8月23日、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)はセキュリティゲートウェイの新製品を発表するとともに、現場の実態にあった防御機能と処理能力を表す指標としてSecurityPowerを提唱した。
チェック・ポイントが考える新しいセキュリティ指標とは?
発表会では、チェック・ポイントの代表取締役社長 藤岡 健氏とシステム・エンジニアリング本部 本部長 安藤正之氏が、セキュリティゲートウェイ選定に役立つ新指標「SecurityPower」と新製品について説明した。
チェック・ポイントの代表取締役社長 藤岡 健氏
システム・エンジニアリング本部 本部長 安藤正之氏
まず藤岡氏は、トラフィックの爆発的な増大やセキュリティ脅威、そして複数のセキュリティ機能の統合化といった昨今のトレンドを挙げ、旧来の性能指標が実態に合わなくなっている現状を指摘。「実際に稼働する環境でどの程度のスループットが出るのか? もう1つはファイアウォールだけではなく、IPS、アンチウイルスなどをすべて動作させた状態で、どれだけ防御機能と処理能力を確保できるのかも考慮する必要がある」として、新指標SecurityPowerを提唱したという。
セキュリティパフォーマンスの指標
従来、セキュリティゲートウェイの選定においては、UDPパケットを用い、単一のポリシーを適用したファイアウォールのスループットを中心に、セッション数やコネクションなどの指標を考慮して製品を選定する必要があった。これに対してチェック・ポイントが提唱するSecurityPowerでは、実環境での利用を想定したトラフィック、ポリシーで測定したものをSPUという単位で指標化しているという。
セキュリティゲートウェイの真の実力を現す新指標「SecurityPower」
具体的には、まずHTTPが68%、SMTPが13%、HTTPSが10%、残りがその他という現実的なトラフィック比率で測定する。また、ファイアウォールルールも実運用に即して100行のルールを適用。アドレス変換やログ記録の処理を行なうとともに、IPSの推奨プロファイル、さらにアップデート後のシグネチャデータベースを採用する。さらに測定は、単一の機能ではなく、複数の機能をオンにした状態で行なう。安藤氏は「測定条件や仕方を公開するので、他社のアプライアンスでの測定も可能にする。そして、相互に比較できるようにしたい」と述べた。
アプライアンスの選定ツールも用意
この指標を使えば、従来のように複数の指標を用いずとも、セキュリティアプライアンスの真の実力を評価できるという。藤岡氏は、「お客さんに製品をフル活用してもらえるような指標を提供したい」と説明。また、使いたい機能とスループット、トラフィックタイプ、セキュリティ強度などの値を入れるだけで必要なSPUを算出するというツールも提供する予定となっている。
セキュリティアプライアンスの性能については、確かにファイアウォールスループットがいまだにメインで、UTMの機能をフルで使った場合のスループットは統一された基準がなかった。また、実態に即していない測定方法で、スループットを算出していたのも課題であった。測定方法が公表されたからといってチェック・ポイントの指標を他社がそのまま使うとは考えにくいが、ユーザーが性能とセキュリティ機能を知るための具体策が提示されたことは評価できるポイントだ。
高い性能と可用性を有する新ハードウェア
また、あわせて投入された新製品は、「Check Point 21400」「Check Point 61000」という2つのハードウェアプラットフォーム、そして新ソフトウェア「Check Point R75.20」になる。
Check Point 21400はデータセンター向けのセキュリティゲートウェイで、高い可用性とパフォーマンスを実現する。ファイアウォールスループットは50~100Gbpsだが、先ほどのSPUで表記すると、2900SPUになる。アクセラレータを採用することで、従来機種の「Power-1 1100」に比べて2倍以上のSPUを提供するという。
モジュラー型の筐体を採用するCheck Point 21400では、前面に3つのスロットが用意され、1Gbpsと10Gbpsのポートを搭載するモジュールを挿入することができる。また、背面のスロットに2012年に提供予定のアクセラレーションカードを挿入するファイアウォールスループットを増強することが可能になるという。
モジュラー構造のCheck Point 21400
データセンター仕様ということで、ホットスワップ対応のHDD、電源、ファンなどすべて冗長化され、サービスの中断がない高い可用性を実現した。また、停電時でもシステムの状態監視を可能にするLOM(Out-of-Band Management)というオプションが提供される。バッテリで動作するNIC上に搭載されるもので、監視やモジュール追加なども可能になっている。「モジュール型プラットフォームを採用した(旧ノキアの)IPシリーズのエンジニアが開発を担当し、99.99%の高可用性を実現する環境でも使える」という。
Check Point 61000はより高い可用性と拡張性を誇るシャーシ型プラットフォームで、18Gbpsのファイアウォールスループット、1660SPUのセキュリティゲートウェイモジュールを最大12枚、10GbE×6の「SSM60」、10GbE×8/40GbE×2の「SSM160」というスイッチモジュールを2枚搭載することが可能。また、初めてOSの64ビット化が実現され、32ビット版でのメモリの容量制限がなくなった。2011年には200Gbps、2012年には400Gbpsにファイアウォールスループットも拡張される予定で、1Tbpsを見据えたプラットフォームになっている。
新アプライアンスのSecurityPowerの値
アプライアンス搭載されるソフトウェアのR75も大幅強化した。まずWebサイトの出現が非常に頻繁になっていることからURLフィルタリングでは、データベースのアップデートをクラウドから動的に行なえるようになった。また、URLフィルタリングとアプリケーションコントロールを統合したポリシーが設定できるようになった。エンドユーザー向けのアラート機能であるUserCheckもより改良されたほか、すべてのSoftwareBladeでSSLの検査をサポートする。その他、Exchangeとの連携で外部だけではなく、内部におけるDLP(Data Loss Prevention)も可能になった。
