機器を減らして構成をシンプルに！

【6本目】UTM導入でセキュリティ対策のコストを抑える

2009年07月01日 10時00分更新

文● 大谷イビサ／TECH.ASCII.jp
記事協力●フォーティネットジャパン

ASICとマルチコアCPUを採用
遅くならないから長く使える

　もちろん、複数のセキュリティ機器を単一のハードウェアに搭載することでパフォーマンスが落ちるのでは？と懸念するユーザーも多いだろう。しかし、FortiGateが多くのユーザーに受け入れられたのは、こうしたパフォーマンスの劣化をASICによるハードウェア処理という方法で解決している点が大きい。

　FortiGate-310Bでは、標準で8Gbpsという驚異的なファイアウォールスループットを実現している。これを可能にしたのは、FortiGateの特徴ともいえるASICとソフトウェアの組み合わせだ。FortiGate-310Bにはファイアウォール、VPN、IPS を高速化する「FortiASIC NP2」とアンチウイルス、アンチスパイウェア、Webフィルタリングなどのコンテンツ検査を高速化する「FortiASIC CP6」という2つのASICを搭載しており、必要に応じてCPU＋ソフトウェアが動作する。複数のセキュリティフィルタで直列的に処理しているわけではなく、検査対象外のトラフィックはコンテンツ検査をバイパスしているので、重い処理に引きずられることもない。

　たとえば、ファイアウォールの設定でコンテンツ検査を受けないと設定された音声トラフィックはNP2同士の高速なパスを経由して処理される。一方でHTTPのようなセキュリティリスクの高いプロトコルのコンテンツはCPUやCP6で検査が行なわれる。両者は独立して処理され、影響が及ばないので、足を引っ張ることはないわけだ。

パフォーマンスを落とさないFortiGate-310Bの各プロセッサの制御ロジック（同社資料より）

　もちろん、機種によってはCPUもマルチコアプロセッサを採用している。ASICのハードウェア処理と合わせれば、パフォーマンスの高さはピカイチといえる。さらにFortiGate-310B/620Bなどの機種ではAMC（Advanced Mezzanine Card）という拡張スロットに専用モジュールを追加することで、ファイアウォールで12Gbps、VPNで9Gbpsというスループットを実現する。ボックス型装置でも、こうした拡張性があれば、将来的にもパフォーマンス劣化の不安を抱えずに済む。

　このようにUTMほどコスト削減効果が明確な製品も珍しい。「セキュリティレベルを落とさず、コストを落とす」という多くの管理者に求められているニーズを確実に実現してくれる。

■関連サイト