このページの本文へ

スモールビジネス向けUTMの真打ち 「Safe@Office」の実力を探る 第2回

ファイアウォールだけじゃない!ウイルス対策もIPSも本格派

Safe@Office 1000Nの多彩な機能と技術を探る

2011年04月12日 09時50分更新

文● 大谷イビサ/TECH.ASCII.jp 写真●曽根田元
記事協力●チェック・ポイント・ソフトウェア・テクノロジーズ

  • この記事をはてなブックマークに追加
  • 本文印刷

前回はチェック・ポイントSafe@Office UTMがなぜスモールビジネスに最適なのかを中心に見てきた。今回は、Safe@Office UTMの実機を試し、その実力を調べてみたい。

鮮やかなオレンジ色の筐体に
フルのUTM機能を搭載

 まずはSafe@Office 1000Nのハードウェアからチェックしていこう。

 デスクトップサイズのUTMということで、Safe@Office N1000の筐体は実にコンパクトだ。200(W)×128(D)×32(H)mmというサイズは、市販されているブロードバンドルーターの大きさとほぼ同じ。この小型筐体にUTMとしての機能が収まっていると思うと、技術の進化に驚かされる。コネクションも最大6万、VPNトンネルも400までサポートしており、見た目に比して処理能力は高い。なお、筐体はオレンジと黄色を組み合わせたポップなカラーリングを採用しており、遠くから見ても非常に目立つ。

Safe@Office 1000Nの前面

 前面にはリンク状態等を示すLEDが並んでおり、ポート類はすべて背面に用意されている。ポートは、スイッチ化された4つのLANポートのほか、WANポート、DMZポートがそれぞれ1つずつ搭載されている。すべてのポートがギガビットEthernetに対応しているので、LANはもちろん、光ファイバー接続の高速インターネット接続でもスループットは落ちない。その他、背面にはコンソールポートとリセットスイッチが搭載されている。

Safe@Office 1000Nの背面

 Safe@Office 1000Nは、OSとして組み込みに特化したセキュリティソフトウェアである「Embedded NGX」を採用し、ファイアウォール、VPN、IPS、アンチウイルス、アンチスパム、Webフィルタリングの機能を搭載する。このうちファイアウォールとVPN以外はチェック・ポイントからサブスクリプション(購読)ライセンスを購入することにより、機能がオンになる。これにより、チェック・ポイントのクラウドサービス側からシグネチャやデータベースの更新が行なわれ、最新の脅威に対応できる。以下、機能の詳細を見ていこう。

実績の高いファイアウォールを搭載

 ファイアウォールのスループットは1Gbpsを実現しており、チェック・ポイントが開発したファイアウォールの代名詞ともいえる「ステートフルインスペクション」に対応する。ステートフルインスペクションは、パケットフィルタリングやアプリケーションゲートウェイといった古典的なファイアウォールが採用する方式の弱点を解消したフィルタリング技術だ。

 パケットフィルタリングは、宛先と送信元のアドレスとポート、プロトコル番号などを条件にパケット通過の可否を決定するファイアウォールのベーシックな実装だ。処理が高速だが、アプリケーションを識別できないため、詳細なアクセス制御が行なえないという弱点がある。一方、アプリケーションゲートウェイはLAN内のホストとインターネット側のサーバーとのやりとりを、ファイアウォールが仲介する「プロキシ」の技術を用いた制御方式。詳細なアクセス制御ができる代わり、処理負荷が重く、アプリケーションプロトコルごとにプロキシを用意する必要がある。

既存のファイアウォールとステートフルインスペクションの違い

 これに対して、ステートフルインスペクションはパケットのヘッダ情報だけでなく、アプリケーションの制御情報や発着信した物理ポート、Ethernetレベルの制御情報、到発着時刻などを読み取る。これらをベースに複数のパケットの連なりを1つの通信と捉え、アプリケーションの特性に合わせたアクセス制御を行なう。パケットフィルタリングの処理の速さ、アプリケーションゲートウェイのきめ細かさというメリットを併せ持つというわけだ。

最新の攻撃に対応するSmartDefenseと
多彩なVPN機能

 ステートフルインスペクションベースのファイアウォールは、古くからLANや公開サーバーを守ってきた実績の高い技術である。しかし、第1回でも述べたとおり、固定的なセキュリティポリシーを採用するファイアウォールのみでの防御ではどうしても限界がある。攻撃者は日々脆弱性を探し、新たな攻撃を仕掛けてくる。そして昨今では脆弱性の発見から日を置かずにマルウェア拡散や攻撃が行なわれる「ゼロデイ攻撃」も増えている。こうしたアプリケーションの脆弱性を突くゼロデイ攻撃を防ぐために搭載されているのが「SmartDefense」と呼ばれるサービスである。

 SmartDefenseは、Check Point NGXで実装されたサービスで、OSやアプリケーションの脆弱性、プロトコルを日々研究しているチェック・ポイントの分析を元に攻撃を防ぐためのアドバイスを受けたり、防御のためのアップデートをいち早く受けられるというものだ。こうしたアドバイスやアップデートにより、脆弱性に対応するパッチが提供されるよりも前に、ユーザーのシステムやネットワークを防御できるという。進化し続ける攻撃に対応する、新しいファイアウォール技術といえるだろう。

