「UTM」の“もったいない”をなくす 機能性とパフォーマンスを両立させるには機器の一元管理で人材、予算不足を解決

企業のセキュリティ対策の基盤となるUTMはさまざまな機能を備える半面、全てを生かそうとすると処理に支障が出る恐れもある。UTMを使って最新のセキュリティ対策を実施しつつ、管理性も高めたセキュリティ運用はどうすれば実現できるのか。

2021年10月19日 10時00分 公開
[ITmedia]

 サイバーセキュリティリスクは、どの企業にとっても対岸の火事として楽観視できるものではなくなった。サイバー攻撃者は守りを固めた大企業よりも、セキュリティ対策が不十分な小規模企業を狙う方が、ROI(費用対効果)が高くなると判断するためだ。踏み台として取引先やグループ企業といった外部組織の穴を狙う「サプライチェーン攻撃」も目立つ。ランサムウェア(身代金要求型マルウェア)のような脅威は依然として猛威を振るっており、ばらまき型から企業を標的とするようにカスタマイズされたマルウェアも頻繁に見つかっている。既知・未知のマルウェアを効果的に防げるツールが必要だ。

 企業が取り組むべきセキュリティ対策が広範にわたる中、ネットワークセキュリティは重要な位置を占める。昨今のネットワーク事情を踏まえたセキュリティ製品選定も欠かせない。小さな拠点を多数構える企業であれば、分散した拠点でのセキュリティ運用に適した機能を持つ製品が望ましい。人材が不足しがちな中堅・中小企業にとっては、統合管理ツールも重要になる。こうした多様なニーズに応えるネットワークセキュリティ製品の探し方を紹介しよう。

どの企業にも欠かせないネットワークセキュリティ

 サイバー攻撃者は、日本の中堅・中小企業をうま味が大きい良質なターゲットと捉えている。セキュリティ対策が不十分で、サイバー攻撃のROIが高いというのが理由だ。中堅・中小企業が直接的な標的にならなくても、大規模グループに属していたり標的の取引先であったりすれば、サプライチェーン攻撃の踏み台としての価値を見いだされることもある。

 人材も予算も不足しがちな中堅・中小企業では、セキュリティ対策が不十分になりやすい。中でも対策の基礎となるネットワークセキュリティには多層防御が不可欠だが、各機能を個別に導入、運用するのは負担が大きい。小規模な企業でも効率良く運用でき、ランサムウェア攻撃をはじめとした既知・未知の攻撃を的確に排除できるツールが必要だ。

 UTM(Unified Threat Management、統合脅威管理)は、多層的なネットワークセキュリティを実装できるセキュリティツールだ。ファイアウォールやIPS(不正侵入防止システム)、アンチマルウェア、Webフィルタリングなどの機能を統合しており、一元的に管理できるため、規模の大小を問わず幅広い企業が採用している。

本富氏 ソニックウォール・ジャパンの本富顕弘氏

 「SonicWallのUTMは高い価格競争力を誇り、特に中堅・中小企業に人気があります」と、ソニックウォール・ジャパン代表取締役社長の本富顕弘氏は述べる。同社のセキュリティ製品は世界各国の企業が導入しており、それらが「センサー」となって膨大なセキュリティ情報を日々取得している。「そうして得たデータを分析してナレッジを蓄積するという強力なセキュリティエコシステムが当社の強みの一つです。日本市場では、今日のコロナ禍におけるテレワーク、GIGAスクール構想、自治体ネットワーク強靭(きょうじん)化、SD-Branchなどのニーズに対し、全国の販売パートナーと共にSonicWallのUTMを提供しています」(本富氏)

 2021年には、小企業や小規模拠点向けの「TZシリーズ」と中規模組織向けの「NSaシリーズ」の最新版として、大幅にグレードアップされた「第7世代」が登場した。これらの新製品を中心に、SonicWallのUTMの特徴をまとめよう。

特許技術で高いパフォーマンス 未知の脅威も高精度に検出

正岡氏 ソニックウォール・ジャパンの正岡 剛氏

 UTMは複数のセキュリティ機能を1つにまとめているため、全ての機能を有効にすると十分なパフォーマンスを出せないという問題がある。このことから、一部の機能に絞って利用している企業もある。一方SonicWallのUTMはパフォーマンスの高さが特徴の一つで、同クラスの他社製品と比べて高いスループットを発揮する。ハードウェアやファームウェアを一新した第7世代は、ファイアウォールのSPI(ステートフルパケットインスペクション)、IPS、VPN(仮想プライベートネットワーク)の処理速度が満遍なく向上し、スループットは第6世代および第6.5世代の約3倍を達成した(SonicWall調べ)。「特にUTMの機能を全てオンにした『フルDPIスループット』(UTMスループット)の性能が格段に向上しており、快適なネットワークを維持しつつ安全性を高めることが可能です」と、ソニックウォール・ジャパンの正岡 剛氏(セキュリティエンジニア)は説明する。

 SonicWallのUTMが、セキュリティ機能を劣化させることなく高いパフォーマンスを維持できるのは、特許技術の「RFDPI」(Reassembly-Free Deep Packet Inspection)によるところが大きい(図1)。

