統合的なセキュリティ対策をIBM ISSのProventiaで実現

ASP環境を守れ！GBR、UTM導入完了までの道

2009年08月03日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp

UTMとIPSの強みを活かした攻撃への対応

　今回のポイントは、既存のIPSを活かしつつ、UTMを導入したという点だ。具体的には従来のファイアウォールをUTMに完全に置き換え、ファイアウォール、アンチウイルス、アンチスパム、WebフィルタなどIPS以外の防御機能をすべてオンにする。すり抜けてきたトラフィックを公開サーバの手前に設置したIPSでチェックするという2段構成である。

IPSでUTMを併用したGBRの最新のネットワーク構成

　また、ファイアウォールからUTMへの移行というと、まず気になるのが、ファイアウォールのルールを移行先にどう反映するかという点だ。これに関しては「そもそも違った機種や製品同士でルールを移行するのは難しいと思います。ですので、守るべきサーバやリソースを紙で書き出して、移行先での設定でポリシーを再構築するという手順を取ります。今回はファイアウォールのルールがシンプルできっちり組まれていたので、比較的容易でした」（岩田氏）という意見であった。

　MX1004の導入は2008年7月の休日を使って行なわれたが、実機の設定は先んじてIFT側で済ませていたため、作業はスピーディだった。各機器はIPアドレスなどを閉じた環境で設定し、疎通を確認したあとに、一気に切り替えた。G100もSite Protector経由でアップデートを行ない、ポリシーも定義も更新を行なった。結果として、侵入テストまで含めて4〜5時間で作業は終了し、つつがなく導入は完了した。

社屋内のサーバルームに設置されたMX1004とG100。なおG100の後継機種として、現在は「GX4002」が提供されている

　導入からほぼ1年経ったが、「なによりパフォーマンスが、今までの2.5倍も向上したのには驚きました」（五島氏）とメリットは享受している。これはインターネット接続の回線をKDDIからUSENに移したという点が大きいが、Proventia MFSシリーズの公称スループットにかなり余裕があったという事情もあったようだ。

UTMのフル機能を用いても終わらないセキュリティ対策

　UTMとIPSを導入し、UTMではほぼフル機能を用いて、社内行き、社外行きのトラフィックを完全にチェック。また、アプリケーション利用なども監視できるため、情報漏えいに対しても対策を講じた。IFTのように製品知識に精通し、実績を持ったシステムインテグレータがパートナーだったからこそ、UTMという新しいジャンルの製品でも安心して導入できたようだ。

　このように現時点では万全に見えるセキュリティ対策だが、五島氏は「私もこれで完璧とは思っていません。今後もきちんと更新を続け、顧客が安心できる環境を実現したいと考えています」と語っている。セキュリティ脅威はますます拡がっているが、こうした攻めの姿勢があれば、顧客も安心できるはずだ。

■関連サイト