「FortiOS 5.6」の国内提供開始、エンドポイントを含む可視性とコントロール性を実現
フォーティネットが最新OSで実現「セキュリティファブリック」とは
2017年07月10日 07時00分更新
フォーティネットジャパンは7月7日、同社セキュリティOSの最新版「FortiOS 5.6.1」の国内提供開始を発表した。同日の発表会では、最新版OSの機能拡張により可能になった、エンドポイントを含むネットワーク全体の可視性とコントロール性を実現する「セキュリティファブリック」について、デモ動画も交えながら紹介された。
フォーティネットジャパン 技術本部 本部長の宮西一範氏
ネットワーク全体からの情報収集と分析を通じてセキュリティを実現
FortiOSは、同社製のセキュリティアプライアンス「FortiGate」のOS。オンプレミス設置する物理アプライアンスだけでなく、Amazon Web Services(AWS)やMicrosoft Azure、OpenStackなどのクラウド環境向けに提供している仮想アプライアンスも同OSで稼働し、同じ機能が利用できる。最新版の5.6.1は、国内では8月上旬から提供を開始する。
フォーティネットジャパンでプリセールス/SEを統括する技術本部 本部長の宮西一範氏は、新OSでは、フォーティネットが考えるセキュリティファブリックの実現に向けた機能強化がなされていることを紹介した。
フォーティネットでは数年前から、企業ネットワークをセグメンテーション化し、インターネットゲートウェイだけでなくセグメンテーションの境界にもFortiGateを配置して、マルウェアの社内拡散などの被害を防ぐことを提唱してきた。セキュリティファブリックはその延長線上にあり、複数台のFortiGateの運用管理性を高めると同時に、エンドポイントデバイスやアプリケーションまでの可視性とコントロール性を追加したものとなる。
ネットワークゲートウェイだけでなく、エンドポイントやアプリケーション、クラウドまでをカバーする包括的なセキュリティ環境の実現を目指す(今年1月の発表会資料より)
セキュリティファブリックではまず、FortiGateとFortiAnalyzer(FortiGateからのログ収集と分析、レポーティングを行うアプライアンス)を中核的な構成要素(必須要素)となる。そのうえで、フォーティネット製のスイッチや無線LANアクセスポイント(FortiSwitch、FortiAP)、さらにエンドポイントデバイス用のクライアントソフト(FortiClient)を追加することで、エンドポイントの可視性とコントロール性が実現する。
さらに、Webやメールのゲートウェイセキュリティ製品(FortiWeb、FortiMail)、さらにはサードパーティ製品からもセキュリティログを収集/分析し、ネットワーク全体をカバーする監視の一元化にも対応する。
フォーティネット セキュリティファブリックの概要。ネットワーク全体からセキュリティログを収集、分析、可視化する
宮西氏は、セキュリティファブリックを構築することで、セキュリティログの分析結果だけでなく、「どんなデバイスがどこに接続されているか」というネットワークトポロジーも含めた「可視性」と、ネットワーク全体に潜在する脆弱性やリスクの抽出によってセキュリティ監査対応を支援する「コントロール性」の2つが実現すると強調した。
セキュリティファブリックにより、経営者にも理解しやすいダッシュボード、監査対応にも役立つ脆弱性削減が実現するとした
発表会で披露されたデモ動画ではまず、複数台のFortiGateを連携させ、ネットワーク接続されたデバイス(モバイルデバイスを含む)を可視化し、各デバイスの詳細情報へのドリルダウン、トラフィック量が異常に多くマルウェア感染(ボットネット通信)の疑いがあるデバイスの隔離処理、といった操作が単一コンソールで簡単にできることが紹介された。
エンドポイントまでのネットワークトポロジーを可視化し、個々のトラフィックの状態から不審なデバイスを見つける
さらに、FortiSwitch/FortiAPとFortiClientを追加した環境のデモ動画では、エンドポイントデバイスから取得する詳細情報に基づいて、潜在する脆弱性のスコアリングや脆弱性のあるデバイスがどのスイッチポート(またはAP)に接続されているのかまでを調査できることが示された。脆弱性はフォーティネット独自のスコアリング基準で評価され、たとえば「脆弱性パッチ未適用のデバイス」「FortiClient未導入のデバイス」や「長期間使われていないポリシーの抽出」といった項目があるため、監査対応の際に役立つという。
なお、FortiSwitchとFortiGate間の通信には独自プロトコルを使用しており、ネットワーク内にFortiSwitch以外のサードパーティ製スイッチが介在する場合は、現状ではその通信が通らない場合があると宮西氏は説明した。この点については、今後のアップデートで機能改善されるようリクエストを出しているという。
また、セキュリティファブリックとのAPI連携に対応するサードパーティ製品については、「Fortinet Fabric Ready Partner」プログラムを通じて拡大を図っており、現在はシスコシステムズやヒューレット・パッカード・エンタープライズ(HPE)、ブロケード、AWS、マイクロソフト、オラクルなどが参加している。
セキュリティファブリックとの連携に対応するパートナー。ネットワーク、セキュリティ、クラウド、インフラ管理と幅広い
