N+I 特集
包括的なセキュリティ対策を実現する「FortiGate」アプライアンス
PC本体とネットワーク、それにつながるサーバや基幹システム……いまやITシステムは企業のすみずみにまで行き渡っている。これらを抜きにして業務を進めることは困難なほどだ。
だがその重要なITシステムは、さまざまな脅威にさらされてもいる。地震や水害といった天災、操作ミスに代表される人的ミスもさることながら、ITシステムならではの脅威として挙げられるのはやはり「ウイルス」「不正侵入」であろう。こうした脅威に適切に対応しなければ、企業のビジネスそのものが脅かされかねない。
とはいえ、ウイルスや不正侵入といったITならではの脅威は、決して「最近になって突然現れた脅威」ではない。インターネットが一般に普及し始める前から指摘されてきた存在だ。にもかかわらず、いまだに十分な対策が実現できているとは言いがたい。それはいったいなぜだろうか?
進化する脅威
単一の対策では不十分
情報処理推進機構(IPA)が2004年に行ったアンケート調査によると、国内の企業・自治体のうち20.9%は少なくとも1回はウイルスに感染していたという。これは図らずも、現状のセキュリティ対策は必ずしも十分ではない、ということを示すものだ。
この調査の中で特に注目したいのは、クライアントPCへのウイルス対策導入状況である。「9割以上のPCに導入している」という回答が73.8%に達したにもかかわらず、5事業者に1社でウイルス感染被害が生じていたことになる。せっかく各クライアントにウイルス対策ソフトを導入しても、定義ファイルの更新などの管理がきちんと行われていなかった結果、被害を招いてしまったわけだ。
この点こそ、現行のセキュリティ対策の限界であろう。中にはまめに更新を行うユーザーもいるだろうが、すべてのユーザーにそれを期待するのは困難だ。セキュリティ対策を実施していくうえで、クライアント側にすべてを委ねることはできないのが現状だ。だからといって管理者が、端末一台一台に付きっきりで面倒を見るなどということは不可能だし、できたとしてもすこぶる非効率だ。
個々のクライアントで対策を取るのが望ましいのはもちろんだ。だが同時に、それが万全ではないという認識を持った上で、管理者の目の届くゲートウェイ側でも対策を講じておくことが望ましい。
脅威そのものにも原因がある。ウイルスや不正アクセスの手法はITシステムの進歩と歩調を合わせるようにこれらの脅威も次々に進化(悪化?)している。しばしば言われるように「いたちごっこ」状態であり、「これで100%大丈夫」などとは決していえないからだ。
ウイルスひとつ取ってみても、次から次へと亜種が登場している。定義ファイルを常に最新の状態に維持したとしても、必ずしも新種/未知の脅威に対処できるとは限らない。この1年ほど新たな脅威として注目されるようになったスパイウェアやボットにいたってはなおさらだ。「パターンファイルベースのアンチウイルスは、基本的には『後手』の対策だ」(フォーティネットジャパン株式会社 システムエンジニア 中森格氏)
「スパムメールに記されたURLにアクセスするとウイルスやスパイウェアに感染し、そのスパイウェアから流出した情報を基にさらにスパムメールが配信される……という具合に、最近の脅威はすべてつながっている」と指摘し、これらすべてに統合的に防御していく必要があると述べた中森氏
また、複数の経路や手法を使って侵入を試みる脅威が増加していることも最近の特徴である。
こうなると、これまでのようにただ「添付ファイルをクリックしなければ大丈夫」「パッチを当ててさえいれば十分だ」などとは言えない。もちろん、こういったセキュリティ対策の基本は守るに越したことはないのだが、それだけでは防ぎきれない新たなタイプの脅威が生まれてきているわけだ。メールならメールだけ、WebならWebだけ、といった具合に、1つの経路、1つの対策だけで守りきれる状況ではない。
このような環境の変化を踏まえると、これからのセキュリティ対策においては、「複数の経路」から侵入を試みる脅威に、「迅速」に、しかも「クライアントのみに頼ることなく」対処できるといった要件が求められることになる。
それも、企業にとって無理のないコストで実現できることが重要だ。企業にとって大事なのはただセキュリティを高めることではない。目的はあくまでも、安定したインフラの上で確実に、安全に業務を遂行できるようにすることだ。セキュリティを重視するあまり本業に支障がでたり、現実的でないコストを要するのでは、本末転倒になってしまう。
あらゆる対策を1つのきょう体に搭載
「統合的」「包括的」対策を実現
こういったニーズに答える製品が、フォーティネットジャパンが提供するオールインワンタイプのセキュリティアプライアンス「FortiGateシリーズ」だ。
同シリーズは、ファイアウォールとIPSec VPN、不正侵入検知/防御(IDS/IPS)機能に加え、アンチウイルスやアンチスパム/URLフィルタリングといったコンテンツレベルのセキュリティ対策までも1つのきょう体で実現する。米IDCが、さまざまな脅威に統合された形で対処し、管理するための製品という意味で名付けた「Unified Threat Management(UTM)アプライアンス」であり、この市場の開拓者にしてリードする存在だ。