図1 図1 RFDPIの概要(出典:ソニックウォール・ジャパン資料)《クリックで拡大》

 一般的なDPIは、受信したパケットをメモリにキャッシュし、再構築したファイルを検査することで脅威を検出した後、パケットに再分解して送信する。この処理は負荷が高く、パケット処理が遅滞する原因となる。UTMが「遅い」と言われるゆえんだ。

 SonicWallのRFDPIは脅威検査時にパケットを再構築せず、マルチコアで処理する機能を備える。これにより高速にパケットを検査でき、ネットワークに与える影響を最小限にとどめることができる。速いことに加え、未知の攻撃には実際の挙動を検査するクラウドベースのマルチエンジンサンドボックス「Capture Advanced Threat Protection」(Capture ATP)が効力を発揮する。未知の脅威を検出すると、当該データをクラウドに送付して複数タイプのサンドボックスで分析し、高い精度で脅威を判定する技術だ(図2)。

図2 図2 Capture ATPの概要(出典:ソニックウォール・ジャパン資料)《クリックで拡大》

 脅威分析の技術として「RTDMI」(Real-Time Deep Memory Inspection)もある。最近はハードウェアレベルの脆弱(ぜいじゃく)性を狙った未知の脅威も登場しており、OSレベルの仮想環境で検出するサンドボックスでは対応できないケースがある。RTDMIはメモリへの不正なアクセスを検出する技術で、100ナノ秒未満で脅威を判定して防御する。ハードウェアの脆弱性を悪用する「Meltdown」「Spectre」などのサイドチャネル攻撃もいち早く検出して防御した実績を持つ。

 SonicWallの研究機関「Capture Labs」は、最新のAI(人工知能)技術を活用して世界中の情報を集めて分析し、脅威インテリジェンスを提供している。2020年には3億件超のランサムウェアを検出し、これは前年比1.6倍の増加になるという。Capture ATPやRTDMIで分析した未知の脅威のデータがあれば、Capture Labsが分析して既知の脅威としてブロックするように脅威インテリジェンスをアップデートする。こうしたセキュリティエコシステムがSonicWallの脅威検出を支えている。

ビジネスや業務の基盤となるネットワークセキュリティ

 SonicWallのUTMを利用する中堅・中小企業は、アプライアンスと性能のコストパフォーマンスの高さを支持しているという。調査企業Tolly Groupが「SonicWall NSa 2700」を同クラスの他社製品と比較した調査では、3年間のTCO(総所有コスト)は3分の2以下、UTMのスループット1Gbps当たりのコストは約5分の1という評価だった。

 脅威検出率も第三者機関による高い評価を受けている。調査機関ICSA Labsが2021年第2四半期(4〜6月)に実施したテストにおいて、Capture ATPは既知の脅威または未知の脅威の疑いがあるサンプルから脅威を100%検出し、脅威でないサンプルを脅威として誤検知することもなかった。

 ライセンス体系にもメリットがある。ネットワークセキュリティで一般的な冗長構成では、複数機器の運用管理負担が大きくなりがちだ。SonicWallの場合、ハードウェアは2台分必要である一方、年間基本保守をはじめCapture ATPやUTM、Webフィルタリングなどのセキュリティ機能のライセンスは1台分で済む「HAライセンス」がある。「冗長構成であっても、ランニングコストを大幅に抑えられます」と本富氏は強調する。

 管理性に優れるのもSonicWall製品の特徴だ。クラウド型管理ツール「Network Security Manager」(NSM)は、複数拠点にあるUTMなどのネットワーク機器を一元管理できる。機器の状態をダッシュボードで可視化することでインシデント対応の高速化を支援する他、上長や経営者向けのレポート作成でも活躍が見込める。機器の初期設定作業が不要なゼロタッチデプロイメントを採用しており、遠隔拠点でもネットワークに接続するだけで管理対象に組み込むことができる。拠点ごとにグループ化することも可能で、複数の顧客企業のシステムを一元管理するマルチテナントや、拠点を複数構えるなどの分散環境でも管理は容易だ。NSMの管理性を評価して、多拠点展開の企業、分散環境を形成しがちな行政や文教分野の組織が採用する例も目立つという。

 SonicWall製品を検討する際は、同社パートナーのシステムインテグレーターやISP(インターネットサービスプロバイダー)などが提供するバンドル製品/サービスも判断材料になる。各社のサービスや製品を安全に利用する上で、SonicWall製品が活躍する形だ。例えばインターネット接続サービス、マネージドセキュリティサービス、業務アプリケーション、検査機器などのベンダーがSonicWallのUTMをバンドル製品/サービスとして提供している。どの製品/サービスにとっても、ネットワークの安全性を確保することは欠かせない。「セキュリティ製品の運用は大きなハードルになります。さまざまな製品/サービスがSonicWall製品をセキュリティ機能としてバンドルすることで、ユーザー企業に運用の負担を負わせることなく、安心安全という高い付加価値を提供しています」と本富氏は話す。

 「今後もさまざまなパートナーと一緒に販売施策を推進し、新たなバンドルサービスを構築するなどパートナーエコシステムを拡充して、日本のネットワークセキュリティに貢献していきたいと考えています」(本富氏)


提供:ソニックウォール・ジャパン株式会社
アイティメディア営業企画/制作:アイティメディア編集局

Copyright © ITmedia, Inc. All Rights Reserved.