このページの本文へ

エンタープライズのセキュリティを変える「Dell SonicWALL SuperMassive」 第4回

ハードウェアからソフトウェアまで製品の魅力を探る

最強のNGFW「SuperMassive 9000」を徹底解剖する

2013年07月19日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp 写真●曽根田元

  • この記事をはてなブックマークに追加
  • 本文印刷

デルソニックウォールから満を持して登場した次世代ファイアウォール(NGFW)の真打ち「Dell SonicWALL SuperMassive 9000シリーズ」(以下、SuperMassive 9000)。今回はSuperMassive 9000シリーズの実機と製品を支える技術を深掘りしていく。

SuperMassive 9000の実機を見る

 まずは外見から見ていこう。SuperMassive 9000はコンパクトな1U筐体で、4Uという大型筐体だったSuperMassive E10000シリーズから比べると、大幅な省スペース化を実現している。外見だけ見るとスイッチのように見えるが、この中に最大32コアのCPUを搭載できるわけで、かなり驚きだ。同社としては初めてのブラックのカラーリングを採用している。

SuperMassive 9000シリーズの3モデル

 前面には4ポートの10GbE(SFP+)、8ポートの1GbE(SFP)、8ポートの1GbE(カッパー)のほか、管理用のRJ-45ポート、USBポート、ステータスや制御用のLCDディスプレイが並ぶ。一方、背面にはSSDや10GbEモジュールを収容できる拡張スロットのほか、デュアルホットスワップファンとデュアル電源モジュールが用意されている。

SuperMassive 9000シリーズのハードウェア構成

 なお、SuperMassive 9000には9600、9400、9200の3モデルが用意されているが、筐体やポート構成は基本的にすべて同じ。内部的なCPUのコア数とメモリ容量がモデルごとに異なっているのみだ。

数多くのポートが並ぶSuperMassive 9600の前面

背面は拡張スロットや電源、ファンなど

RFDPIとマルチコアアーキテクチャ

 ソフトウェアとしては、第6世代となるSonicOS 6.1を採用する。SonicOSはデルソニックウォールの次世代ファイアウォールを支える実績の高いソフトウェアで、RFDPI(Reassembly-Free Deep Packet Inspection)やマルチコアアーキテクチャなどの、同社ならではの特徴を持っている。

 RFDPIとは、文字通り、スキャン対象のファイルを再構築しないで、ストリーミング型(フロー型)でスキャンを実施する同社の特許技術である。ストリーミング型(フロー型)のスキャンは他社製品でも実装されている技術ではあるが、デルソニックウォールのRFDPIは一線を画している。UTM(Unified Threat Management)のように、ファイアウォール、アンチウイルス、IPSなどの複数のセキュリティ技術を組み合わせる場合、パケットの読み取り、スキャン対象ファイルの再構築を何度も行なわなければならないため、性能の劣化は著しい。ここで、RFDPIの性能は顕著に現れる。

 RFDPIのシグネチャはステートツリーで構成されており、いったんバッファリングしてスキャン対象のファイルを再構築し、再構築されたファイルに対して1つ1つシグネチャマッチングを実施していくプロキシ型スキャン製品に比べきわめて効率的で低遅延である。パケットには、最終的に再構築を実施するためにシーケンス番号というパケットの順序番号が埋め込まれている。パケットはこの順番どおりに送出されるが、必ずしも順番どおりに到着するとは限らない。そこでRFDPIは、まず到着したパケットを元の順番どおりに並べ替える。そして、パケットの先頭から順にすべてステートツリーで診断を実施する。

 RFDPIのステートツリーは、特定時点における通信の状態を表したシグネチャを1つのステータスとして定義しており、このステータスがツリー構造を成している。そして、通信の状態に合わせてツリーを進んで行き、最終的にウイルスと判断できるステータスにたどり着いた場合に通信がブロックされる。ここでの特徴は、ウイルス等のコードをシグネチャ化しているのではなく、ウイルスのコードに加えて、通信の状態がシグネチャ化されていることだ。つまり、単純にシグネチャにないゼロデイのウイルスであっても、その通信方法が怪しければ確実に検査され、ウイルスと断定できる状態になった場合はきちんとブロックされる。まさに高度化する脅威対策として、誤検知率の少ない、確実性に優れたシグネチャベースのスキャンと、シグネチャに頼らずに検知を可能とするアノマリ型の両方のメリットを併せ持つハイブリッドな検知技術であると言える。

