イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズ社(以下、チェック・ポイント)は、ネットワークセキュリティー製品の代表的なベンダーである。同社の設立は'93年。設立と同時にファイアウォール製品『Firewall-1』を送り出し、以来、ネットワークセキュリティ製品やトラフィック管理ツールを開発・販売している。
同社は近年、『VPN-1』に代表されるVPN(Virtual Private Netowork)関連製品を主力としており、今年の第3四半期中にはVPN製品をすべてバージョンアップするという。チェック・ポイントの次期VPN製品の詳細と、今後のVPNの動向について、チェック・ポイントの日本法人であるチェック・ポイント・ソフトウェア・テクノロジーズ(株)の代表取締役社長宇山幸伸氏にお話をうかがった。
チェック・ポイント代表取締役社長宇山幸伸氏(右)と、技術次長卯城大士氏 |
チェックポイント社とVPN
たとえば、企業の本社と地方のブランチオフィスを結ぶネットワークを構築する場合、インターネットをそのまま利用するだけでは、セキュリティ面で不安が残る。インターネットのセキュリティ上の問題を解決するために登場したのがVPNだ。VPNは、インターネットを利用しながら、複数の離れた拠点を結ぶセキュアなネットワークを構築する。VPNの基本は、情報の暗号化である。VPNによるネットワークを構築した場合、すべての情報は暗号化されてからインターネットに送り出され、受け取った側であらためて復号化する。インターネットを利用しながら、専用線のようなセキュアな通信を実現することから、Virtual Private Network(仮想私設回線)と呼ばれる。
「VPNが次第に注目されてきたのは、専用線を引くよりインターネットを使ったほうが安いからです。VPNを利用することで、コストの安い、安全な通信を実現できます。もっとも、最近では専用線もずいぶん安くなってきました。ただ、企業間の通信だけではなく、モバイルユーザーが企業にアクセスする用途や、エクストラネットとして、いろいろな業者をふくめたすべてのフローをインターネット上でやる需要も出てきています。そのような場合には、VPNの導入が必要となるでしょう」
VPNとひとくちに言っても、その方法はいろいろある。たとえば、Windowsで提供されているVPNは、マイクロソフトが提唱するPPTP(Point to Point Tunneling Protocol)というプロトコルを利用して行なわれている。一方、シスコではルーターの機能としてVPNを実現しようと考えている。また、コンパック(旧DEC)などVPN専用装置としてハードウェアで実装するものもある。では、チェック・ポイント社が提供するVPN製品は、どのような特徴を持つのだろうか。
「われわれチェック・ポイントが提供する製品『VPN-1』では、IPレベルでVPNを実現しており、企業のセキュリティポリシーを中央で一括管理できることが特徴です」
同社では、“OPSEC”(Open Platform for Secure Enterprise Connectivity)と呼ばれるフレームワークを策定している。VPNにはさまざまな実装があり、それぞれ互換性がないことから、同社はOPSECとして標準プロトコルとAPI(Applications Programming Interface)などを定義した。そして、OPSECに準拠した製品は、他のベンダー(サン、IBM、HPなど)のものを含めすべて、相互接続性および拡張性を保証している。
「チェック・ポイントは、OPSECおよび“ステートフル・インスペクション技術”を中核とすることで、成長を続けてきました。ステートフル・インスペクションとは、ファイアウォール技術の一種で、チェック・ポイントが特許を持つものです。ファイアウォール技術と言えばパケットフィルターが代表的ですが、パケットフィルターはパケットのヘッダーのみを調べるものです。これに対し、ステートフル・インスペクションはパケット全体を見るので、より高いセキュリティーを実現できます」
チェック・ポイントの次期VPN製品
「すでに、VPNがないと業務が進まないという時代がきていると、私たちは考えています。そこでチェック・ポイントでは、これからのVPNに求められる要件を満たす製品を、今年の第3四半期中に発表する予定です。現行のVPN製品である『VPN-1
Gateway』や『VPN-1 Appliance』、『VPN-1 SecuRemote』などをすべてバージョンアップして、新たにリリースすることになるでしょう」同社が予定する次期VPN製品(VPN-1シリーズのバージョンアップ)で盛り込まれる要素は、“複数ベンダーの各種PKIのサポート”および“イントラネットVPN”、“QoSとの統合”、“高可用性”、“スケーラブルなクラスタリング”の5点だという。これらについて、それぞれ解説をいただいた。
「“各種PKIのサポート”とは、『VPN-1』が複数のCA(認証局)に対する相互認証の機能を持つということです。これは、複数の企業が混在するエクストラネットでVPNを利用する際に必須となる機能です。米RSA社が定めた“PKCS”というCAの標準があるのですが、次期VPN-1は、PKCSに対応したCAにすべて対応することになります。具体的には、現行のVPN-1で対応しているEntrustに加え、ベリサインとネットスケープに対応することになります」
「“イントラネットVPN”は、インターネットを介さない社内LANで利用するためのVPNで、社内的なセキュリティを実現します。単に暗号化するだけではなく、マシンごとにセキュリティポリシーを持たせることができます。ネットワーク上の情報に対して直接アクセスできるか、あるいはVPNを通す必要があるのか、などを細かく設定できるわけです。わざわざ“イントラネットVPN”が必要となる背景として、社内LANでDHCP(Dynamic Host Configuration Protocol: 各クライアントに動的にIPを割り当てるもの)を利用している場合はマシンのIPアドレスが固定でないため、どのマシンからのアクセスかが特定できないという事情があるのです。そこで、マシンを使用するユーザーを認証によって特定する仕組みになっています」
「“QoS(Quality of Service)との統合”とは、すなわち帯域幅コントロールのことです。ネットワークを流れるデータに優先順位をつけ、重要なものを優先的に通すことで利用効率を上げようという考えかたです。ただ、VPNでデータを暗号化すると、中身が分からなくなってしまいうので、まずオリジナルのデータを帯域制御してから、その後でVPNによる暗号化を施して送出することになります。データを受けた方では、VPNを復号化してから帯域制御するわけですね。VPN-1では、パケットの優先順位づけとデータ圧縮技術によって、QoSを実現します」
「“可用性”の実現としては、サーバーのダウンタイムを少なくするために、予備のサーバーを用意することになります。単にプライマリーのサーバーが落ちたらセカンダリーに切り替える機能は、従来のVPN-1でも持っています。次期バージョンでは、それをもう1歩すすめて“IPセッションをきらずにセカンダリーに引き継ぐ”方法を考えています。そのために、先に説明したステートフル・インスペクション技術を使っています」
「最後に“クラスタリング”ですが、複数のVPN-1ゲートウェイに1つのIPアドレスを割り振って負荷分散するものです。暗号化も分散することでパフォーマンスを上げることができます。今のところ目標は、同時1万VPNセッションのサポートです」
チェック・ポイントが日本法人としてチェック・ポイント・ソフトウェア・テクノロジーズ(株)を設立したのは'97年。VPN製品やファイアウォール製品の日本市場における伸びは欧米に比べて大きく、同社はその波に乗って業績を伸ばしてきた。今年度も、前年比2倍(売上ベース)の伸びを予想しているという。特に最近では企業の内部セキュリティーを対象とした導入が増える傾向にあり、イントラネットVPNを搭載した次期VPN-1への期待も大きい。(このインタビューは、チェック・ポイント社にて'99年6月に行なわれたものです)