あなたの会社は“新たな脅威”に対処できる？――旧機種との比較で分かる「次世代ファイアウォール」とは

セキュリティ対策は重要と分かっていても、コスト負担を考えると新規導入やリプレースは後回しという企業も少なくないはず。しかし数年前と比べると、企業を取り巻くセキュリティ脅威も変わりつつあるのだ。

[PR／ITmedia]

PR

　さまざまな業務情報をITシステムで取り扱うのが当たり前になった今、企業からの情報漏えいリスクはかつてないほど多様化している。悪意ある第三者からのサイバー攻撃やウイルス感染などにより、大切に保管していたはずの機密データが漏出してしまう脅威は無視できない。それらのリスクに対し、ファイアウォールをはじめとするセキュリティ対策の重要度はますます高まっている。

　しかし、直接的な利益貢献につながりにくく、ビジネスメリットが見えにくいセキュリティ対策に十分なコストを割けていない企業も少なくないはずだ。すでにファイアウォール製品などを導入していても、旧世代型の製品を運用し続け、数年間にわたってリプレースを先送りにしているケースもあるだろう。

　だが、そうしている間にも、新たなセキュリティ脅威が登場し、過去の製品では対応できなくなってしまう恐れもある。増え続ける脅威に対し、ここ数年でセキュリティ製品の性能はどれほど向上しているのか――米Juniper Networksの最新型ファイアウォール製品「SRX」と旧モデル「SSG」を例に、それらの差を比較してみよう。

“新たな脅威”に対応する「次世代ファイアウォール」とは？

　まもなく新モデルが市場投入となる「SRX」シリーズは、ファイアウォール機能やVPN機能に加え、IPS（侵入検知防御）、アンチウイルス、Webフィルタリングなど、複数のセキュリティ機能に加え、高度なルーティング機能を統合的に提供するアプライアンス型のネットワークセキュリティ製品だ。

　一方、旧シリーズの「SSG」シリーズはもともと同社が2004年に買収したNetScreenの製品シリーズで、最終モデルは2007年に発売。今年1月末に全シリーズの販売を終了している。

　発売時期が大きく異なるこれらの製品。果たしてどれほどの機能差や性能差があるのだろうか。その違いをチェックしていこう。

「SRX」の新しいラインアップ

IPS検知率が飛躍的に向上

　サーバやネットワークへの不正アクセスを検知する「IPS」の性能差に着目すると、その差は歴然だ。異常なデータを定義するシグネチャの数は、SSGが800個程度だったのに対し、SRXは約1万5000個と20倍近い。その結果、IPSの検知率が大幅に向上している。

　進化したのはIPSだけではない。未承認サイトへのアクセスを遮断する「Webフィルタリング」も、指定できるカテゴリ数が46から90に増加し、よりきめ細かな対応が可能となっている。

　アンチウイルス機能では、ウイルス検索エンジンをKaspersky製からSophos製に変更し、検査方式を一新している。

　従来の検査方式は、ハードウェア本体のメモリにデータを展開してスキャンを実行する方式だったが、この方法だとファイアウォール製品でのスキャン処理がネットワーク全体のボトルネックになってしまう恐れがあった。

　そこで新製品では、データを外部のサーバに送信してスキャンする「クラウド上」での検査方式を採用。これによりハードウェアのリソースを消費せず、ネットワーク全体のパフォーマンスに対する影響を最小限に抑えている。企業がやり取りするデータの大容量化が進む中、こうした点も大きな導入メリットになりそうだ。

アプリケーションの可視化や帯域制御も可能に

　Webアプリケーションを通じたウイルス感染といった“新たな脅威”にも対応。SRXシリーズでは、企業内ネットワーク上を流れるアプリケーションの可視化や帯域制御などを行う「AppSecure」機能を用意。3500種類以上のアプリケーションを識別し、セキュリティポリシーによって利用を制限したり、ある特定のアプリケーションに対しては利用可能な帯域を制限する――といったことができる。

　企業内でSNSなどを活用するシーンも増えつつある今、公式導入しているSNSの利用は認め、その他のSNS利用は禁止するといったこともできる。さらに、業務と関係のない動画サイトの閲覧を制限するなどの利用法も可能だ。

　さらに、ここまでで紹介した機能でも検知できなかったセキュリティ脅威をあぶり出すため、サンドボックス環境「Sky Advanced Threat Prevention」（SkyATP）をオプションで用意。疑わしいファイルをクラウド上に送り、スクリーニングを行うため、シグネチャでは検知できない新種のマルウェアといった、絶えず変化する脅威状況にも対応できるのが特徴だ。

搭載OS「JUNOS」の優位性

　「SRXシリーズ」では、同社のスイッチ製品と同じJunos OSを採用している点も特徴だ。複雑な大規模ネットワークでの実績を生かしたJunos OSによって、高い信頼性のネットワークを構築できる。スイッチと使い勝手が同じJunos OSを搭載した製品で統一すれば、別々のインターフェースを扱う手間も省ける。統合管理ツールと自動化ツールを用いてシステム監視を統合することで、よりシンプルな運用と管理を可能にするほか、コストの大幅な削減も実現できる。

　また、前世代OSの機能を完全互換する「シングル・リリース・トレイン」と呼ばれるリリースポリシーを採用しているため、早いモデルサイクルや、OSのパッチレベルでの機能削除などに振り回される心配もない。

Junos OSは、前世代OSの機能を完全互換する「シングル・リリース・トレイン」を採用している

　機能が劇的に変わることは少なく、一見すると地味なバージョンアップが目立つセキュリティ製品。しかし、こうした積み重ねを長い目で見ると、数年の間に機能・性能ともに大きな差が生まれている。あなたの会社でも今一度、自社のセキュリティ対策環境が現在求められている条件に適合しているかチェックしてみてほしい。

旧製品からの移行、導入後の保守もサポート

　ただし、いざ最新製品にリプレースしようにも、技術的な課題の多さから踏み切れない企業も少なくないだろう。例えばSRXとSSGの場合だと、全く異なるOSを搭載している上、ユーザーインタフェースにも互換性がない。企業の情報システム部が独自にリプレースを実施しようとしても、その膨大な作業量にパンクしてしまうことは想像に難くない。

　こうした旧製品からの移行や導入後の保守は、専門業者に一任してしまうのがお勧めだ。例えばソフトバンク コマース＆サービスは、NetScreen時代から現Juniper Networks製品の販売・サポートを実施。SSGからSRXへの移行支援の実績も数多く、エンジニア部門を力強くサポートしている。

　同社の大きな強みは「サポート力」だ。エンジニア向けに無料でハンズオンのトレーニングを定期的に実施し、Juniper Networksの製品に精通するスペシャリストを育成。さらに自社サポートセンターで問い合わせに対応するほか、24時間365日対応可能な体制で全国網も構えており、全国規模で次世代ファイアウォール製品の導入を後押ししている。

　また、本来なら英語版しかないJuniper Networksの製品マニュアルの日本語版も独自に用意。英語版マニュアルに慣れていない企業でも、自社である程度の運用管理を賄えるようサポートしている。

　さまざまな組織からの情報漏えい事故・事件が日々報道される中、これらのリスクは決して「対岸の火事」ではない。あなたの企業でも、自社のセキュリティ対策を見直し、目の前にある脅威に対抗し得る体制を整えてみてはいかがだろうか。

※Junos （R)はJuniper Networks Inc.の商標です