このページの本文へ

買収したストーンソフトの技術で刷新、最大120GbpsのFWスループット

「AETもブロック」マカフィーが次世代FW新製品を国内発売

2014年04月15日 06時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 インテル子会社のマカフィーは4月14日、次世代ファイアウォール(FW)新製品「McAfee Next Generation Firewall(McAfee NGFW)」を日本国内でも販売すると発表した。昨年買収したストーンソフト(Stonesoft)のアーキテクチャ/技術を採用し、高度な防御技術と優れた管理性、最大120GbpsのFWスループットを実現している。

McAfee Next Generation Firewall(写真は1U/最大10GbpsのNGFW-1035モデル)

 McAfee NGFWは、アプリケーション/ユーザーごとのトラフィック制御、SSL VPN、IPS(侵入防止)、ロードバランシングといったエンジンを備える次世代ファイアウォール製品。オプションとしてスパム対策、ウイルス対策、Webフィルタリングといった機能も提供する。

 1Uサイズ/FWスループット最大10Gbpsの「NGFW-1035」から3U/120Gbpsの「NGFW-5206」まで、6モデルのハードウェアアプライアンス、さらに仮想アプライアンス、ソフトウェアモジュールという形態で提供される。ハードウェアアプライアンス版の最小構成価格は72万円(税別)からで、提供開始は5月1日から。

 マカフィーではこれまで、FW製品「McAfee Firewall Enterprise(Sidewinder)」において次世代FW機能(各トラフィックのアプリケーション/ユーザー識別)を提供してきたが、同製品シリーズのFWスループットは2~12Gbpsだった。Stonesoftのアーキテクチャ/技術を全面的に採用することで、McAfee NGFWではパフォーマンスが大幅に向上している。

マカフィー製品における次世代FWの進化。従来はFW製品に次世代FW機能を搭載していたが、アーキテクチャを刷新し、他製品との連係強化(Security Connected)も図る

ファイアウォールをすり抜ける「AET=高度な検知回避技術」とは?

 発表会に出席したマカフィー マーケティング本部テクニカル・ソリューションズ ディレクターのブルース・スネル(Bruce Snell)氏は、McAfee NGFWの大きな特徴として、攻撃者がセキュリティ製品による検知を回避しようとする「検知回避技術(AET:Advanecd Evasion Technique)」に対処できることを挙げた。

マカフィー マーケティング本部テクニカル・ソリューションズ ディレクターのブルース・スネル氏

 AETとはどんな手法か。スネル氏の説明によると、AETは、一般的なFWでは検知できないようにエクスプロイト(攻撃コード)データを細かく分割し、まっとうなデータの中に紛れ込ませてターゲットに送信する。そうしてファイアウォールをすり抜けたあと、分割されたデータを攻撃コードとして組み直すのだという。

 「マカフィーが実施した顧客企業や政府機関のセキュリティ責任者への調査によれば、5人に1人以上が自組織ネットワークへの侵入があったと認めている。そして、その4割以上が、攻撃において『AETが重要な役割を担った』と考えている。ファイアウォールの段階でAETに対抗するのは非常に困難だ」(スネル氏)

 「最近の調査では約8億種類も存在する」(スネル氏)というAETに対して、ストーンソフトの(つまりMcAfee NGFWの)技術では、ストリームデータを本体内で「組み立て直す」ことにより検知回避を防ぐという。「第三者機関であるNSS Labsのテストでは、McAfee NGFWは100%、AETをブロックできた」(同氏)。

AETとAPT(マカフィー ホワイトペーパーより)。AETは、攻撃コードを検知できないよう分割したり難読化して標的のネットワーク内に送り込むための手法。APTは、特定の標的に対し長期間にわたって気づかれないよう攻撃を持続する手法

 またスネル氏は、McAfee NGFWでは「管理の容易さ」もポイントだと述べた。管理サーバーの「Security Management Center」1台で、最大2000台までのMcAfee NGFWを一元管理することができる。さらに、クラウドを通じて初期設定やポリシーを自動配布/適用(プッシュ)できる仕組みとなっており、たとえば専門技術者のいない拠点でも、電源ケーブルとインターネットケーブルを接続するだけで自動的に設定が済むことを説明した。

 「そのほかにも、大量のログから注目すべきものをサジェストする優先度付け機能、ポリシーの変更点を知らせてくれる機能、ポリシー変更でどのファイアウォールに影響があるのかを見極める機能、といったものがある。セキュリティに長けた管理者から、専門的な知識を持たないスタッフまで、誰でも使いやすい」(スネル氏)

 こうした特徴から、McAfee NGFWは特に、多数の拠点/店舗があるが専門管理者はいないようなケース、たとえばコンビニエンスストア、ホテルチェーン、地方自治体、医療、警察、無人のロケーションなどに適していると、スネル氏は説明した。

 ここ数年、マカフィーでは「Security Connected(セキュリティ コネクテッド)」ビジョン(関連記事)に基づく包括的なセキュリティ環境の提供と、顧客自身の手による「自己防衛」の実現を目指しており、McAfee NGFWもそれを構成する製品となる。

 「これまでのマカフィー製品と同様に、Security Connectedという“大きな傘”のもとにうまく統合していきたい」(スネル氏)

McAfeeの「Security Connected」ビジョンの中にNGFWも位置づけられることになる

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード