Tweet

爆発的に進化したアプリケーションを制御するファイアウォール

アプリのサブコンポーネントまで制御、マカフィー

2010/06/14

　マカフィーは近々、アプリケーションのきめ細かなコントロールを可能にする企業向けファイアウォール製品、「McAfee Firewall Enterprise」の新バージョンをリリースする予定だ。米マカフィーのネットワークディフェンスビジネス担当シニアバイスプレジデント兼ゼネラルマネジャー、リース・ジョンソン氏に、その特徴を聞いた。

　企業ゲートウェイにDMZを設け、ファイアウォールを設置し、ポート単位で制御して不正なトラフィックをブロックするという方法はネットワークセキュリティの「定番」だ。だが、「この5〜10年でネットワークアプリケーションが爆発的に進化した一方で、ファイアウォールは従来のまま。10年前はIPアドレスやポート番号をアプリケーションにひも付けるやり方で十分だったが、いまではそうとは言えない」とジョンソン氏は述べた。

　McAfee Firewall Enterpriseは、マカフィーが買収したセキュアコンピューティングのファイアウォール製品「Sitewinder」を元にした製品だ。レイヤ3で制御を行う従来型のファイアウォールとは異なり、アプリケーションを識別して制御を行う点が特徴で、同社はこれを「アプリケーションファイアウォール」と表現している。

米マカフィー ネットワークディフェンスビジネス担当シニアバイスプレジデント兼ゼネラルマネジャー リース・ジョンソン氏

　特徴は、約1000種類のアプリケーションを認識し、きめ細かくコントロールできることだ。従来型ファイアウォールでも実装しているディープパケットインスペクションなどの技術に加え、いくつか異なるアプローチを組み合わせることで、アプリケーションおよびユーザーIDに基づく制御を可能にした。

　単にアプリケーションごとに利用を許可／禁止するのではなく、「例えば、Yahoo! MessangerはOKだがファイル共有は禁止したり、Facebookの利用は許可しながらFan Pageの設置は禁止したり、あるいはGoogle Appsの利用は基本的に許可するがカレンダーだけは利用できないようにするといった具合に、アプリケーションの下にあるサブコンポーネント単位で制御が行える」（同氏）。

　ジョンソン氏はさらに、McAfee Firewall Enterpriseに、同社が運営している「Global Threat Intelligence（GTI）」を組み合わせることによって、効果がいっそう高まると述べた。GTIは同社が全世界に展開しているインターネットの観測網で、ファイルとURL、IPアドレスという3つの要素について、それぞれレピュテーションを把握、データベース化している。

　「IPアドレスのレピュテーションは元々アンチスパムの分野で生まれてきたものだし、URLは企業にとって不適切なサイトやマルウェアの感染源となるサイトをポリシーに基づいてコントロールするものだ。またファイルのレピュテーションは、元々アンチウイルス企業が取り組んできた分野。GTIを通じて、これらさまざまなデータベースの情報を適用することで、より強力な防御を提供できる」（同氏）。

　McAfee Firewall Enterpriseには、エントリモデルの「S1004」から、10Gbpsクラスのパフォーマンスを備えたハイエンドモデルの「4150F」まで、8種類のアプライアンスがある。またVMware上で動作する仮想アプライアンス版、リバーベッドのWAN高速化製品「Steelhead」上で動作する仮想アプライアンス版などが用意されている。特に仮想アプライアンス版は、データセンターにおけるサーバ統合の流れに沿うもので、省エネルギー、省スペースにも寄与するという。

　新バージョンは6月中にリリースされる予定で、「しばらく失われていたファイアウォールの元々の意図を復活させる」（同氏）という。