企業の内部ネットワークを守る働きをする「セキュリティ アプライアンス」。従来は、ファイアウォールやアンチウイルスなどの単機能機器が主流だったが、現在は不正アクセスを検知、防御するIDS/IPSや仮想LAN環境を構築できるVPNなど、複合的なセキュリティ機能を搭載した製品が主流になっている。今回は、セキュリティアプライアンスに求められる機能を考えよう。
調査会社IDC Japanが2006年7月に発表した「国内セキュリティ市場予測」によると、2005年のセキュリティアプライアンス市場は2004年比で28.0%増の260億円。とりわけ、統合型セキュリティアプライアンスの市場が拡大しており、2005年には2004年の2.5倍以上の出荷台数を記録したという。2005年から2010年にかけての成長率は徐々に落ち着くものの、それでも年間平均成長率は15.2%にのぼると見ている。
「アプライアンス」とは本来、特定の機能に特化したコンピュータを指している。ここには、家庭用ゲーム専用機や情報家電と呼ばれるネットワーク対応AV機器、あるいはWebサーバやメールサーバ、ファイルサーバなどの特定のサーバ機能だけを提供するコンピュータなども含まれる。一般的なPCやサーバコンピュータとは異なり、ソフトウェアを自由に導入できる汎用性がないものの、導入や設置、操作、運用管理が容易であり、低コストで高信頼性という点が特徴である。セキュリティアプライアンスもセキュリティ機能に特化したコンピュータであり、導入や管理などの簡便性、コスト面、信頼性が優位というアプライアンスの特徴をそのまま備えている。
セキュリティ機能に特化したセキュリティアプライアンスだが、その機能は多岐にわたる。以下、セキュリティアプライアンスの代表的な6つの機能を紹介する。初期に登場したセキュリティアプライアンスは、これらのうち必要な機能を個別に導入してきた。ただし、いずれも外部ネットワークと内部ネットワークの境界部分に設置し、さまざまな脅威からシステムを守るという役割は変わらない。
1.ファイアウォール
最も普及しているセキュリティアプライアンスは、ファイアウォールだろう。これはその名のとおり、外部ネットワークと内部ネットワークとの間に設置する“防火壁”のようなもの。インターネットのような外部の信頼できないネットワークから押し寄せる脅威から、信頼できる社内のネットワークを守る役目を果たす。
ファイアウォールは、パケットフィルタリング型とアプリケーションレベルゲートウェイ型が主流である。パケットフィルタリング型ファイアウォールは、送信元のIPアドレスやポート番号、経路などネットワークに流れるパケットのヘッダ情報を分析し、その通信が正しいものか不正なものかを判断。正しいものを通し、不正なものを遮断する仕組みである。もともとはパケット単位でフィルタリングするだけのものだったが、現在はパケットフィルタリングの機能を拡張し、アプリケーションレベルのデータ送受信を監視して、パケットを通過させるかどうかを判断するステートフルパケットインスペクション型ファイアウォールが主流となっている。
一方のアプリケーションレベルゲートウェイ型ファイアウォールは、プロキシサーバを利用して外部ネットワークと内部ネットワークを分離するもの。HTTPやPOP3、SMTPなどのアプリケーションプロトコルをそれぞれ個別のゲートウェイで中継する。また、クライアントとサーバ間で回線を生成し、セッション状態を認識してアクセス制御が行うサーキットレベルゲートウェイ型ファイアウォールもある。
各型のファイアウォールをISOが制定した7階層のネットワークプロトコル構造モデルであるOSIレイヤーモデルで見ると、パケットフィルタリング型はネットワーク層、サーキットレベルゲートウェイ型はトランスポート層、アプリケーションレベルゲートウェイ型はアプリケーション層で働く。ファイアウォールアプライアンスの多くは、これらの各型を組み合わせ、多様化する脅威から内部ネットワークを守っている。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.