Tweet

ISP向けに仮想化機能の追加も計画

ソニックウォールのUTMは「パフォーマンスを犠牲にしない」

2008/06/10

　「これまでのUTMソリューションは、複数のセキュリティ機能をオンにすると、パフォーマンスが劇的に落ちてしまっていた。ソニックウォールのNSAシリーズの場合、トラフィックのうち2％だけを検査するステートフルパケットインスペクションではなく、100％検査するディープパケットインスペクションを採用しており、それによるパフォーマンスの劣化は確かにある。しかし、その度合いは小さい」――。

　米ソニックウォールのネットワーク・セキュリティ製品・サービス担当プロダクト・マネジメント・ディレクタ、ジョン・キューン（Jon Kuhn）氏が来日し、深いレベルでのセキュリティ検査とパフォーマンスを両立させていくという同社の戦略について語った。

米ソニックウォールのネットワーク・セキュリティ製品・サービス担当プロダクト・マネジメント・ディレクタ、ジョン・キューン（Jon Kuhn）氏

　ソニックウォールは2007年11月に、マルチコアアーキテクチャを採用した大規模ネットワーク向けのUTM（統合脅威管理）アプライアンス「SonicWALL Network Security Appliance E-Class」（NSA E-Class）を発表した。2008年4月には、同じアーキテクチャをベースとした中規模ネットワーク向けの製品「NSA」シリーズも追加している。一連の製品は、6月11日より開催されるInterop Tokyo 2008の展示会で紹介される予定だ。

　キューン氏によると両シリーズは、ネットワークレベルだけでなく、アプリケーションレベルも含めた幅広い攻撃に対応できるよう、複数のセキュリティ機能を統合している。また、「アプリケーションの可視性とコントロールを高め、かつUTMの中で最も高いパフォーマンスと拡張性を達成することを目的として設計、開発してきた」という。

　特徴は、「パケットの再構築が不要な新エンジンの採用と100を超えるプロトコルのサポート、それにマルチコア対応」だという。マルチコア設計を採用することで、ファイアウォールやIPS、アプリケーションファイアウォールといった複数のセキュリティ機能を動作させつつ、複数のコアで処理を分散させるため、より高い拡張性が得られる。また、ほかの製品では、いったんパケットをバッファメモリに収めてから検査を行うため、おのずと処理できるサイズに限界がある。これに対しNSA E-Classでは、メモリサイズを無制限とし、ストリームベースで検査を実施するため、どれほど大きなファイルでもリアルタイムに処理できるとキューン氏は述べた。

　また、「最近は、Skypeなどのアプリケーションにうまく潜む脅威が増えている」（同氏）ことから、HTTPやFTP、IMAPといった典型的なプロトコルだけでなく、100種類上のプロトコルをサポートすることで、見過ごされがちな脅威を検出できることも特徴だという。

　この結果、「例えば、機密情報と記された文書を外部に送信しようとした場合、そのことを検知して管理者にアラートを投げたり、送信をブロックしたりすることが可能になる」（キューン氏）。

　ソニックウォールでは今後、NSA E-Classのパフォーマンスをさらに高めて10Gbpsクラスを実現し、サービスプロバイダー市場で求められるを実現していく計画だ。同時に、専用OS「SonicOS」側でも、ISP向けの機能を追加していくという。具体的には、ファイアウォールをはじめとするセキュリティ機能の仮想化とコンテキストベースの処理をサポートし、「ある顧客にはこのセキュリティサービス、別の顧客にはまた異なるサービスを提供するといったことを可能にしたい」（キューン氏）。ほかに、日本市場で重要性を増しているIPv6のサポートやPC側での情報漏えい対策の強化なども視野に入れているという。