ネットワークテスト機器などを提供するイクシアコミュニケーションズが3月15日、エンタープライズセキュリティ市場向けのトラフィック可視化製品「Vision ONE」を発売した。顧客が導入している個々のセキュリティ製品に適切なトラフィックを分配する機能を提供することで、「セキュリティ投資の最適化を図る」というユニークなアプライアンスだ。
イクシアが発売したネットワーク可視化アプライアンス「Vision ONE」。SSLトラフィックの復号やアプリケーションの判別、ロードバランシングなどの処理をラインレートで行う
イクシアコミュニケーションズ(日本法人)代表取締役の村上憲司氏
米イクシアコミュニケーションズのプロダクトマネジメント担当バイスプレジデント、ディーペッシュ・アローラ(Deepesh Arora)氏
SSL可視化/アプリケーション判別/ロードバランサの機能を提供
ToRスイッチのような見た目のVision ONEは、10GbE/1GbE SFP+×48ポート、40GbE QSFP+×4ポートを備えた1Uサイズのアプライアンス製品。160Gbpsのトラフィック処理能力を持ち、基本的にはネットワークゲートウェイにインラインで設置し、他のセキュリティツール群(次世代ファイアウォールやIPS、サンドボックス、フォレンジック装置など)を配下に接続する構成をとる。
サンプル構成。ファイアウォール(上)と社内ネットワーク(下)の間に(バイパススイッチを介して)インラインでVision ONEを配置し、その配下にセキュリティツール群(インライン型/パッシブ型)を接続する
Vision ONEでは、大きく3つのトラフィック処理機能を提供する。
1つめの機能は「SSLトラフィックの可視化」だ。社内/外でやり取りされるSSLトラフィックをいったんVision ONE上で終端し、復号された平文トラフィックをセキュリティツール群に転送する。各セキュリティツール側で負荷の高いSSL処理を行う必要がなくなる。
2つめの機能は「DPI(Deep Packet Inspection)によるアプリケーションの判別」である。これは、トラフィックの通信先や通信パターンなどから「どのアプリケーションのトラフィックか」を判別するもので、アプリケーションに応じたトラフィックの後処理(どのセキュリティツールに転送するか、など)が設定/適用できる。なお、イクシアからシグネチャが提供される既知のアプリケーションだけでなく、自社開発の業務アプリケーションなど未知のものにも自動学習で対応できる。
Vision ONEのダッシュボード画面。トラフィック量の推移やアプリケーション別グラフ、通信先国のマップなどが表示されている
アプリケーショントラフィックを判別し、リアルタイムに状況を確認できる
そしてVision ONEは「ロードバランシング」機能も提供する。セキュリティツール1台でまかなえないトラフィックを、グループ化した複数台に分散させることで、データ損失(パケットロス)やセキュリティ適用漏れを防ぎ、セキュリティツールがすべてのトラフィックを適切に処理できる環境を作る。
Vision ONEの販売価格は700万円(税抜)から。イクシアの国内販売代理店を通じて販売される。
Vision ONEが企業のセキュリティ投資を効率化/最適化する理由
さて、こうしたVision ONEの機能がセキュリティ投資をどう効率化するのだろうか。発表会では、米イクシアのプロダクトマネジメント担当VPであるディペッシュ・アローラ氏が、導入事例を交えながらそれを説明した。
アローラ氏は、サイバー脅威のトレンドが刻々と変化し、一方でトラフィック量が増大する中で、エンタープライズ企業ではセキュリティ対策に関する多くの課題を抱えているという。「すべてのトラフィックを検査したい」「トラフィックの内部まで検査したい」「段階的に投資したい」といった課題だ。
たとえば、次世代ファイアウォールを導入している某サービスプロバイダでは、トラフィックが急増したことで、次世代ファイアウォールの上位機種への買い換えを迫られていた。しかし、上位機種は非常に高価だ。そこで、代わりにVision ONEを導入し、ロードバランシング機能で複数台のローエンド機にトラフィックを分散させるる構成にしたという。「これにより段階的な投資が実現し、予算内に収まった」(アローラ氏)。
一般に、大規模なトラフィックに対応するセキュリティツールの上位機種は非常に高価だ。Vision ONEのロードバランシングで、複数台のローエンド機に処理させることで段階的投資が可能になる
また、ある国防組織では、SSLトラフィックに潜む攻撃を検出するためにVision ONEを導入したという。これにより、既存のセキュリティツールを買い換えることなく、SSLトラフィックのチェックもできるようになったという。
テキサス大学オースティン校の導入事例では、YouTubeなどのビデオトラフィックが急増したことで、セキュリティツールの処理するトラフィックが逼迫していることが課題だった。Vision ONEを導入し、比較的安全なビデオトラフィックはセキュリティツールをバイパスさせることで、セキュアな環境を維持したという。
各セキュリティツールには関係のあるアプリケーショントラフィックだけを流し、リスクの低いビデオトラフィックはバイパスさせることで、投資を抑えながらセキュリティを維持
アローラ氏は「顧客が抱えるさまざまな共通課題を、Vision ONEは1デバイスで解決可能にした」と述べ、Vision ONEは企業が導入済みのセキュリティツール群を有効活用し、投資を効率化する手助けをする製品であることを強調した。
Vision ONEの管理画面。GUIベース(またはAPI経由)でポート間の接続やフィルタの設定が可能。またポートやアプリケーションごとのトラフィック状況もリアルタイムに監視できる
通信機器メーカー、プロバイダーに続きエンタープライズ市場進出を狙う
イクシア日本法人 代表取締役の村上憲司氏は、この数年間でイクシアの対象市場が拡大し、通信機器メーカー(NEM)や通信キャリア/サービスプロバイダーだけでなく「エンタープライズにもリーチしていこうとしている」と紹介した。Fortune 100企業のうち、現在では74社がイクシアの顧客だという。
また、グローバルのイクシアでは、製品分野も従来からの「ネットワークテスト」だけでなく、「セキュリティ」と「可視化」も加えた3本柱になっていると紹介。日本市場でも今後、新しい分野の製品を成長させていく姿勢を示した。
近年、セキュリティやトラフィック可視化の分野で買収を行い、製品分野を拡大している
また同社 公共・エンタープライズ営業部 部長の野澤さゆり氏は、Vision ONEの製品ターゲットとして、「サービスプロバイダーからエンタープライズまで、幅広いセグメントをターゲットとしている」と述べた。「パフォーマンスを落とさずセキュリティを拡張し、優れた投資効率を実現することで、競合優位性を生むものと考えている」(野澤氏)。
