“選りすぐり”の機能を全モデル共通で提供 ジュニパーの次世代UTM「SSG」シリーズ |
ジュニパーネットワークスでは、高く評価されていたファイアウォール製品「NetScreen」シリーズから次世代のUTMである「SSG(Secure Service Gateway)」シリーズへの世代交代を進めている。エントリークラスからミッドレンジまでの領域ではSSGのラインナップがほぼ完成した状況だ。中小規模の企業や大企業での支店・支社での利用を想定し、包括的な保護を実現する製品となっている。 |
低価格モデルでも機能は“フル”に | ||
Juniper Networks Secure Service Gateway(SSG)シリーズは、「次世代スマート・ファイアウォール ―ウルトラUTM―」と位置づけられた製品だ。相対的に小規模な組織を対象に包括的なセキュリティ機能を提供することを想定した製品だが、大企業でも支店・支社や部門単位などで導入されることもあり、必ずしも中小企業限定ということではない。
セキュリティ機能としては、「ステートフル・ファイアウォール」「IPsec/VPN」「アンチウイルス」「アンチスパム」「Webフィルタリング」「侵入検知(IPS/DI)」という広範な機能をカバーしている。1台で多機能を実現し、機器を集約することでコスト削減と強力な保護機能の両方を実現できる。SSGは従来のNetScreenシリーズの後継機種と位置付けられているが、NetScreenとSSGとで対応するモデル間を比較すると、SSGでは処理性能が向上し、かつ価格は低く設定されているため、コストパフォーマンスはさらに向上している。
モデルとしては、回線規模に応じてSSG5/20、SSG140、SSG320M、SSG350M、SSG520M、SSG550Mが用意され、ファイアウォール・スループットで160Mbpsから1Gbpsまで、IPsec-VPNスループットでは40Mbpsから500Mbpsまでをカバーする。モデル間の違いは、スループットやポート数、モジュールによるポート拡張の有無といったパフォーマンス部分であり、機能はすべて同一となっている。ユーザーが必要とするセキュリティ機能は回線速度とは無関係なので、「セキュリティを強化したいが、回線速度の要求はそれほど高くはない」という場合でも、オーバースペックなモデルを選ぶ必要はない。最適なモデルを選択しやすい製品ラインアップといってよいだろう。
SSGファミリーのSSG 320M(上)とSSG 350M(下)。モデル間の違いはポート数やスループットによる違いで、セキュリティ機能はシリーズすべてで共通だ |
市場で高評価の技術採用で“いいところ取り” | ||
SSGでは、選りすぐりの技術を使ってセキュリティ機能をそろえた点が特色となっている。これは、機能ごとに定評あるベンダから技術を導入することで、最高レベルの保護を提供しようとするものだ。具体的には、アンチウィルスの機能はカスペルスキー・ラボ、アンチスパムはSymantec、WebフィルタリングはWebSense(SurfControl社がWebSenseに買収されたことに伴い、WebSenseに一本化)といった具合だ。ステートフル・ファイアウォール、侵入検知防御/ディープ・インスペクション(IPS/DI)に関しては、従来から定評あるJuniper Networksの独自技術が使われている。
機能 | ベンダ名 |
---|---|
ファイアウォール |
ジュニパー |
アンチウイルス |
カスペルスキー・ラボ |
アンチスパム |
シマンテック |
Webフィルタリング |
WebSense |
IPS/DI |
ジュニパー |
ファイアウォールやIPS/DIは定評のある自社技術、それ以外の機能は他社の技術を採用することでベストな組み合わせを実現している |
各分野でトップレベルのモジュールを集めることで、最高レベルの保護を提供するというのがSSGの基本的なコンセプトだ。この結果、アンチウイルスでは他製品と比べても検知率が高いという第三者機関の調査報告があるという。また、アンチスパムでは2時間ごとにデータベースが更新されるなど、常に最新の状況に対応した保護が実現している。
