小規模、大規模向けはどうなる? UTMの「これから」UTM――急成長する中堅企業の「門番」(2/3 ページ)

» 2006年04月14日 07時31分 公開
[野々下幸治,ITmedia]

今後ニーズの高まるキーテクノロジーを予想

 UTMには統合的なセキュリティ対策機能が集約されているが、今後はさらなる小規模、大規模企業への対応、新たな脅威を防ぐための機能が要求されるだろう。以下に、一部のベンダーが先行してサポートする機能、あるいは今後サポートが予想される機能をまとめてみた。

◆VLAN

 ルータやスイッチのVLAN(仮想LAN)サポートが一般的になるにつれ、UTMアプライアンスにおいてもVLANサポートが標準的になり、DMZネットワーク(非武装ネットワーク)の数が物理インタフェースに制限されることはなくなるだろう(図2)。

図2 図2●UTMでサポートするVLAN機能によってネットワークのセグメントを分割する構成。ウイルススキャンやIPSなどの機能を使って、各セグメント間での保護が可能

◆PPPoE接続のサポート

 特に小規模企業においては、NTTフレッツサービスによるインターネット接続が主流になっている。このため、UTMアプライアンスでのPPPoEクライアント機能が求められる。また、NTTフレッツ・グループアクセスをサポートするためには、PPPoEのUnnumbered(*1)とマルチセッションの機能が必要とされる。これはNTT独自のサービスのため、サポートするメーカーは少ないと思われる。グループアクセスを利用する場合は、それらの機能が提供されているかを確認しておく必要がある。

◆QoSのサポート

 IP電話などが必要なサービスにネットワーク帯域を保証したり、P2Pなどの要求度が高くないサービスを制限するために、QoS(サービス品質)の機能がUTMアプライアンスにも求められる。

写真3 シスコシステムズの「ASA 5500シリーズ」は、QoS機能をサポートしており、音声や映像などの品質を維持したまま、安定した通信環境を提供できるUTMアプライアンスだ

◆2層レベルでの透過モード

 一部のUTMアプライアンスにおいてはレイヤ2での透過モード、いわゆるブリッジモードでのUTM機能を提供している。既存のファイアウォールを生かしたまま利用する場合に有効な機能だ。

◆URLブロック(コンテンツフィルタ)

 従業員が危険なサイトや業務上不要なサイトへ訪れないようにするために、URLのブロッキングやコンテンツフィルタリングの機能が求められる。この機能については、すでにほとんどのUTMアプライアンスがサポートしている。

◆アンチスパム機能

 スパムメールのフィルタリング機能も、一部のUTMアプライアンスではサポートされている。ただし、海外ベンダーの多いUTMでは現時点で日本語表記のスパムに未対応など限定的な機能であるため、導入時には注意したい。

◆スパイウェアへの対応

 スパイウェアがダウンロードされる時点で、その通過をゲートウェイレベルでブロックする機能や、クライアントに潜むスパイウェアが外部と通信する際にパケットを検知し、これらをゲートウェイレベルで防御できる機能が必要となるだろう。

◆新しいプロトコルにおけるアンチウイルス機能のサポート

 現在の主なアンチウイルスへの対応プロトコルは、メール、Web、FTPなどであるが、今後はIM(インスタントメッセージング)やP2Pといった新しいプロトコルへのアンチウイルス機能が求められる(画面1)。

 特にIMについては企業内での利用も進み、その脅威も増しているため、早急なサポートを期待したい。

画面1 画面1●P2PとIMのセキュリティ対策機能(FortiOS 3.0の場合)。P2Pの国内向けの仕様として、現在問題になっているWinnyトラフィックの帯域制御や遮断が行え、Antinny対策にも有効。ISSのUTMアプライアンスも同様の機能をサポートしている。IMセキュリティ対策としては、IM間で送信されるファイルのウイルススキャンを行い、感染時に隔離・駆除できる

◆SSL VPNのサポート

 多くのUTMアプライアンスがIPsec VPNをサポートしているが、今後はクライアントのVPN機能として、SSL VPN(*2)機能がサポートされるようになるだろう。現在、ウォッチガード・テクノロジーズ、シスコシステムズ、セキュアコンピューティング、フォーティネットなどのベンダーが、UTMの一機能としてSSL VPNをサポートしている。

◆フォレンジックス対応による、署名でのログの改ざん防止

 ログの転送手段として、Syslogによる転送をサポートしているUTMアプライアンスが多い。フォレンジックス(*3)などの対応を目的としたセキュアなログ転送を実現するため、例えばログに対する署名をサポートすれば、改ざんを防げるようになる。これは、特にキャリアサービスで必須の機能となるだろう。


*1 「アンナンバード」と読む。ネットワーク間をルータで接続するときに、ルータのWAN側ポートにIPアドレスを割り当てずに運用する方法。対向の2台のルータを1台であるかのように見せかけることが可能。NTTが提供する常時接続サービスなどで、複数のIPアドレスを割り当てる場合にunnumberedに対応したルータが必要となる。


*2 WWWの暗号化などで標準的に用いられるSSL(Secure Socket Layer)でVPNを構築する技術。主要なWebブラウザやメールソフトはSSLをサポートするため、クライアント側に特別な環境を必要としないメリットがある。


*3 セキュリティインシデントが発生した際、発生後の情報収集や分析、被害状況の再現などを行い、裁判などでの証拠として利用したり同様の問題を回避するための技術や作業。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