SmartDefenseの動作概要

 SmartDefenseでは複数の脅威のカテゴリが用意されており、必要に応じて遮断やログ取得などを設定する。カテゴリはDoS攻撃、FTP、HTTP、IGMP、IP、TCP、IM(Instant Messenger)、Microsoft Network、P2P、VoIP、ゲームなど、幅広いプロトコル・アプリケーションをカバー。それぞれにブロックやログ取得などのアクションをとることが可能だ。

 また、VPNもさまざまな形態をサポートしている。VPNゲートウェイとしてLAN間を結ぶ「拠点間VPN」のほか、自宅や外出先などの端末からアクセスする「リモートアクセスVPN」、さらに社内向けのVPNサーバーとして展開することも可能だ。特にリモートアクセスVPNに関しては、高機能なVPNクライアントも提供されている。

 なお、VPNプロトコルはIPsecやL2TPなどをサポートしており、用途にあわせて使い分けられる。

高速なアンチウイルス処理と
高機能なアンチスパム

 Safe@Office UTMでは、VStream AntivirusとEmail AntiVirusというサービスを用いて、ウイルス検知を行なう。VStream Antivirusは、ファイル単位ではなく、ストリームベースで高速にウイルスを検知する技術。Safe@Office UTMにエンジンが搭載されており、同時にいくつものセッションをさばけるほか、圧縮ファイルのスキャンも可能。検知したウイルスはログとして保存される。ウイルス検知に必要なシグネチャも自動的にダウンロードされるので、最新のウイルスにもいち早く対応する。

 一方のEmail AntiVirusはクラウドベースのサービスなので、アプライアンスに負荷を与えないというメリットがある。両者は機能面でも異なっており、たとえばEmail AntiVirusではサポートするプロトコルはSMTP、POP3のみだが、VStream AntivirusではSMTP、POP3、IMAP4、FTP、HTTPなどマルチプロトコル対応だ。両者はいずれかを使っても、併用してもよい。

 また、アンチスパムに関しても、アプライアンス内で動くVStream Antispamのほか、クラウドベースのEmail Antispamの2つが用意されている。

 これらアンチスパムは、大きく3つのフィルタリング技術で構成されている。

スパムメール除去の処理

IPレピュテーション
送信元のIPアドレスを格付けするレピュテーションサービスを元にしたフィルタリング。接続時にチェック・ポイントの研究機関が収集したデータベースに動的に問い合わせ、不正と判断された場合はセッション自体を切断する。
拒否/許可リスト
ユーザーが任意に設定した許可/拒否リストを元に電子メール受信の可否を決定する。ドメイン単位でのブロックや許可も可能
コンテンツレベルのブロック
送信元のIPアドレスやドメインではなく、転送されたメールの中身をチェックする手法。受信したメールとチェック・ポイントのデータベースに登録されているスパムメールのシグネチャを動的に照合し、既知のスパムメールをブロックする。

 アンチスパムでは、単にブロックするだけではなく、スパム度をメールのヘッダにマーキングすることが可能になっている。これを用いて、ユーザーは独自にスパムメールを振り分けることができる。

自由度の高いWebフィルタリングと
NACによる認証

 ユーザーがアクセスするWebサイトをURLやコンテンツ内容で精査するWebフィルタリングは、ユーザー自身がアクセスを禁止するサイトを任意に登録する「Web Rules」と、クラウドサービスと連携し、カテゴリごとにアクセスの制御を行なう「Web Filtering」の2種類が用意されている。両者を組み合わせて使うことで、従業員のWebアクセスを詳細に制御することが可能になる。アクセス拒否を表示するページもカスタマイズできる。

 また、LAN内でのPCの接続に対して認証をかけるネットワークアクセス制御(NAC)の機能も搭載している。

本格的なネットワーク機能で
ルーターの置き換えが可能

 Safe@Office UTMは、既存のルーターやファイアウォールを置き換えて導入することが多い。また、スモールビジネスにおいては、1台ですべてのインターネット接続をまかなうことになる。そのため、セキュリティだけではなく、ネットワークに関しても高度な機能が要求される。

 その点、Safe@Office UTMは静的・動的ルーティングやNAT機能を持っており、LAN、WAN、DMZなどそれぞれのポートで適切なパケット転送が可能になっている。また、DHCPサーバーや最大64のVLAN、ブリッジ機能なども搭載する。

 さらにWAN接続の冗長化やロードバランシング、アプリケーションの重要度に応じてトラフィックを制御するQoS(Quality of Service)なども可能。既存のWANルーターと同等の高度な機能を持っている。

 このようにSafe@Office UTMは実に多彩な機能を持っている。当然、数多くの設定項目があるのだが、WebのGUIが非常によくできており、直感的に設定が行なえる。次回はSafe@Office 1000Nをブロードバンド回線につなぎ、WebのGUIから各種のセキュリティ機能を試してみたい。

この連載の記事

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!
  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌

不正商品にご注意ください!

プレミアム実機レビュー

ピックアップ

電撃モバイルNEO バナー

デジタル用語辞典

ASCII.jp RSS2.0 配信中

今月のピックアップ動画