ジュニパー、面でのセキュリティ防御のための新戦略と製品を発表：オープンな仕組みを志向

　ジュニパーネットワークスは2016年10月20日、ネットワークセキュリティ戦略を説明、関連する新製品を発表した。

　ジュニパーは「Software Defined Secure Networks」という戦略を掲げている。これは、従来の境界セキュリティにとどまらず、社内ネットワークのさまざまなポイントにセキュリティ脅威の検知機能と対策実行機能を持たせることにより、面で守るセキュリティを実現するというもの。

ネットワーク全体で防御する考え方

　例えば、未知のマルウェアが社内ネットワークに侵入した場合でも、マルウェア分析のクラウドサービスに疑わしいコンテンツを送信、分析結果を受けて通信を遮断し、感染したホストを隔離する。

　具体的には、UTMプラスアルファの機能を持つ統合セキュリティ製品「Juniper SRX」やその仮想アプライアンス版である「Juniper vSRX」を利用。これによって既知のセキュリティ脅威についての防御を行う。

　未知のマルウェアについては、これを分析するクラウドサービスの「Sky Advanced Threat Prevention（Sky ATP）」に送付。結果に基づいて、外部のC＆C（Command and ontrol）サーバとの通信をブロックするとともに、感染したホストを隔離する。

今回発表した新機能と新製品

　ジュニパーは今回、SRXをはじめとした同社製品と連動する、セキュリティ管理ソフトウェアの「Juniper Security Director」に、SkyATPと連動するセキュリティポリシー管理、実行ツール「Policy Enforcer」を発表した、

　Policy Enforcerは2016年12月に提供開始するといい、事前設定したポリシーに基づいて、感染端末の通信を防ぐために、SRXやvSRX、そしてジュニパーのスイッチ／ルータの設定を変更する。

　また、攻撃検知の観点からは、今回物理的な製品であるSRXに加え、仮想マシンとして仮想化環境上で動作するvSRXが、SkyATPに対応した。SkyATPはvSRXからの情報を受け取って分析できるようになった。逆に、vSRXは、SkyATPからの通知に基づき、セキュリティ対策を実行することもできる。

　vSRXとSkyATPの連動が実現したことで、社内ネットワークにおけるセキュリティ脅威の検知という点で、選択肢が広がることになった。イーサネットスイッチのトラフィックをvSRXにミラーリングし、vSRXがこれをスクリーニングして、怪しいコンテンツについてはSky ATPに通知できる。また、今回の発表に含まれてはいないが、単体版のJunosをサポートする初のスイッチ「QFX5200」などでは仮想化環境が動いており、vSRXのようなソフトウェアが動かせる余地がある。さらに、パブリッククラウドでvSRXを動かし、VPN機能とファイアウォール／ウイルス検知／マルウェア検知といった機能を実行させることも可能。

　さらに、SRXでは「SRX 4100」「SRX 4200」の2製品が2016年末までに提供開始される。

　上記に類似した仕組みは、他社でも見られるが、ジュニパーの場合、同社製品に限定しないオープンなものである点が、大きな特徴だという。2017年前半には、VMware NSX、Contrail、他社スイッチとの連携を実現するという。NSXと連携すれば、マイクロセグメンテーションが活用できる。他社スイッチでの対策実行については、SSHログインでコマンドを叩く形になるだろうとしている。