企業ネットワークのIPv6化に向けてグローバルベンダーが動いた
セキュリティ機器の代名詞「FortiGate」がv6プラスに対応した理由
日本ネットワークイネイブラー(JPNE)が提供するIPv6/IPv4インターネットサービス「v6プラス」に、セキュリティ機器として対応するのがフォーティネットのUTM「FortiGate」になる。ワールドワイドでシェアの高いFortinet UTMがなぜ日本のv6プラスに対応したのか、v6プラスへの対応でなにが実現できるのかなどを聞いてみた。
ネットワークにあらかじめセキュリティを組み込む
FortiGateは、インターネットのさまざまな脅威に対応する統合型セキュリティ機器「UTM(Unified Threat Managament)」の代表的な製品だ。インターネットがビジネスで活用されつつあった2000年代に登場したFortiGateは、ファイアウォールに加え、アンチウイルス、IDS・IPS、Webフィルタリング、VPNなどの多彩な機能を1台のアプライアンスに統合。専用ASICを採用することでパフォーマンスが劣化しないという点が特徴的で、レガシーなファイアウォールを次々と置き換えていった。
UTMの代名詞とも言えるFortiGate(写真はFortiGate 600E)
主力製品であるFortiGateの導入は、当初は中小企業が多かったが、現在ではエンタープライズやサービスプロバイダーでも当たり前のように利用されるようになり、2019年はついに年間での出荷台数が100万台を突破した。顧客数も46万5000社を数え、グローバルでのファイアウォール出荷シェアも3割を占めるという。また、フォーティネット自体の売上高も2019年は26億ドルとなり、時価総額も222億ドルを超えた。技術進化や脅威のトレンドが激しく変わるセキュリティ業界でありながら、堅実に成長を遂げているのがフォーティネットである。
最近ではクラウドサービスをセキュアに快適にするためのSD-WANや、ゼロトラストネットワークの概念を前提としたエッジセキュリティ、ブランチやテレワーク拠点まで含めた管理ソリューションにも注力している。いずれにせよコアとなるのは共通ソフトウェアの「FortiOS」と専用のセキュリティプロセッサーだ。加えて研究開発を行なうFortiGuard LabsでもAIを導入することで日々1000億件以上のイベントを処理し、セキュリティの脅威にリアルタイムで対応する。
これらフォーティネットの製品とテクノロジーを組み合わせることで、セキュアで、高速な「セキュリティ・ドリブン・ネットワーキング」が実現する。フォーティネットジャパンの山田 麻紀子氏は、「今までのネットワークは接続するだけの手段で、セキュリティはあとから追加するアプローチでした。でも、フォーティネット製品であれば、ネットワーク構築や更新時にセキュリティもいっしょに組み込むことができます」と語る。
フォーティネットジャパン マーケティング本部 プロダクトマーケティング マネージャー 山田 麻紀子氏
v6プラスに対応した唯一のUTMであるFortiGate
FortiGateシリーズがIPv6に対応したのは、今から10年近く前の2011年にさかのぼる。さらに今年、最新のFortiOS(6.4.1)でJPNE(日本ネットワークイネイブラー)のIPv6/IPv4インターネットサービス「v6プラス」にも対応し、日本語の設定マニュアルとあわせて提供を開始した。
国内ローカルのv6プラスに対応した背景には、企業のインターネットトラフィックの増加に対して、IPv6を積極的に提案していきたいというパートナーの声があったという。「トラフィックをさばくためフレッツ光を導入したにもかかわらず、網側の輻輳(ふくそう)で速度が上がらないという声がユーザー企業からは上がっていました。これに対して、ユーザー環境はIPv4のままでありながら、網としては混雑のないIPv6網を使うというソリューションを提案したいという声がパートナーから上がっていました」(山田氏)。特にスモールビジネス向けにインターネット回線とFortiGateをバンドルとして提供しているSIerやキャリアからは以前からIPv6への対応が求められ、昨年からは具体的に「v6プラスへの対応」がリクエストされるようになったという。
パートナーの声を受けたフォーティネットジャパンは、v6プラスへの対応を進めるべく、昨年JPNEからの技術情報の開示を受けて、技術仕様の詳細を固めた。こうして米法人にリクエストを挙げた結果、開発のロードマップに載り、スピーディなv6プラスへの対応につながったという。フォーティネットジャパンの高橋 勲氏は、「今までv6プラスに対応したUTMはありませんでした。だから、FortiGateはv6プラスに対応した唯一のUTMであり、明確な差別化になっています」とアピールする。
フォーティネットジャパン 技術本部第四技術部 システムエンジニア 高橋 勲氏
IPv4とIPv6を共通のファイアウォールポリシーで制御できる
FortiGateがv6プラスに対応することで、セキュアなIPv6インターネット接続が実現される。山田氏は、「われわれとしてはIPv4だから危険、IPv6だから安全といった感覚は持っていません。ただ、IPv6の端末はすでに社内にあるし、マルウェアが侵入したら、ポートスキャンにも応答してしまいます。ですから、潜在的なリスクとしてIPv6前提に対策を打つのが重要です」と語る。特にMACアドレスの後半部分からIPv6アドレスを生成する場合、IPv4のアドレスが漏えいしてしまう可能性もなきにしもあらずだ。
FortiGateでのIPv6対応で特徴的なのは、IPv4とIPv6で共通のファイアウォールポリシーを使えるという点だ。一般的にファイアウォールは、IPv4とIPv6で異なるポリシーを作成する必要があり、以前のFortiOSも同じだった。しかし、最新のFortiOSでは1つのポリシーに2つの異なるアドレスを登録できる。「IPv4でセキュリティ設定している情報システム部の方々は、社内にIPv6の端末がすでに動いていることを想定していません。ですから、IPv6端末があることを前提に、IPv4とIPv6を意識しないで、同一ポリシーで防御することが可能です」と山田氏は語る。
IPv4とIPv6を同一のファイアウォールポリシーで制御できる
また、SD-WANのインターフェイスにv6プラスを利用することも可能だ。FortiGateのセキュアSD-WANの機能では複数の物理インターフェイスを論理的に1つに束ねることができるので、帯域を増やす選択肢として、v6プラス対応のネットワークを利用できる。「たとえば、Windows Updateをv6プラスのNGN網を経由し、その他は別のインターフェイスを使うといった企業ならではの使い方が可能です」(高橋氏)。
ポイントはIPv6ネットワークはもはや特別な存在ではないということだ。GoogleやFacebook、Twitterなどのサービス、モバイルキャリア網などはすでにIPv6が当たり前になっている状況だ。しかし、エンタープライズではまだまだIPv4がメイン。「企業の閉域ネットワークはまだまだIPv4がメインですが、マイクロソフトやグーグルが法人向けクラウドサービスを全面的にIPv6化したらIPv6はあっという間にメジャーになるはずです」(高橋氏)。
