そろそろ「次世代」の字がとれる時期か？

「次世代」はやめて「L7ファイアウォール」と呼ぼう宣言

2010年11月01日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

既存のファイアウォールを超える「次世代ファイアウォール」もそろそろ使い古されてきた感がある。アプリケーションの利用状況を可視化し、詳細に制御するという特徴を持つ新型設計のファイアウォールをうちでは「L7ファイアウォール」と呼ぼうと思う。

次世代ファイアウォールの「次世代」がとれるとき

　「次世代ファイアウォール」という概念を最初に打ち出してきたのは、新興のパロアルト・ネットワークスであることに異論はないだろう。同社は、ポート単位でのアプリケーション制御が限界にがあることを訴え、今まで見えなかったアプリケーションの利用状況を可視化・制御する新しいファイアウォールの概念を提唱した。同社のPAシリーズは、既存のセキュリティ機能を詰め合わせたUTMと異なり、あくまでファイアウォールの一部としてアプリケーション可視化・制御を埋め込み、現在のインターネットの脅威に対抗しようとしている。

　とはいえ、こうしたアプリケーション可視化・制御の概念は決して真新しいモノではない。チェック・ポイントも2000年代の前半にはアプリケーション・インテリジェンスを提唱し、レイヤ7での脅威に対抗する概念を打ち出していた。また、個人的にはコンセントリーネットワークスのLAN Shieldシリーズのような「セキュアスイッチ」と呼ばれるジャンルも、アプリケーション可視化・制御の指向を打ち出していた。

　とはいえ、これらの製品はきちんと市民権を得られたかというと、それは大きな疑問だ。これは単純にCPUの処理能力が足りなかったこととに起因していると思う。コンセントリの製品もFPGAを用いて10Gbpsを超える処理能力を実現していたが、カスタムのシリコンではどうしても価格が高くなる。その点、現在はマルチコアCPUが低廉な価格で導入できるようになったことで、今までコンセプト倒れだった次世代ファイアウォールのような処理が比較的現実的な価格で実現できるようになった。こうした背景があり、インターネットアプリケーションの多様化・HTTP化が進んだことで、次世代ファイアウォールのコンセプトがよりユーザーに響くことになったのだと思う。

　気が付けば、パロアルトを追従するベンダーも増えてきた。ソニックウォールも、チェック・ポイントも、アプリケーションの可視化・制御の機能を追加する。マカフィーもSidewinderの新バージョンをひっさげ、次世代ファイアウォールの市場に本格参入してきた。そして今年の後半、他のいくつかのベンダーもこうした次世代ファイアウォールの機能を導入することになる。こうなると、もはや「次世代」ではなくなる。いまそこにある選択肢だ。

　（UTMしかり）造語はアナリストの特権だが、私たちは今後次世代ファイアウォールを「L7ファイアウォール」と表現しようと思う。L7ファイアウォールでは、ネットワークに流れるアプリケーション、ユーザー、コンテンツを識別し、グラフィカルに可視化できる。セキュリティポリシーに応じて柔軟にアクセス制御でき、ユーザーはIPアドレスやポートをベースとした複雑なフィルタリングルールから解放される。

　一方で情シスの仕事は、これまで以上にセキュリティポリシーの管理に重きが置かれるようになるだろう。今まではセキュリティを確保するため、管理者がポートやアドレスといった低いレイヤの情報に解釈し直してポリシーを設計していたが、L7ファイアウォールの設定は、アプリケーションやその機能の利用の可否を直接制御できる。たとえば、Skypeは使わせないのか、Twitterは使わせるのか、すべて情シスがコントロールするのだ。

　次のファイアウォールは、より高度なコンテンツフィルタリングが必要になると思う。たとえば、画像のスパムメールが流行ったとき、多くのスパムメール対策製品は、こうした非テキストのコンテンツに対してOCR処理をかけて、抽出したテキストを元にスパムかどうかを判断すような技術を実装した。今後のファイアウォールには、こうしたコンテンツの中身を精査するフィルタリング技術が要求されるだろう。トラフィックの増え方から考えると、動画のフィルタリングというのも、重要になってくるかもしれない。ファイアウォールはまだまだ進化しなければならないのだ。

ツイートする

カテゴリートップへ