特別企画

ネットワークをもっと簡単に、シンプルに! UTMと一体化したVPNルータがネットワークの運用管理を変える

  • 小山 健治

2015年9月29日 06:00

実績のあるサードパーティと協業し次世代ファイアウォール機能を統合

 規模や業種の違いを問わず、あらゆる企業においてITシステムの根幹を支えるネットワークインフラの重要度はますます高まっており、中でも「セキュリティの強化」「可用性の向上」「運用管理の簡素化」に対する要求はとどまることを知らない。

 そうした課題を抱えるユーザーの声に応えるべく、アライドテレシスが満を持してリリースしたのが、VPNルータの新製品「CentreCOM AR3050S/AR4050S」だ。OSを従来のAWから「AlliedWare Plus OS」にバージョンアップしたことで、安定性を強化すると共に最新プロトコル「IKEv2」、暗号アルゴリズム「AES256」、ハッシュ関数「SHA-2(256)」などに対応。より堅牢で安全なVPNネットワークを構築することが可能となった。

CentreCOM AR4050S

 もっとも、これだけでは競合する他社製品との差別化は図れない。AR3050S/AR4050Sにおけるネットワークセキュリティ強化は、その一歩先を行く。以前からのSPI(Stateful Packet Inspection)によるパケット監視を強化し、日々増大する新たな脅威に対応するために次世代ファイアウォールとして、UTM(Unified Threat Management)機能を統合したのである。

 具体的には下記のようなネットワークセキュリティの新機能を搭載することで、外部からの不正侵入の脅威や社内からの情報漏えいなどを防御。安全なインターネット接続環境を構築することを可能とした。

従来型ファイアウォールの強化

・IDS/IPS
外部からの不正アクセスや侵入を検知するとともに、不正侵入を自動的に防御する機能を装備。マルウェアの不正侵入をいち早く検出し、適切に対応することで被害を最小限に抑えることができる。

・SPI (Stateful Packet Inspection)
ファイアウォールを通過するパケットのIPアドレス、TPC/UDPポート、プロトコルタイプでの制御からゾーン、ネットワーク、ホストを設定するエンティティー定義とアプリケーションレベルでの定義へ拡張することで、特定の不正通信を適切に防止することができる。

UTM機能

・URLフィルタリング
92種類のカテゴリに分類された最新・高精度のデータベースによるURLフィルタリングにより、Webアクセスをコントロールすることが可能。新しいURLの追加のみならず既存URLの定期的な見直しにより、最新のWeb上の脅威に最適化する。

・IPレピュテーション(IPアドレス・ブラックリスト)
通信時のIPアドレスを監視し、不正な通信をブロックすることで外部からの攻撃や内部からの情報漏えいを防ぐ。

・アプリケーションコントロール (DPI:Deep Packet Inspection)
Webアプリケーションを含むネットワークを流れるトラフィックをリアルタイムに識別・可視化し、分析とポリシーコントロールを行うための解析情報を提供する。

今後のUTM機能拡張

・アンチウイルス
エンドポイントセキュリティと異なるセキュリティエンジンを用いて二重チェックすることで、エンドポイント側で発見できないウイルスをも検出し、より強固なセキュリティ環境を実現する。

・アンチスパム
フィッシングサイトやウイルス感染サイトへの誘導、メールフォルダ容量の浪費などの迷惑メールをブロックする。

新旧ARシリーズのセキュリティ機能比較。新しいAR3050S/AR4050Sは、さまざまなセキュリティ機能を備えている

 同社 マーケティング本部 グローバルプロダクトマーケティング部の部長代理である盛永亮氏は、この製品化の経緯と狙いを次のように語る。

 「今回のAR3050S/AR4050SとUTM機能の統合は、デジタルアーツなど、サードパーティとのパートナーシップによって実現したものです。UTMの最大の特徴は、日々変化する脅威に対して迅速に対応していくことが重要です。このため、セキュリティ分析を進めている専業メーカーから最新の対処方法(シグネチャ)を得ることで、リアルタイムで変化する脅威に対応することができます」。

 「例えばURLフィルタリングでは、国産セキュリティベンダーとして国内トップクラスのシェアを有するデジタルアーツのフィルタリングデータベース技術を採用しました。こうした、実績のあるベンダーの技術と、当社のVPNルータをシームレスに連携させることにより、日本語のWebコンテンツも敏感に察知するなど、外資系ベンダーのセキュリティ製品を上回るネットワークの安全性を提供することができます」。

 このため、SDNによる動的なセキュリティ対策と同様に、インターネット上にある脅威は、次世代ファイアウォールにより動的な対応を実現し、強固なセキュリティを構築できる。

URLフィルタリング機能は、実績のある国産ベンダーとの協業によって提供される
マーケティング本部 グローバルプロダクトマーケティング部 部長代理の盛永亮氏

回線コストを上げずに可用性を高めるバイパスポートを初めて搭載

 AR3050S/AR4050Sにおけるもうひとつの強化ポイントは、「止まらないネットワーク」の要求に応える可用性の向上だ。これを実現したのが、バイパスポートを用いた機器冗長システムである。

