「変化する企業ネットワークインフラを支える」とF5ネットワークス：F5 Networks Japan Tech Tour 2005 Vol.2（2/2 ページ）

[ITmedia]

　設定方法についても簡素化が図られており、レイヤごとに「プロファイル」を定め、それを「バーチャルサーバ」に適用するという簡単な方法が利用できる。いったん作成したプロファイルを親プロファイルとし、そこから子プロファイルを作成できる「オブジェクト指向」の設定が採用されたほか、文法を一新してTclベースとなったスクリプト言語「iRule」を活用することで管理が容易になった。

　BIG-IP v9はすでにいくつかのテストラボでパフォーマンステストを受けているが、コネクション数やスループット、圧縮時のスループットについても、他社競合製品を凌駕する数値を残した。また、インターネットの実環境で圧縮機能のテストを行ったところ、デフォルト状態で利用できる「TCP-Expresss」機能だけでも、アプリケーションの応答時間が約2倍に高速化されたという。

　これを踏まえて草薙氏は「BIG-IPは、距離が遠く、遅延やパケットロスなどが発生する本当のインターネット環境で大きな効果を発揮する」と述べた。

BIG-IP v9は実環境で大きな効果を発揮すると述べた草薙氏

充実したエンドポイントセキュリティ

　冒頭にグッドウィン氏が指摘したとおり、ブロードバンドが普及した現在、セキュリティ対策は非常に重要な課題となっている。だからといって、この便利なツールを利用しないビジネスなどは今では考えられない。逆に、ブロードバンドを活用した柔軟な働き方が企業の生産性向上にとって不可欠になっている。

　そうしたニーズを踏まえて安全なリモートアクセス手段を提供する技術がSSL VPNだ。既に多くの製品が提供されているSSL VPNは、セキュリティ市場の中でも「激戦区」と言えるが、F5ネットワークスのFirePassにはいくつか差別化のポイントがあると草薙氏は述べた。

　1つは、充実したエンドポイントセキュリティ機能だ。クライアントがSSL VPN接続を要求する際に、企業が求めるセキュリティ基準が満たされているかどうかを検査し、不十分なものを水際で排除することにより、ネットワーク内部でのワームまん延や情報漏えいなどのリスクを減らす手段である。

　FirePassのセッションを担当したF5ネットワークスジャパンプリセールスエンジニアの竹森慎吾氏は「端末に関するあらゆる情報を収集し、ログオンを許可するかどうかを判定できる」と説明した。ログオン前の検査項目にはWindows OSやInternet Explorerのパッチ適用状況に加え、プロセスやレジストリの状態、ウイルス対策ソフトやパーソナルファイアウォールの稼動状況、さらにはGoogle Desktopの稼動状態などが含まれている。

　しかも、ひとつの基準だけで判断を下すのではなく、「フローチャート風に柔軟に接続管理ができる」（竹森氏）。つまり、ある条件がクリアされれば別の要素をチェックし、各々の結果に応じて次に何をすべきかを決定できるというわけだ。

　エンドポイントセキュリティが配慮されているのは、接続「前」の段階だけではない。インターネットカフェなどから接続し、セッションが終了した後に第三者に機密情報が漏えいする、といった事態を防ぐために「プロテクテッドワークスペース」が提供される。これは、セッションごとに作成される一種の仮想デスクトップ機能で、ローカルへのファイル書き込みなどは禁止される仕組みだ。

　草薙氏によると、こうしたエンドポイントセキュリティ機能の充実を踏まえて「社内PCの管理やセキュリティ要件のチェックをきちんと行いたいという理由からFirePassを採用した事例もある」という。

　FirePassのもう1つの特徴は、共有型サービスの提供に必要な機能が網羅されていること。これはエンタープライズ向けというより、複数の顧客にサービスを提供するサービスプロバイダーや通信事業者向けの機能だが、加入者グループを紐付けて管理できる「ランディングURI」やVLAN機能により、個々の顧客に合わせたポータルやアクセス制御、コンテンツの提供が可能になるという。

　また、Windowsだけでなくマルチプラットフォームに対応していること、サードパーティが提供する認証ソリューションとの連携が可能なこともポイントという。

適材適所でWebアプリを保護

　セキュリティに関連してもう1つ懸念されるのは、Webアプリケーションに対する攻撃である。

　国内の大手サイトにSQLインジェクション攻撃が仕掛けられ、Webページの改ざんや顧客情報の漏えいといった深刻な事態をもたらした事件は記憶に新しい。問題は「こうした脅威はHTTP、つまりポート80番を使って攻撃してくる。ネットワーク的に見れば『正しい』リクエストであるため、ファイアウォールやIDS／IDPはほとんど無力である」（草薙氏）ことだ。

　根本的にはWebアプリケーションのコードを精査し、脆弱性を修正する作業を繰り返すことによって解決するしかないのだが、それには多くの時間とコストが必要となる。そこで、ネットワーク側でこうした攻撃を検出し、防御する「Webアプリケーションファイアウォール」が登場してきた。TrafficeShieldはそうした製品の1つだ。

　特徴は、「悪意あるトラフィック」を見つけ出してブロックするのではなく、「ポジティブセキュリティロジック」を採用している点だ。つまり、あらかじめ「正しいトラフィックパターン」「正しいフロー」を登録しておき、それに合致しないトラフィックはすべて落としていく、「Default Deny」的アプローチである。もちろん、運用していく中で生じた新たなロジックを自動的に学習し、ポリシーとして追加していくことも可能だ。

　同社プリセールスエンジニアの伴崇博氏は、Webアプリケーションに対する脅威からシステムを守るには、いくつか方法があると述べた。

　1つは、リクエストの内容を確認することで、いわゆる「サニタイジング」や「フィルタリング」が該当する。もう1つ、見逃されがちだがサーバからのレスポンスをチェックすることも重要で、エラー情報などを不用意に外に出さないようにする「クローキング」、電話番号などの重要な情報を隠す「マスキング」といった方法がある。

　これらの対策を漏れなく実施するための製品が、TrafficeShieldというわけだ。特に、リクエストとレスポンスの内容を監視して、やり取りされるパラメータの改ざんを防いだり、バッファオーバーフローを狙った長すぎるリクエストなど想定外の入力をはじくフィルタリング機能や、ヘッダー情報を隠して攻撃者に余計な情報を与えないようにするマスキングの部分で効力を発揮するという。

　また、意外なことにBIG-IPおよびiRuleを活用することでも、コンテンツベースの攻撃をブロックできると伴氏。特殊文字を含んだリクエストを、iRuleで記述した変換フィルタを通すことにより「無害化」してクロスサイトスクリプティングなどの攻撃を防げるほか、署名化を活用してcookieの改ざんを防いだり、サーバから戻されるレスポンスをチェックして電話番号やクレジットカード番号などを「隠す」といった具合に、さまざまな防御が可能だ。

　「もちろん、それぞれにできることは異なる。BIG-IPではフルプロキシ機能とiRuleを活用することでコンテンツベースのさまざまな攻撃をブロックできる。一方TrafficShieldは、Webアプリケーションへのリクエストに含まれるパラメータなど、より深く細かいところまで処理できるほか、ポリシーの学習機能や監査機能を備えているため運用管理が非常に楽だ」（伴氏）。

　また、実際の事例の中には、BIP-IPの負荷分散機能とTrafficShieldを組み合わせることで、アプリケーションセキュリティとパフォーマンス、両方の向上を実現したケースもあるという。