「Networks as Platforms」 〜 セキュリティ 〜 単なるオールインワンを超えた 「Cisco PIX501セキュリティアプライアンス」

　いまや、日本のコンシューマ向けインターネット接続サービスの料金は、世界の主要国のなかで最も安価になったといわれています。これをビジネスに活用しない手はありません。SOHOでは、あらためて指摘するまでもなくかなり利用が進んでいますが、小規模拠点を多数抱えている大企業でも、帯域比コストの高い通信事業者のVPNサービスやISDNによるダイヤルアップ接続からADSLなどの一般インターネットサービスに乗り換えようとする動きがはっきりとしてきました。しかしここで大きな課題となるのはセキュリティの確保です。安価な通信サービスの利用が、企業全体としてのセキュリティに脅威を与えるものであってはなりません。

Cisco PIX501セキュリティアプライアンス

　シスコシステムズのオールインワン・セキュリティアプライアンスCisco PIX501セキュリティアプライアンスは、コンシューマ向けの簡易セキュリティアプライアンスとは一線を画す製品です。「ビジネスを守る」ということに焦点が当てられており、PIXシリーズの上位製品と多くの部分で同一のサービスを提供する、本格的なセキュリティ製品です。

　Cisco PIX501セキュリティアプライアンスは、ファイアウォール、不正侵入検知（IDS）／防止（IPS）、IPSecによるVPNと、ビジネスにおけるセキュリティ対策で必要とされる3つの主要な機能をパッケージ化し、すぐに使えるようにしたボックス型製品です。ほかにもDHCPサーバやNAT-PT、PPP over Ethernet接続などのネットワーク機能を備えているため、これさえ設置すれば小規模拠点がインターネットを活用したビジネスを行えるようになっています。一般の低価格ルータ程度のサイズですが、最大60Mbpsと、ブロードバンド時代に適したパフォーマンスを発揮します。また、内部接続用に4つの10/100Mbpsスイッチポートを備えているため、小規模拠点では、これだけで内部のネットワークについても実用に十分で快適な環境を実現できるのです。

図1 セキュリティ対策で必須の主要3機能を備えるCisco PIX501セキュリティアプライアンス

　まずPIXセキュリティアプライアンスはファイアウォールに、大規模企業で使われているものと同様の、ステートフルインスペクション技術を採用しています。今日のビジネスネットワークは、単純なパケットフィルタリングでは十分に保護することができません。例えばFTPは、1024番以上のポートを動的に選択して通信を行うため、パケットフィルタリング形式のファイアウォールは1024番以上をすべて開けておかなければなりません。高いパフォーマンスを維持しながら、このような脆弱性を回避するための技術がステートフルインスペクションです。通信を開始したホスト間のパケットのやりとりを、アプリケーションレイヤまで監視し、正しい通信であることを確認してポートを開け、この一連の通信が終わるとポートを閉じるという形でセキュリティを守ります。PIX501セキュリティアプライアンスでは100以上のアプリケーションやプロトコルについて、ステートフルインスペクションを実行するための定義が含まれています。組織としてのセキュリティポリシー次第で、ActiveXやJavaのアプレットが通過するのを防ぐことも可能となります。

　不正侵入検知／防止機能では、55種類以上のアタックから内部ネットワークを守るための設定が組み込まれています。これらのアタックについては、発生した時点で管理者に対して通知するとともに、自動的にブロックすることもできます。

　例えばFlood Defenderと呼ばれる機能では、TCP SYN Floodアタック（特定のホストに対して多数のSYNパケットを送ることにより接続をリクエストしながら、このホストに対する応答をしないことで、ホストをダウンさせてしまう）を防止するため、インターネット側からアクセス可能にしている内部ホストについて、正常な通信開始に至る前のSYNパケットが設定値以上の数に達すると、これを横取りし、空の応答を返すことでSYN Floodを防止します。また、Mail Guardでは、外部のメールサーバから内部のメールサーバに対するSMTP通信を監視し、必要最低限の安全なコマンド以外は通しません。これにより、メールサーバのセキュリティを確保するためによく行われているSMTPリレーサーバの設置は不要になるのです。

　そしてPIX501セキュリティアプライアンスにおいて最も注目されるのが、多様なネットワーク構成に対応したIPSecによるVPN機能です。IPSec VPNを使えば、ADSLや光ファイバなどの、安価なコンシューマ向けインターネット接続サービスを利用しながらも、通信相手の認証とデータの暗号化を行い、安全なビジネスコミュニケーションを実現できます。

　この製品では、ほかの拠点との間でVPN接続ができると同時に、インターネット接続されたPCからのVPN接続も受け付けることができます。この製品自体が小規模なVPNの中央拠点として機能する一方、大規模なVPNの一部としても働くことができるのです。これでこそインターネットの広範な接続性と高いコスト効率を、ビジネスにフルに生かすことができるようになるのです。56ビットのDES、168ビットの3DES、256ビットまでのAESと、対応するデータ暗号化アルゴリズムについても大規模ネットワーク用の製品に比べて遜色はありません。それも複雑な設定を必要とせずに使える点が重要なポイントです。

