「カタログ上のスループット」から脱却する新指標も提案
将来的には1Tbpsも――チェック・ポイントが新製品
2011/08/23
チェック・ポイント・ソフトウェア・テクノロジーズは8月23日、データセンターや通信事業者など大規模なネットワーク環境向けのセキュリティ製品「Check Point 21400」と「Check Point 61000」を発表した。従来製品のスループットを一けた上回る性能を実現するほか、専用OSの新バージョン「Check Point R75.20」の搭載により、アプリケーション制御とURLフィルタリングの統合などを図っていることが特徴だ。
Check Pointアプライアンスは、ファイアウォールやVPN、IPS、アプリケーション制御やURLフィルタリング、DLP(情報漏えい防止)といった複数のセキュリティ機能をゲートウェイで提供する。専用OSで実装している「Software Blade」というアーキテクチャにより、必要な機能だけをオンにして利用できることがメリットだ。
Check Point 21400は2Uサイズのアプライアンスで、1Gbpsは最大37ポート、10GbEは最大12ポート搭載できる。HDDや電源、ファンといった各コンポーネントがホットスワップに対応しているほか、リモートから機器の起動や再起動、診断などを行える「LOM(Out-of-Band Management」を搭載し、メンテナンス性を高めている。
リリース当初の性能は、ファイアウォールのスループットが50Gbps、IPSは21Gbpsだ。だが、2012年に提供予定の「セキュリティ・アクセラレーション・カード」を追加することで、ファイアウォールのスループットを最大100Gbpsにまで高めることができるという。このセキュリティ・アクセラレーション・カードは、チェック・ポイントのアクセラレーション技術「SecureXL」をハードウェアに実装するもので、ネットワーク遅延を抑える役割も果たすという。
もう1つのCheck Point 61000はシャーシ型のアプライアンスで、最大12個のモジュールを搭載できる。出荷当初の性能は、ファイアウォールのスループットが最大200Gbps。Check Point 21400同様、拡張によって将来的には1Tbpsのスループットを実現できるアーキテクチャとなっているという。
両製品とも、機能を拡張した専用OS、Check Point R75.20を搭載している。R75.20では、URLフィルタリング機能を強化し、クラウドを介したデータベースのアップデートが可能になったほか、アプリケーション制御機能との統合、SSL暗号化されたトラフィックに対する検査などを実現した。価格は、Check Point 21400が1840万円、Check Point 61000は個別問い合わせ。
なお同社は、2製品の発表に合わせ、セキュリティアプライアンスの性能を示す独自の指標「SecurityPower Unit(SPU)」も発表した。
これまでセキュリティ製品の性能を測る指標としては、スループットや同時セッション数などが用いられることが多かった。だがその数字が一人歩きし、「ラージパケット環境で、ファイアウォールのルールは1つだけ、ログは取得しない」といった非現実的な環境で測定したカタログ値と、実測値との間に乖離が生じているという。
SPUはこうした反省を踏まえて提案する評価指標で、顧客が現実の環境に即してネットワークセキュリティ設計を行えるようにするという。具体的には、HTTPやHTTPSなどが混在するネットワークにおいて100種類のセキュリティポリシーを実施し、かつアドレス変換やログの記録も行うといった環境における性能を数値化する。同社は近く、SPUを計測するツールを公開する予定だ。なお、SPUベースでいうとCheck Point 21400の性能は2900SPU、Check Point 61000は1万4600SPU。これに対し従来のハイエンド機種である「Power-1 1100」は1222SPUという。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。