ファイアウォールだけじゃない！ウイルス対策もIPSも本格派

Safe@Office 1000Nの多彩な機能と技術を探る

2011年04月12日 09時50分更新

文● 大谷イビサ／TECH.ASCII.jp　写真●曽根田元
記事協力●チェック・ポイント・ソフトウェア・テクノロジーズ

前回はチェック・ポイントSafe@Office UTMがなぜスモールビジネスに最適なのかを中心に見てきた。今回は、Safe@Office UTMの実機を試し、その実力を調べてみたい。

鮮やかなオレンジ色の筐体に
フルのUTM機能を搭載

　まずはSafe@Office 1000Nのハードウェアからチェックしていこう。

　デスクトップサイズのUTMということで、Safe@Office N1000の筐体は実にコンパクトだ。200（W）×128（D）×32（H）mmというサイズは、市販されているブロードバンドルーターの大きさとほぼ同じ。この小型筐体にUTMとしての機能が収まっていると思うと、技術の進化に驚かされる。コネクションも最大6万、VPNトンネルも400までサポートしており、見た目に比して処理能力は高い。なお、筐体はオレンジと黄色を組み合わせたポップなカラーリングを採用しており、遠くから見ても非常に目立つ。

Safe@Office 1000Nの前面

　前面にはリンク状態等を示すLEDが並んでおり、ポート類はすべて背面に用意されている。ポートは、スイッチ化された4つのLANポートのほか、WANポート、DMZポートがそれぞれ1つずつ搭載されている。すべてのポートがギガビットEthernetに対応しているので、LANはもちろん、光ファイバー接続の高速インターネット接続でもスループットは落ちない。その他、背面にはコンソールポートとリセットスイッチが搭載されている。

Safe@Office 1000Nの背面

　Safe@Office 1000Nは、OSとして組み込みに特化したセキュリティソフトウェアである「Embedded NGX」を採用し、ファイアウォール、VPN、IPS、アンチウイルス、アンチスパム、Webフィルタリングの機能を搭載する。このうちファイアウォールとVPN以外はチェック・ポイントからサブスクリプション（購読）ライセンスを購入することにより、機能がオンになる。これにより、チェック・ポイントのクラウドサービス側からシグネチャやデータベースの更新が行なわれ、最新の脅威に対応できる。以下、機能の詳細を見ていこう。

実績の高いファイアウォールを搭載

　ファイアウォールのスループットは1Gbpsを実現しており、チェック・ポイントが開発したファイアウォールの代名詞ともいえる「ステートフルインスペクション」に対応する。ステートフルインスペクションは、パケットフィルタリングやアプリケーションゲートウェイといった古典的なファイアウォールが採用する方式の弱点を解消したフィルタリング技術だ。

　パケットフィルタリングは、宛先と送信元のアドレスとポート、プロトコル番号などを条件にパケット通過の可否を決定するファイアウォールのベーシックな実装だ。処理が高速だが、アプリケーションを識別できないため、詳細なアクセス制御が行なえないという弱点がある。一方、アプリケーションゲートウェイはLAN内のホストとインターネット側のサーバーとのやりとりを、ファイアウォールが仲介する「プロキシ」の技術を用いた制御方式。詳細なアクセス制御ができる代わり、処理負荷が重く、アプリケーションプロトコルごとにプロキシを用意する必要がある。

既存のファイアウォールとステートフルインスペクションの違い

　これに対して、ステートフルインスペクションはパケットのヘッダ情報だけでなく、アプリケーションの制御情報や発着信した物理ポート、Ethernetレベルの制御情報、到発着時刻などを読み取る。これらをベースに複数のパケットの連なりを1つの通信と捉え、アプリケーションの特性に合わせたアクセス制御を行なう。パケットフィルタリングの処理の速さ、アプリケーションゲートウェイのきめ細かさというメリットを併せ持つというわけだ。

最新の攻撃に対応するSmartDefenseと
多彩なVPN機能

　ステートフルインスペクションベースのファイアウォールは、古くからLANや公開サーバーを守ってきた実績の高い技術である。しかし、第1回でも述べたとおり、固定的なセキュリティポリシーを採用するファイアウォールのみでの防御ではどうしても限界がある。攻撃者は日々脆弱性を探し、新たな攻撃を仕掛けてくる。そして昨今では脆弱性の発見から日を置かずにマルウェア拡散や攻撃が行なわれる「ゼロデイ攻撃」も増えている。こうしたアプリケーションの脆弱性を突くゼロデイ攻撃を防ぐために搭載されているのが「SmartDefense」と呼ばれるサービスである。

