SGSのうち、まず上位製品であるSymantec
Gateway Security 5400シリーズ(SGS 5400)を見ていこう。
Symantec Gateway Security 5400 |
|
アプライアンス型のメリットは、設置や導入が簡単なことだ。ハードウェアが固定され、OSとともに必要なセキュリティが組み込まれていることで、ハードウェアやOSを用意したり、インストールしたりする手間がいらない。もちろん、既存のサーバにインストールするだけで済むソフトウェア型のメリットもある。これは自社のネットワーク構成や他のソフトウェアとの兼ね合いで選択すべきだ。
しかし、複数のセキュリティ機能を統合して扱おうとするときは、SGS5400のような統合型のアプライアンスが有利である。導入したセキュリティ機能は同一のコンソール画面で管理できるため、個別に管理する必要がない。どんなソフトウェアと共存するかわからないサーバで安定した動作を求めるのは難しい。その点、アプライアンス製品はハードウェア、OSとともに一体化し、他の不必要なソフトウェアが混在しない環境で高い安定性を発揮することができる。
Symantec Gateway Security 5400の機能イメージ |
SGS 5400シリーズではファイアウォールとゲートウェイ同士のVPN(IPsec準拠)がベースライセンスとなり、必要に応じて、アンチウイルス、IDS/IPS(不正侵入検知・防止)、コンテンツフィルタリング、それにクライアントとの間のVPNライセンスを追加していく形態となっている。ハードウェア本体にはあらかじめすべての機能が組み込まれており、ライセンスを追加した時点でその機能が有効になる。このため、新しい機能を追加したときに他の機能と整合性を検証する手間がかからない。当初はアンチウイルスだけで運用し、必要に応じて他のセキュリティを追加していくということも簡単にできる。
SGS 5400の特長は、ファイアウォールにパケットの中身までチェックしてブロッキングするフルインスペクション(アプリケーションプロキシ)方式となっている点だ。
「荷物に例えると、荷札だけをチェックするのがパケットフィルタリングやステートフルインスペクションで、アプリケーションプロキシは荷物の中身まで見て細かく検査しますからRFCに準拠したパケットによる攻撃もブロックできます」(鴇田氏)。
パケットのみのフィルタリングではRFCに則った正当なパケットであれば不正ネットワーク型のワームを防ぐことができない。しかし、データの内部までチェックするアプリケーションプロキシであれば、正当なパケットであっても不正な内容を含むパケットを排除できるのである。
ファイアウォール |
こうしたファイアウォールの上に、アンチウイルス、IDS/IPS、コンテンツフィルタリングといったセキュリティ機能を付加していける。しかもセキュリティ機能で必要となるウイルス定義ファイル、侵入検知のためのシグネチャ、フィルタリングのためのURLリストは、スケジュールに従って定期的にアップデートするLiveUpdateによって更新可能だ。
SGS 5400は基本的にルータの後段に設置し、外部からの通信と内部から出てゆく通信を監視する。SGS 5400はパフォーマンスなどの違いによって3機種、5モデルある。
ネットワーク構成例 |
「ポート間にはファイアウォールが立った状態になりますから、ポート2にはファイナンス関係のネットワーク、ポート3にDMZとした場合、セグメント間の通信は遮断されます」(鴇田氏)。
また、複数のSGS5400を並列設置してクラスタ構成とし、トラフィックの負荷を分散するロードバランシング(LB:負荷分散)構成としたり、一方を他のバックアップとするハイアベイラビリティ(HA:冗長化)構成とすることができる。HA/LB構成も可能となっている。
ハイアベイラビリティとロードバランシング |
さらに複数の拠点をSGSで接続すれば、SGS間の通信はVPNによってトンネリングされるため、離れた拠点間を一体化したネットワークとする運用も可能だ。
このように、柔軟なネットワーク構成が可能なSGS 5400シリーズは、中小企業から大企業まで、規模にかかわらず、さまざまなネットワークにセキュアな環境を提供する。
SGS5400にはWebブラウザを利用した管理ツール「Symantec Gateway Manager Interface(SGMI)」を実装しており、ローカルおよびリモートのいずれからも、全機能の設定、管理が可能となっている。このため、配下の支店や拠点を含め、インシデントへの対応を迅速かつ的確に行うことができる。
管理ツール「Symantec Gateway Manager Interface」の画面 |
さらにSGS5400が出力するさまざまなイベント情報を一元的に管理し、詳細なグラフィカルレポートにまとめるイベント管理機能や、複数のSGS5400に対して個別のポリシーやルールを定義し、中央コンソールから同時に配布するソフトウェアも用意されているため、きめ細かな管理と運用が可能である。
|