基盤となるソフトウェアは、NetScreen時代から高評価を得ているScreenOSがそのまま使われている。ScreenOSを使った運用管理のノウハウは蓄積されているため、管理者に新たなシステムを学習する負担がない。ScreenOSのGUIは日本語化されていないが、以前から使われており、この分野ではシェアトップのシステムであるため、管理方法を熟知した管理者も多く、障害にはならないと考えられる。とはいえ、設定方法を日本語で知りたいという管理者向けには、日本語設定ガイドがWebサイト上で公開されているため、必要な際にはいつでも参照できるように準備されている。
DI(ディープ・インスペクション)機能では、サーバ向け、クライアント向けといったいくつかの典型的な用途を想定した「シグネチャ・パック」が用意されている。目的に合ったシグネチャ・パックを選択するだけで簡単に設定できる点も、運用負荷の軽減に貢献するだろう。
また、検疫ネットワーク機能にも対応が可能だ。別途提供される「Infranet Controller」と組み合わせることで、SSGシリーズに接続しようとしたユーザーをInfranet Controller側で認証し、その結果に応じてSSGの動作を変更するといったことが可能になる。SSGのアクセスリストをInfranet Controller側から動的に書き換えたり、ユーザーごとに個別にUTM機能をオン/オフしたりといった制御も可能になる。これを利用すれば、たとえば社内ユーザーと来客者を区別し、それぞれに異なるセキュリティ・ポリシーを適用するといった制御も実現できる。UTMというと、簡単に設置し、運用を開始できる一方、設定は画一的で柔軟性に欠けるというイメージもあるかもしれない。しかし、SSGでは高度な要件に対応できる拡張性も備わっており、さまざまなユーザーに対応可能だ。
ジュニパーネットワークス
ジュニパーネットワークス SSGシリーズ
提供:ジュニパーネットワークス株式会社
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2008年9月24日
ソリューションFLASH Pick UP!
Secure Service Gateway
ジュニパーネットワークス
ジュニパーネットワークスでは、高く評価されていたファイアウォール製品「NetScreen」シリーズから次世代の UTMである「SSG(Secure Service Gateway)」シリーズへの世代交代を進めている。エントリークラスからミッドレンジまでの領域ではSSGのラインナップがほぼ完成した状況だ。中小規模の企業や大企業での支店・支社での利用を想定し、包括的な保護を実現する製品となっている。
FortiGate-310B
フォーティネットジャパン
フォーバルクリエーティブが販売する「FortiGate-310B」は、8Gbpsものパフォーマンスを実現しながら、約150万円と価格を極めて抑えたUTMアプライアンスだ。アンチウイルスやスパムメール対策などの機能ももちろん兼ね備えており、それらのパターンファイルの提供も極めて頻繁に行われている。本稿では、FortiGate-310Bの性能の高さの秘密と、その利用を通じて企業が見込めるメリットについて探りたい。
チェック・ポイント UTM-1/Power-1
アズジェント
アズジェントが販売するチェック・ポイント社の「UTM-1」「Power-1」はUTMとして、またファイアウォールとしても高く評価されている。その理由はコストパフォーマンスとスピードだ。SMBからエンタープライズグレードまでフルラインアップでそろえられるPower-1/UTM-1が選ばれる理由を解説しよう。
ホワイトペーパーダウンロード
超高速FW性能を持つUTM製品「FortiGate-310B」
2008年4月に発表した「FortiGate-310B」のメディア向け資料を初公開。4つの角度からの競合比較を交え、ファイアウォールの使い方や高スループット実現の理由を明らかにする。
多くのUTM製品が抱える問題点とは
近年、DoSやウイルス、ワームといった定番の攻撃手法に加え、フィッシング、スパイウェアや特定の相手を標的としたスピア攻撃が著しく増加している。このような厳しい状況におけるひとつの対策として、単一の機能を備えたセキュリティ・ソリューションを個々の攻撃や脅威に対する防御策として段階的に導入していくという手法が考えられる。