフォーム戦略は、境界部、内部、Webというすべてのセキュリティ製品をチェック・ポイントの製品で統一するものなのか?
サレル氏 われわれは、統一がユーザーにとって一番有益であると判断した。単一のアーキテクチャによる統一で、単一の管理が可能となる。よって、セキュリティの管理コストを削減できる。
シスコやジュニパーといったベンダは、ネットワークベンダとしては優れた企業だが、セキュリティベンダではない。チェック・ポイントはセキュリティにフォーカスした専業ベンダだ。
――NGXプラットフォームのトピックとして、VoIPへのセキュリティ強化が挙げられている。VoIPへのセキュリティの脅威とはどのようなものがあるのか?
サレル氏 導入方法にもよるが、伝統的な電話回線に比べて、VoIPはインターネットにつながっているためリスクが高い。それゆえ、かつてVoIPを導入しようとする企業は、通常のデータネットワークとVoIPのネットワークを分けて構築していた。それは、VoIPへの保護が十分にできないと判断していたからだ。現在の企業のニーズは、データとVoIPのネットワークを統合したいというものだ。そのニーズへの答えとして、NGXプラットフォームでのVoIP対応の強化がある。
VoIPへの具体的な攻撃だが、まず代表的なものにVoIPサーバへのDoS攻撃が挙げられる。これは極めて攻撃されやすい。また、VoIPサービスを提供しているISPへの過剰請求なども発生している。盗聴に関しては、VPNの機能強化で対応している。
VoIPの課題として異なるプロトコルの問題がある。NGXの前のバージョンであるNGプラットフォームでSIPとH.323に対応していたが、NGXでは加えてMGCP、Cisco SCCP(Skinny)など幅広く対応した唯一の製品となった。われわれはファイアウォールによって革命を起こしたが、VoIPにおいて第2の革命を起こせるはずだ。
――IPv6に関する機能拡張もされたと聞くが?
サレル氏 IPv6については、多くの日本企業の協力を得ている。それは、日本や韓国の市場を念頭に入れているからだ。具体的にはIPv6のクラスタリングをサポートした。また、IPv6の新しいバージョンについても対応をしているが、今回の発表では見送った。一度に多くのことを発表してトピックが埋もれてしまうのを避けたかったからだ。
IPv6だけでなく、われわれはさまざまなチャレンジを続けている。数カ月後には、NGXのマイナーバージョンアップとして「新しい驚き」を提供できると思う。
(@IT 岡田大助)
[関連リンク]
チェック・ポイントの発表資料
[関連記事]
チェック・ポイントが方針を転換してリリースする製品とは? (@ITNews)
チェック・ポイントに聞く、内部セキュリティ対策が必要な訳 (@ITNews)
ネットワーク内部のセキュリティに照準、チェック・ポイント (@ITNews)
チェック・ポイントがシスコ、ネットスクリーンを評価しない理由 (@ITNews)
Webセキュリティに必要な第3の技術、チェック・ポイント (@ITNews)
情報をお寄せください:
最新記事
|
|