効率的なパケットインスペクションを実現するRFDPI

 また、RFDPIでは、ポート80番を利用するアプリケーション、利用するユーザー、行き交うコンテンツを識別し、遮断やログ収集、帯域の絞り込みなどのアクションを実施する。これにより、サーバー/クライアントの包括的な攻撃のほか、ボットネット、DDoS攻撃、SSLトンネル内の精査、プロトコル異常や不正利用の検知、地域ごとのIPアドレスの監視などを行なうことで、最新の攻撃を防ぐ。アプリケーションごとに対応しなければならないプロキシ型と異なり、通過するすべてのネットワークトラフィックを対象にできるのもデルソニックウォールの大きな差別化ポイントだ。

 とはいえ、再構築なしでペイロードまで精査し、すべてのパケットを検査するのは処理負荷がどうしても大きくなる。そこでRFDPIでは、ハードウェアのアーキテクチャとしてマルチコアを採用。大量のトラフィックを並列処理することで、スループットの劣化を抑えている。ハイエンドのSuperMassive 9600の場合、1.2GHzのCPUコアを32個搭載しており、ファイアウォールで20Gbps、IPSやアプリケーション制御で9.7Gbps、アンチマルウェアで5Gbpsというパフォーマンスを実現する。9400や9200でもギガビットクラスの高い処理能力を確保している。

各モデルのパフォーマンス

ファイアウォールとサンドボックスは共存できる

 なにより重要なのは、性能だけでなく、セキュリティの強度をきちんと確保している点だ。第三者機関のNSS Labがテストしたところ、ギガビットの性能を保持しながら、SuperMassive E10800を複雑な手口の攻撃を100%を遮断したという。その結果、次世代ファイアウォールとしては、2012年、2013年と2年連続で“推奨”という評価が下されている。

 一方で、最近は従来のようなバラマキ型ではなく、よりターゲットを特定した標的型攻撃への対応も気になるところだ。こうした標的型攻撃では、まずポートスキャンをはじめとした偵察活動を元に標的を決め、マルウェアを送り込む。そして、こうして攻撃対象にバックドアを設置したのち、他のホストに増殖したり、外部からの制御で情報収集や攻撃を行なうのが一般的だ。こうした巧妙な標的型攻撃に対しても多層的な防御が可能なSuperMasssive 9000は有効だ。

 まずは、ポートスキャンのような偵察活動をシグネチャベースのIPS等できちんと検知・遮断できるという点だ。偵察活動の段階できちんとブロックしてしまえば、そもそも攻撃に進まないわけで、非常に有効といえる。また、マルウェアを送り込む段階においては、やはりアンチウイルス・アンチスパイウェアが効果を発揮する。メールやHTTP、IM、P2Pなどさまざまなアプリケーションに対応しており、SNS経由でマルウェアの埋め込まれたサイトに誘導するといった手口でも、ユーザーのアクセスをきちんとブロックしてくれる。

 さらにSuperMassive 9000では、アウトバウンドのトラフィックに対してもコントロールが効く。同社のボットネットフィルターを用いることで、いつの間にか攻撃に荷担させられたり、C&Cサーバーとやりとりしたりといった不正な動作・通信を遮断できる。

 このように、デルソニックウォールのSuperMassive 9000はあくまで次世代ファイアウォールとして、シグネチャをベースとしたフィルタリング処理を確実に実行することに徹しているのだ。最近はマルウェアと疑われるコードを仮想マシン上で実行するサンドボックスが標的型攻撃対策として注目を集めているが、こうしたサンドボックスを搭載したアノマリ型IPSとは相互補完的に共存できる存在といえる。SuperMassive 9000のような次世代ファイアウォールと組み合わせることで、最強の標的型攻撃対策となるわけだ。

シグネチャ型とアノマリ型の組み合わせで最強の標的型攻撃へ

生まれながらの次世代ファイアウォール「SuperMassive 9000」

 さて、このようにSuperMassive 9000は次世代ファイアウォールとして必須ともいえるスペックを兼ね備えている。RFDPIをベースにした高いセキュリティ強度、マルチコアアーキテクチャを採用したパフォーマンス、長らくエンタープライスの現場でたたき上げられた実績の高いソフトウェア、アプリケーションを意識した可視化機能など、エンタープライズで導入するセキュリティゲートウェイとして信頼するに足りうる特徴を満載している。

エンタープライズ向け次世代ファイアウォールの本命であるSuperMassive 9000シリーズ

 特筆すべきは、これらの技術は次世代ファイアウォールを名乗るため後付けしたわけではないという点だ。どれもデルソニックウォールが次を見据えて、コア技術に組み込んできたのだ。こうした経緯を考えれば、同社の製品は生まれながらにして次世代ファイアウォールだったといえるだろう。UTMの処理能力に不満を持つユーザー、既存のファイアウォールのリプレースを考えているユーザーなどに最適と言えるだろう。

(提供:デルソニックウォール)

■関連サイト

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード