VoIP、IM、P2P……NetScreenがIPSec VPNゲートウェイの対応アプリを拡大

ジュニパーネットワークスは、ファイアウォール／IPSec VPNゲートウェイ「NetScreenシリーズ」の専用OSをバージョンアップし、対応アプリの拡大を図る。

[高橋睦美，ITmedia]

　ジュニパーネットワークスは10月13日、ファイアウォール／IPSec VPNゲートウェイ製品「NetScreenシリーズ」の専用OS「NetScreen Screen OS」のバージョンアップを発表した。

　この日リリースされたScreen OS 5.1の主な強化点は、対応アプリケーションの拡大だ。VoIPやインスタントメッセンジャー（IM）といったアプリケーションに加え、RPCやNetBIOS/SMBといったWindows特有のプロトコルをサポートした。

　これを可能にしているのが、Screen OS 5.0から搭載された「ディープインスペクション」技術の強化だ。パケット単位ではなくアプリケーションレベルでトラフィックの内容を把握し、許可すべき通信とそうでない通信、優先すべき通信とそうでない通信とを判別、制御できるという。

　大手企業での導入が目立つVoIPトラフィック向けのセキュリティ機能に関しては、NAT越しのSIPやH.323通信をサポートし、ファイアウォール越しのVoIP通信が可能になった。プロトコルのサポートに際しては、SIPについてはCiscoやNokia、NTTなど20社以上のベンダーと、またH.323については同社がパートナーシップを結んでいるAvayaとの間で相互運用性を確認したという。

　さらに、VoIP通信の暗号化機能やVoIPに対するDoS攻撃への防御機能を搭載した。

　「あまり意識されていないが、インターネット上を生で流れるVoIPトラフィックには盗聴される危険性がある。今後はVoIPのVPN化が必要になるだろう。また、VoIP通信ではほんの少しでもトラフィックが切断されると会話が成り立たなくなるため、DoS攻撃を仕掛けやすいといえる」（同社技術本部SEリーダー セキュリティプロダクト担当の小澤嘉尚氏）。なんとなく通話の品質が悪いと感じていたが、実はDoS攻撃を仕掛けられていた、などという可能性も否定できないという。

ジュニパーネットワークスの小澤嘉尚氏

　また、最近では企業内個人による利用の目立つIMやP2P型ファイル共有ソフトについても、トラフィックの把握やブロックが行えるようになった。

　「電子メールならば管理者がある程度動向を把握し、コントロールすることができるが、IMやP2Pではそれが困難だった」（小澤氏）。これに対しScreenOS 5.1では、単純に利用を禁止する代わりに、IM経由のチャットは許可しながらファイル共有や送信はブロックするといった具合に、柔軟な制御が可能になるという。これは、IM経由でのワーム侵入を防ぐとともに、内部からの情報漏洩防止にもつながる。ただし、WinnyやSoftEtherといった日本特有のアプリケーションについては未対応だ。「米国本社にリクエストを投げている段階」という。

　他にも、マルチキャスト転送のサポートやURLに基づくWebフィルタリング機能の統合といった機能強化が図られている。中でも、BlasterのターゲットともなったRPCをはじめ、Windows特有のプロトコルをサポートすることにより、攻撃のリスクの高いWindowsにより深いセキュリティを提供できるとした。

　Screen OS 5.1は10月末より提供が開始される予定だ。サポート契約を結んでいる顧客には、無償でアップグレードが提供されるが、Webフィルタリング機能については別途ライセンス契約が必要になる。