 「従来の機器冗長構成では、マスター用とスタンバイ用の両方の機器にWAN回線を接続する必要がありました。これに対してAR3050S/AR4050SではWAN回線1本でHA(High Availability)構成を組むことが可能となり、可用性を向上すると同時に回線コストを大幅に削減することができます」と盛永氏は、そのメリットを強調する。

 具体的にはAR3050S/AR4050Sは、搭載している2つのWANポートに対してそれぞれ1系統ずつバイパスポートを備えており、VRRP(Virtual Router Redundancy Protocol)の制御によるマスター機からスタンバイ機への自動切り替えおよび、回線接続の復旧・継続を可能としているのである。

 「障害発生時のインターネット回線の切断時間を最小限に抑えたい。業務が非常にクリティカルで、保守サービスが駆け付けるまでの2~3時間が待てない。あるいは、離島や海外拠点などの遠隔地にもネットワーク機器が設置されており、そもそもカスタマーエンジニアを派遣すること自体が難しい、といったお客さまの要件にも、AR3050S/AR4050Sならばお応えすることができます」と盛永氏は語る。

バイパスポートによる機器冗長システムによる動作

 また、その後の機器交換に際しても、インターネット接続などのWANアクセスを止めることなく、最小限のダウンタイムで通常構成(スタンバイからマスターへ)への切り戻しが可能だ。「AMF(Allied Telesis Management Framework)」と呼ばれるアライドテレシス独自のSDN(Software-Defined Networking)機能との連携により、コマンド入力など人間系の操作を行うことなく、VPNルータ自身が自律的にファームウェアなどをリカバリーする「ゼロタッチ・コンフィグレーション」を実現しているのである。

コマンド操作をすることなく機器交換ができるゼロタッチ・コンフィグレーション

アライドテレシスが展開する2つのSDNとは

 AMFについてもう少し詳しく解説しておこう。盛永氏によれば、このSDN技術が当初から目指してきたのは、「複雑な機器構成や通信プロトコル、規格などを熟知していなくても、テレビのように線をつないでスイッチを入れれば即座に利用することができる、シンプルで誰でも簡単に扱えるネットワークの世界を創ること」である。

 このコンセプトを体現すべくアライドテレシスは、ネットワークを一元管理する「セントライズドマネージメント」、ネットワークを自動構築する「オートジリエントコネクション」、ネットワーク運用を簡素化・効率化する「スマートプロビジョニング」といった機能を開発し、AMFマスターへの実装を進めるとともに、さまざまなチャネルから収集したユーザーの声を反映しつつ絶え間ない機能強化を図ってきたのである。

 そうした中でAMFは活用範囲をどんどん広げている。これまでAMFをサポートする機器はスイッチ製品のみだったが、このたび新たにVPNルータ製品も加わった。それがまさにAR3050S/AR4050Sというわけだ。

 さらに盛永氏は、「無線LANアクセスポイントもAMFに対応しています」と話す。スイッチからVPNルータ、無線LAMアクセスポイントにいたるまで、主要なネットワーク機器をすべてAMFで包括したユニファイド化がいよいよ実現するのである。

 昨今、スマートフォンやタブレットなどのモバイルデバイスの普及とビジネス利用の拡大に伴い、多くの企業でその受け皿となる社内ネットワークの無線化が急速に進んでいる。しかし、無線LAN環境の導入に際しては管理対象となるユーザーのタッチポイントが一気に拡大するとともに多様化し、ユーザー認証やアクセス権限をはじめとする運用ポリシーを新たに作成し直さなければならないなど、システム管理者の作業負担は増していく一方だった。あらゆる種類のネットワーク機器の運用・管理を「一元化」「簡素化」「自立化」するAMFによって、そうした工数やコストは劇的に削減されると考えられる。

 最大60台のAMFマスターを統合管理する「AMFコントローラー」と呼ばれるオプション機能が新たに追加されたことで、複数拠点に分散したネットワーク機器を本社から一元管理することも可能となった。さらに、今後に向けてアライドテレシスはAMFマスターの仮想化やコンソール画面のGUI化にも対応していく計画という。進化を続けるAMFおよびそれに対応したスイッチ、VPNルータ、無線LANアクセスポイントの製品群により、ネットワーク運用・管理のあり方は大きく変わっていくことになる。

AMFにより、ネットワーク機器の“ユニファイド化”が実現する

 そしてこれらの製品は、さらにOpenFLowによるソリューション「SES(Secure Enterprise SDN)」に対応していく。SESは、ネットワーク運用管理の効率化とセキュリティ強化を実現する、新しいコンセプトのSDNソリューションだ。アライドテレシスでは、OpenFlowを用いたSDNソリューション「SES」対応の無線LANアクセスポイントや、10GbE対応インテリジェントエッジスイッチを開発してきた。

 それらの経験・ノウハウを生かし、さまざまなサードパーティの製品と連携して、“ネットワーク運用管理の効率化”と、“セキュリティの強化”を実現するSDNソリューションを提供していく計画だ。

 なおAMF、SESともに、32カ国に展開する国際コンサルティング企業、iCMGによるアワード「iCMG Architecture Award」を2年連続で受賞しており、今後の発展が期待されている。

iCMG Architecture Awardのトロフィー