図2 Easy VPNをフルに利用できるCisco PIX501セキュリティアプライアンスであるため、最新のセキュリティポリシーが自動的に更新できる

　シスコではVPN製品群でEasy VPNという機能を展開していますが、PIX501セキュリティアプライアンスではこれをフルに利用することができます。Easy VPNとは、IPSec接続にかかわる設定を容易にする機能です。接続時に、サーバ側からクライアント側に対して最新のセキュリティポリシーが自動的に送信され、クライアント側に自動設定されます。これは、多数の遠隔拠点に対してIPSecを展開し、メンテナンスしていく際の負荷を大幅に軽減できます。

　PIX501セキュリティアプライアンスでは、Easy VPNのクライアントとして、Cisco 1700、7200、Cisco VPN 3000 Concentratorsなどのモニタリングを行うための情報も提供できます。

　また、これもEasy VPNの機能の1つですが、PIX501セキュリティアプライアンスがクライアントとして接続しようとした先のVPN機器がダウンした場合でも、自動的にほかのVPN機器に相手を切り替えて接続できる機能が用意されています。最大10カ所に対する自動切り替えが可能で、業務利用に耐えるような可用性の実現という点で見逃せない機能です。

　さらにPIX501セキュリティアプライアンスでは、Easy VPNのサーバ機能も搭載していることから、ほかのPIX501セキュリティアプライアンスやPCからのIPSec接続を受け付けることができ、その際にセキュリティポリシーを相手に自動配布することが可能です。PCで利用できるVPNクライアントソフトウェアは、Windows、Mac OS X、Red Hat Linux、Solarisと、幅広いコンピュータプラットフォームをカバーしています。

　大企業における多数の小規模拠点とのネットワーキングで、大きな悩みの種となるのが運用管理です。PIX501セキュリティアプライアンスlは、シスコの管理製品であるCiscoWorksのセキュリティ関連コンポーネント、 CiscoWorks VPN/Security Management Solution (VMS)によって集中管理することができます。

　VMSは、ファイアウォール、不正侵入検知製品、VPNサーバなど、シスコの提供しているセキュリティ製品を一括して制御、管理するためのソフトウェア群です。

　VMSでは、設定や最新バージョンのソフトウェアを一括管理し、自動的に配布する機能が提供されています。特にAuto Update Serverと呼ばれるアプリケーションでは、PIXセキュリティアプライアンスからのアクセスを受ける形で、初期設定、その後の設定変更やソフトのバージョンアップを自動的に提供することができます。これによって多数のPIXセキュリティアプライアンスを短期間に、展開し、その後も少ない労力で維持することが可能になります。セキュリティ関連の発生事象をこれらセキュリティ機器から吸い上げ、全社的な観点からモニタリングし、記録するためのアプリケーションも用意されていて、重層的かつ統合的なセキュリティ対策が求められている昨今では、戦略的に重要な役割を果たすものといえるでしょう。

　より小規模な構成で、手軽にPIX501セキュリティアプライアンスを遠隔管理する手段としては、Cisco PIX Device Managerが用意されています。これはWebブラウザだけで、管理者のPCから遠隔的にPIXセキュリティアプライアンスの設定、モニタリング、トラブルシューティングを実行できるツールです（ただし現在は英語OS上のみサポートとなります）。初期設定は、セットアップ・ウィザードによって、対話的にステップ・バイ・ステップで実行することができます。もちろん、コマンドライン・インターフェイスを利用した設定も可能です。

　PIX501セキュリティアプライアンスは、セキュリティアプライアンス分野で世界ナンバーワンのシェアを持つPIXセキュリティアプライアンスファミリの一員として、多数の導入実績を持つ製品です。

　SOHOからエンタープライズまで幅広い範囲に対してセキュリティを実現する、コンパクトであり、なおかつ実用性に耐え得るオールインワン・セキュリティアプライアンス――Cisco PIX501セキュリティアプライアンスは、堅牢な守りを実現するにとどまらず、インターネットを活用してビジネスを広げていくため、他社に先手を打つための戦略的なセキュリティツールといえるでしょう。

Networks as Platforms 　 企業の生産性向上とコスト削減を実現するインフラへと進化するネットワーク 　 IPテレフォニーが新たなワークスタイルを生む 単なるオールインワンを超えたセキュリティアプライアンス 　 有線、無線に一貫したセキュリティを実現したシスコシステムズ製品のIEEE 802.1X対応機能 　 ネットワークインフラをビジネスインフラに変える第3世代のCatalyst 6500