セキュアな環境にはアプリケーションの可視化と制御が不可欠

米Dell SonicWALL
Product Marketing Manager
Matthew J. Dieckman氏

6月26日、最新のサイバー攻撃への対策とスマートデバイスの安全な活用法をテーマとした、Dell SonicWALLによるセキュリティエキスパートセミナーが開催された。

Dell SonicWALLは、2012年5月にSonicWALLがDellに買収される形で誕生した。組織的にはDellに組み込まれることになり、いずれDellの販売ルートでも製品販売が行われる予定だが、SonicWALL時代からの一次代理店経由の販売は継続される。

「今回の買収による製品への変更はありません。将来的に新たなロゴが添付されるくらいです。サポート体制にも変化はありません」というセールスディレクターの露木正樹氏のコメントでセミナーはスタートした。

「脅威の最新動向とネットワーク環境の変化について」と題して、最新の動向とDell SonicWALLのユーザー事例を紹介したのは、Product Marketing ManagerであるMatthew J. Dieckman氏だ。

「オフィスのネットワーク帯域の25%がビジネス以外の用途で消費されており、50%以上の企業が少なくも30%の帯域をSNSに消費されているとまとめている調査もあります。しかし、SNSはセキュリティの脅威になっているという現状があり、セキュアな環境を構築するにはそうしたアプリケーションを識別して制御しなければなりません」とDieckman氏。

オフィスでは、帯域の25%がビジネス以外の用途で消費されている

それを実現できるツールが、次世代ファイアウォールだ。ステートフルパケットインスペクションだけでなく、侵入防御、アプリケーションの識別と可視化、シングルサインオンでのユーザー識別、アプリケーションの制御、SSLの解読、脅威の防御ができるのが次世代ファイアウォールだという。

同社は「Dell SonicWALL」シリーズの下、次世代ファイアウォールを提供しているが、その導入事例として、米国の携帯電話キャリアであるU.S. Cellularが紹介された。

「U.S. Cellularからは、シームレスなセキュリティの要求とテクノロジーの要求を受けました。ユーザーにとってセキュリティはあって当然のもので、進化する脅威に先んじた対応が必須です。テクノロジーの面では、トータルで40Gbps以上のスループットや1デバイス当たり同時100万セッションに対応することなどが要求されていました。競合製品に対してパフォーマンスで抜きんでていること、アプリケーション制御ができる唯一の製品であることなどから、Dell SonicWALLが採用されました」(Dieckman氏)

ポート制御では追いつかない脅威に対応可能な次世代ファイアウォール

Dell SonicWALL
セールスディレクター
露木正樹氏

U.S. Cellularが言う「アプリケーションを制御できる唯一のファイアウォールはDell SonicWALLだった」とはどういうことなのだろうか。これには、最近のアプリケーションの特性が関係している。

「昔はアプリケーションを構築する際、最初にポート番号を決めたものです。しかし、今は違う。例えば、Skypeは空いているポートを自動検知して利用します。これをポート番号制御でコントロールする場合、どうすればよいでしょうか。私は『実際、どうするの? 総当たりするの?』とエンジニアの知人に聞いたことがありますが、黙ってしまいました」と語るのは露木氏だ。

露木氏による「次世代ファイアウォールによる新しいネットワークセキュリティ」と題した講演では、Dell SonicWALLのファイアウォールの技術が紹介された。

先の露木氏の言葉にあるように、従来型のファイアウォールはポート番号やURLカテゴリーで制御を行っており、Skypeのような最近のWebアプリケーションに対しては力不足な製品となっている。企業が現在、安全な環境を保つには、アプリケーションレベルでの制御が必要であり、アプリケーションやファイルサイズ、プロトコルに制限なくすべての通信を検査する必要がある。さらに、こうしたチェックを行っても通信に遅延を出さないだけの高いスループットも必要だ。Dell SonicWALLはこれをすべて備えているという。

「Dell SonicWALLの特徴的な技術であるRFDPI(Reassembly Free Deep Packet Inspection)は、検査できるプロトコルやファイルサイズ、セッション数に制限がなく、すべての機能を利用しても20Gbps近いパフォーマンスを提供します」と露木氏。

Reassembly Free Deep Packet Inspectionの仕組み

さらに、メールの添付ファイルを自動起動してのウイルス感染、HTTPで不正なSQL文を仕込むSQLインジェクション、Webサイトを閲覧しただけで感染するウイルスといった、通常のファイアウォールでは防げない攻撃にもデータ部を検査することで対応可能だという。

「『うちのファイアウォールは速いです』という売り文句を使うセキュリティベンダーの製品は大抵ASICベースです。しかし、アプリケーションレベルのセキュリティ検査はCPUで処理する必要があります。複数の機能を同時に使ってもスピードが落ちないことも重要ですし、Dell SonicWALLは無敵です」と露木氏はアピールした。

モバイルセキュリティのカギは端末&ユーザー認証とアクセス制御

Dell SonicWALL
アカウントセールス
マネージャー 横田無我氏

アカウントセールスマネージャーである横田無我氏からは、BYOD(Bring Your Own Device)を含むモバイル端末を安全に活用するためのポイントが語られた。

企業がスマートデバイスを導入するにあたっての懸念として、セキュリティとコストがよく挙げられる。コスト面の課題を解決する方法の1つが、個人端末を業務利用するBYODだが、これはセキュリティ面での課題を増大させるものでもある。安全なBYODを実現するには、強固なセキュリティ対策が必要だ。

「BYODのポイントは、ネットワークにアクセスしてきた時に正しいユーザーかどうか、ポリシーに合致するデバイスかどうかを判別し、そのユーザーがアクセスしてよいシステムにだけアクセスさせることです。Dell SonicWALL Mobility Solutionならばそれが可能です」と、横田氏は語った。

正しいユーザーかどうかを判別するには、証明書認証や2要素認証を実施する。ポリシーに合致する端末かどうかは、ウイルス対策ソフトやMDMソフトの稼働状況をチェックすればよい。Dell SonicWALL Mobility Solutionの場合、ワンタイムパスワードによる認証を提供し、Dell SonicWALL Mobile Connectでは接続時のデバイス認証を実現する。

さらに、Dell SonicWALL Aventail シリーズでは、アクセス先によって認証方法を規定したり、端末種別によってアクセス先を規定したりすることや、検疫結果によってアクセス先を規定することも可能だ。そして接続した端末が何をしたのか、アプリケーションごと、ユーザーごとの通信ログを保管し、わかりやすい形でレポートする。

Dell SonicWALL Mobility Solutionの仕組み

厳重な認証とアクセスコントロールによって、企業側が用意した限定的な端末だけでなく、エンドユーザーが選んだ端末をそのまま活用することが現実的になる。企業内を固めるDell SonicWALLのファイアウォールとともに導入することで、セキュアでありながら生産性の高い環境が構築できそうだ。