複数のセキュリティ機能を1つのインタフェースから設定、管理できる。外部から侵入してくる脅威の排除だけでなく、内部から外部に向けてウイルスメールや個人情報をばらまくことも禁止できる
最近では、1台で複数の脅威に統合的に対処するという同様のコンセプトを打ち出す競合ベンダーも見られる。しかしFortiGateシリーズは、専用ASICおよび専用OSの「FortiOS」を搭載することで、高速な処理を実現している点に大きな特徴がある。
ゲートウェイ部分で企業を脅威から守るということは、その企業のインフラを担っているということ。インフラにボトルネックを作らず、エンドユーザーに「遅い」と思わせない高速な処理を行えることは、UTMアプライアンスにとって必須の要素だ。
また「アンチスパムとWebフィルタリングといったセキュリティ機能を、特別なハードウェアを追加することなく、サブスクリプションのみですぐに使えることも特徴」(中森氏)。あらゆる機能を1つの「ハコ」に搭載しているため、ファイアウォールを導入し、VPN専用機を導入し、さらにアンチスパム用のソフトを導入し……などと時間をかけてやっているうちにサーバラックが煩雑になり、管理の手間が増大する、というような状態に陥ることもない。
新たなウイルスやワームなどについては、同社の解析部門であるFortiProtect Centerを通じて最新のシグネチャが配信される仕組みだ。また最新のFortiOSではヒューリスティック検出機能を搭載し、新種のウイルス/ワームへの対応力を高めている。
特に最近では、スパイウェアを大きな脅威と捉えるIT管理者が増加しているが、対策に着手している企業はまだ少ない。これに対しFortiGateシリーズでは、ウイルスだけでなく、スパイウェア、アドウェアなど悪意あるソフトウェア全般の検出、駆除が可能だ。最近、日本語でも増加しているフィッシング詐欺についても、FortiGate側でURLをチェックすることによってブロックし、被害を未然に防ぐことができる。
ただ、FortiGateシリーズが既に導入済みのセキュリティ製品をすべて入れ替えるかというと、そうとは限らない。むしろ、「既に導入済みのクライアント用対策ソフトを組み合わせて利用することにより、より対応時間、リスクをより少なくできる」(同氏)という。いわゆる「多層的なセキュリティ」のアプローチを実現するわけだ。
ユーザーが増えても大丈夫
ライセンス体系にも魅力
必要な機能を1つのきょう体にまとめることで、運用や管理にまつわる作業を簡素化できる点もポイントだ。先のIPAの調査でも明らかになったとおり、セキュリティ対策上、実は最大の障壁が「管理」「運用」の部分。特に、必ずしもIT専門の部署やセキュリティに詳しい担当者がいるわけではない中小企業にとっては、この部分をいかに簡素化できるかが重要になる。
FortiGateシリーズでは、統合管理アプライアンス「FortiManagerシステム」やログ解析/レポート作成アプライアンス「FortiLogファミリー」を組み合わせることで、運用管理を支援。インフラ全体をカバーするシームレスな統合管理を実現する。
もう1つユーザーにとって魅力的なのは、そのライセンス形態だ。たいていのセキュリティ機器はユーザー数ベースのライセンス体系を取っているが、FortiGateシリーズは本体ベースの価格体系を取っており、ユーザー数の増減を気にする必要がない。この点は、特にユーザー数の多い大学などで大きく評価されているという。
既に駒澤大学や札幌大学、企業では多くの店舗をかかえるフォルクス、フェニックス・シーガイア・リゾートなどに導入された実績がある。「いわば『富山の薬売り』方式で、『ハコを置いていくのでまず2週間ほど使ってみてください』という形でお勧めすると一目瞭然なのだが、FortiGateが生成するレポートを見ると、いかに多くのウイルスやアタックが仕掛けられているか、またこうした脅威をブロックできているかがよく分かる」(中森氏)。
管理インタフェース上では、いつ、どのIPアドレスから、どんなウイルスや攻撃が仕掛けられているかをリアルタイムに把握できる。一定の期間ごとにレポートを出力することも可能だ)
FortiGate/同Aシリーズには現在、SOHOや地方の拠点を対象にしたローエンドモデル「FortiGate 50A」から、中小企業や部門レベルでの防御に適した「FortiGate 300A」、サービスプロバイダーでの利用を念頭に置き、ギガビットクラスのスループットに対応したモジュール型のハイエンドモデル「FortiGate 5140」まで、20モデル以上が用意されている。フォーティネットではこれら一連の製品が提供するパフォーマンスと「FortiGuardウェブフィルタリング」「FortiGuard アンチスパム」といったセキュリティサービスを、NetWorld+Interop Tokyoの展示会場で紹介していく予定だ。
