見えてきた次世代ファイアウォール

2008年06月13日 13時00分更新

文● 秋山慎一

ネットワークセキュリティの中核として当たり前の存在になったファイアウォール。性能と品質を確保しつつ、より高機能なアプリケーションフィルタリングを実現できるのだろうか。

ネットワークマガジン2008年7月号掲載

現況、ネットワークやセキュリティ分野の方向性に、「アプリケーションの認識」と「ID^※の認識」という、大きな2つの流れがあります。もう少しかみ砕くと、IPアドレスやTCPポートといった「ネットワーク屋」にしかわからない専門技術を意識することなく、ユーザーにとって意味がある「アプリケーション」や「利用者」によって、トラフィックをコントロールしたいというものです。ネットワークやセキュリティの技術はその方向に向かって確実に進歩を続けていて、今その奔流がファイアウォールの世界にも押し寄せてこようとしています。

※　 ID
Identification。ユーザーIDのことです。LDAP やActive Directory などのディレクトリ・システムにIDを登録し、ログインユーザーを統合管理する企業が増えています。ネットワークにおいても、どのユーザーのトラフィックなのかを識別し、コントロールしていこうという方向性があります。

現在の多くのファイアウォールは、IPアドレスとポートによってトラフィックをフィルタリングするものですが、次世代のファイアウォールはアプリケーションや利用者を判断基準にフィルタリングするようになるでしょう。加えて、以下のような条件を兼ね備えていることが求められます。

ウイルスチェックなどのThreat Prevention機能を統合していること
SSL^※（Secure Sockets Layer）などの暗号プロトコルの中身もチェックできること
ログだけでなくGUIによって容易にトラフィックの中身をアプリケーションやユーザーの観点で視覚化できること
これらを実行しつつ、ギガビット以上のスループットと低遅延の性能を持つこと

※　 SSLの脅威
SSLは本来、セキュリティを守るためにHTTPの通信を暗号化するプロトコルです。ですから、ほとんどのファイアウォールで、SSLが使う443番ポートはオープンされています。それを逆手に取り、任意のアプリケーションをSSLで暗号化してファイアウォールを通過させてしまう、というセキュリティ破りのための手段に使われることが多くなっているのです。

今シリコンバレーでは、このような要求を満たす新製品を市場に送り出そうとするベンチャーが現れてきています。既存の大手メーカー^※もファイアウォールの高機能化（および多機能化）を進めており、要素技術を持つベンチャーを逐次買収して、その新機能を採り入れるなどの戦略を進めています。ただし、その手法には1つ弱点があります。それは、すでに高い完成度の製品に新しい機能を加える「機能の足し算」によって開発を重ねていくことになるため、最適化が難しいことです。

※　大手メーカーの動き
既存のファイアウォールメーカーも、このような流れの重要性は意識しています。たとえばチェック・ポイント・ソフトウェア・テクノロジーズは2003年の段階ですでに「アプリケーション・インテリジェンス」というコンセプトを発表しています。しかし既存技術と統合・最適化することが難しいのか、各社とも限定的な位置付けとなっているのが実情のようです。

ファイアウォールという“枯れた”技術領域にすでに多くの大手メーカーが存在する中、ベンチャーが成功しうる可能性はそこにあります。つまり、機能の継ぎ足しでなく、最初から「次世代ファイアウォール」を目指して「ゼロ」から設計開発することで、機能が効率よく統合され、性能が最適化された、競争力のある優れた製品を開発できる可能性があるのです。

前へ 1 2 次へ

ツイートする