インフラの変更に合わせた柔軟なセキュリティを提供、米ヴイアーマー：ファイアウォール as a Service？

　ヴイアーマーネットワークスは2014年9月17日、データセンター向けの新しいセキュリティ製品に関する説明会を開催し、日本法人の正式設立を前に、米国で発表した新しいセキュリティ製品を紹介した。同社の製品は、負荷の増大に応じて動的に仮想マシンが立ち上がるようなデータセンターにおいて、インフラの変化に合わせて適切にポリシーを適用し、脅威から保護することを目的としたものだという。

ヴイアーマーネットワークス 代表取締役 原田英昭氏

　Webとアプリケーションサーバー、データベースの3層で構成される伝統的なWebアプリケーションシステムでは、インターネットとの境界部分にファイアウォールやIPS、あるいはサンドボックスや次世代ファイアウォールといったセキュリティ製品を設置し、資産の保護を図ってきた。しかし、ヴイアーマー日本法人の代表取締役、原田英昭氏は、「Perimeter（境界）を守る従来型のセキュリティでは、運用時に迅速な対応が求められるデータセンターを脅威から守ることはできない。われわれは、従来のセキュリティの延長線上にあるのではない、新しいセキュリティを提案する」と述べた。

　ヴイアーマーのセキュリティ製品は、データセンターのネットワーク全体を1つの“シャーシ”に見立てて保護を図る。各仮想マシンには、ラインカードの役割を果たす「Enforce Point」（EP）を導入する。EP同士はデータセンター内のレイヤー2、レイヤー3ネットワークを介してつながり、「DIRECTOR」というコントローラーによって一元集中管理される。物理的には分散して導入されている機能を、コントローラーによって論理的に一元管理し、制御するという意味で、Software Defined Network（SDN）にも似たイメージで、「データセンター内に、論理的に巨大なファイアウォールを構成するようなもの」と同社は説明している。

　EPは、ステートフルインスペクション型のファイアウォールとして動作する他、いわゆる次世代ファイアウォールで実装されているアプリケーションの可視化機能を実装済みだ。今後、IPSやサンドボックスといった他のセキュリティ機能も追加する計画という。特定のハイパーバイザーに依存することなく導入できる点も特徴で、VMwareやOpenStackなどのクラウド基盤ソフトウェアと、APIを介して連携する仕組みも提供していくという。

ヴイアーマー製品のアーキテクチャ

　同社製品のアーキテクチャの特徴は、データセンタートラフィックのかなりの部分を占める水平方向のトラフィックを可視化し、コントロールできることだ。仮想マシンごとに個別に設定を投下せずとも、「特定の仮想マシン間のトラフィックについてはサンドボックス機能を用いて詳細に検査する」といったルールを設定するだけで、柔軟に変化するデータセンターに追随したセキュリティプラットフォームを実現できるという。

　既に米国ではリテール事業者などで試験的な導入を進めている他、日本国内でもクラウド事業を展開するサービスプロバイダーなどで検証を進めている。価格などの詳細な情報は、2015年1月に予定している日本法人の正式な発足時に明らかにする予定だ。