　SmartDefenseは、Check Point NGXで実装されたサービスで、OSやアプリケーションの脆弱性、プロトコルを日々研究しているチェック・ポイントの分析を元に攻撃を防ぐためのアドバイスを受けたり、防御のためのアップデートをいち早く受けられるというものだ。こうしたアドバイスやアップデートにより、脆弱性に対応するパッチが提供されるよりも前に、ユーザーのシステムやネットワークを防御できるという。進化し続ける攻撃に対応する、新しいファイアウォール技術といえるだろう。

SmartDefenseの動作概要

　SmartDefenseでは複数の脅威のカテゴリが用意されており、必要に応じて遮断やログ取得などを設定する。カテゴリはDoS攻撃、FTP、HTTP、IGMP、IP、TCP、IM（Instant Messenger）、Microsoft Network、P2P、VoIP、ゲームなど、幅広いプロトコル・アプリケーションをカバー。それぞれにブロックやログ取得などのアクションをとることが可能だ。

　また、VPNもさまざまな形態をサポートしている。VPNゲートウェイとしてLAN間を結ぶ「拠点間VPN」のほか、自宅や外出先などの端末からアクセスする「リモートアクセスVPN」、さらに社内向けのVPNサーバーとして展開することも可能だ。特にリモートアクセスVPNに関しては、高機能なVPNクライアントも提供されている。

　なお、VPNプロトコルはIPsecやL2TPなどをサポートしており、用途にあわせて使い分けられる。

高速なアンチウイルス処理と
高機能なアンチスパム

　Safe@Office UTMでは、VStream AntivirusとEmail AntiVirusというサービスを用いて、ウイルス検知を行なう。VStream Antivirusは、ファイル単位ではなく、ストリームベースで高速にウイルスを検知する技術。Safe@Office UTMにエンジンが搭載されており、同時にいくつものセッションをさばけるほか、圧縮ファイルのスキャンも可能。検知したウイルスはログとして保存される。ウイルス検知に必要なシグネチャも自動的にダウンロードされるので、最新のウイルスにもいち早く対応する。

　一方のEmail AntiVirusはクラウドベースのサービスなので、アプライアンスに負荷を与えないというメリットがある。両者は機能面でも異なっており、たとえばEmail AntiVirusではサポートするプロトコルはSMTP、POP3のみだが、VStream AntivirusではSMTP、POP3、IMAP4、FTP、HTTPなどマルチプロトコル対応だ。両者はいずれかを使っても、併用してもよい。

　また、アンチスパムに関しても、アプライアンス内で動くVStream Antispamのほか、クラウドベースのEmail Antispamの2つが用意されている。

　これらアンチスパムは、大きく3つのフィルタリング技術で構成されている。

スパムメール除去の処理

IPレピュテーション: 送信元のIPアドレスを格付けするレピュテーションサービスを元にしたフィルタリング。接続時にチェック・ポイントの研究機関が収集したデータベースに動的に問い合わせ、不正と判断された場合はセッション自体を切断する。
拒否／許可リスト: ユーザーが任意に設定した許可／拒否リストを元に電子メール受信の可否を決定する。ドメイン単位でのブロックや許可も可能
コンテンツレベルのブロック: 送信元のIPアドレスやドメインではなく、転送されたメールの中身をチェックする手法。受信したメールとチェック・ポイントのデータベースに登録されているスパムメールのシグネチャを動的に照合し、既知のスパムメールをブロックする。

　アンチスパムでは、単にブロックするだけではなく、スパム度をメールのヘッダにマーキングすることが可能になっている。これを用いて、ユーザーは独自にスパムメールを振り分けることができる。

自由度の高いWebフィルタリングと
NACによる認証

　ユーザーがアクセスするWebサイトをURLやコンテンツ内容で精査するWebフィルタリングは、ユーザー自身がアクセスを禁止するサイトを任意に登録する「Web Rules」と、クラウドサービスと連携し、カテゴリごとにアクセスの制御を行なう「Web Filtering」の2種類が用意されている。両者を組み合わせて使うことで、従業員のWebアクセスを詳細に制御することが可能になる。アクセス拒否を表示するページもカスタマイズできる。

　また、LAN内でのPCの接続に対して認証をかけるネットワークアクセス制御（NAC）の機能も搭載している。