今回から2回に分けて、ネットギアが9月に発表したUTM(Unified Threat Management)、「NETGEAR ProSecure UTM」シリーズについて取り上げることにしよう。脅威が多様化している上に、サイバーセキュリティ問題が何かと世間の注目を集めることが多い昨今、ひとつの解になり得る製品分野である。

「NETGEAR ProSecure UTM」シリーズ

ネットワークセキュリティと脅威の多様化

コンピュータのセキュリティ対策といってもいろいろある。ウィルスをはじめとするマルウェア対策用のソフトウェアの導入は基本中の基本だが、それとは別に、ネットワークセキュリティという課題もある。つまり、LANに対する外部からの不正侵入を阻止するという課題だ。

一般的には、LAN内部ではプライベートIPアドレスを使用して、インターネットとの境界に設置したルータでNAT(Network Address Translation)機能とファイアウォール機能を動作させるスタイルが多い。場合によってはプロキシサーバを設置することもあるが、個人・中小企業のレベルでは費用の問題もあり、そこまでやっていないことが多いのではないだろうか。

ルータのファイアウォール機能にしても、あるいは専用のファイアウォール機器にしても、基本的には「トラフィックの種類」に合わせて動作するものといえる。パケットフィルタ機能であれば、プロトコルの種類や送信元、あるいは宛先のアドレス情報を基準にして、通過の可否を決めている。DoS(Denial of Service)アタックを検知して自動的に阻止する機能を備えた製品もあるが、これもDoSアタックという「挙動の種類」を対象としている。

ところが現実問題としては、同じ種類のトラフィックであっても、安全な場合と危険な場合がある。だから、トラフィックの種類だけを判断基準にして通過の可否を決めるのでは、決して安全を保証しない。

たとえば、HTTP(Hypertext Transfer Protocol)のトラフィックひとつとっても、安全なWebサイトへのアクセスがあれば、マルウェア配布などに関わっている危険なWebサイトへのアクセスもある。電子メールでも事情は同じで、安全な内容のメッセージもあれば、標的型攻撃を仕掛けるために危険な添付ファイルが付いてくるメッセージもある。

しかも、外部からの不正侵入、つまりインバウンドの脅威だけでなく、外部に向けて発生する通信、つまりアウトバウンドの脅威要因も存在することを考えなければならない。たとえば、トロイの木馬を送り込まれた場合、収拾した機微情報を攻撃者の手元に送り届けるためにはアウトバウンドの通信が発生するから、それを阻止すれば攻撃者は目的を達成できない。こういう形のセキュリティ対策もあるわけだ。

こうなってくると、「通信の種類」だけでなく「通信の内容」にも踏み込んだセキュリティ対策が必要である。「誰と誰がどんな種類の通信を行っているか」というだけでなく「どんな内容の通信を行っているか」まで踏み込むことで、より確実に危険をいぶり出すことができる。

電子メールの添付ファイルはいうまでもないが、Webサイトへのアクセスでも同様である。HTTPを使って搬送するコンテンツだけでなく、Webサイト自体のブラックリスト、あるいはホワイトリストを用意する方法も使える。

もちろん、クライアントPCにセキュリティ製品を導入しなくてよいということにはならない。それはそれで必須の対策である。しかし、さらにLANとインターネットの境界で多様な脅威に対処できる手段を確保することには、防壁を多重化する意味がある。

しかし、新たなセキュリティ対策を施す際には、導入や保守に手間も費用もかかる。規模の小さい組織では、専任の担当者を置くこともままならないだろう。そうなると、導入や保守が用意で、専任の担当者がつきっきりにならなくても運用できる、そういうソリューションが求められるわけだ。

UTMで統合化した防壁を実現

その問題を解決するのがUTM製品といえる。UTMは一般的なファイアウオールの機能だけでなく、危険であることが判明しているWebサーバなどへの接続を遮断したり、Webサイトや電子メールの内容を走査して危険なファイルを排除したりといった具合に、多様なセキュリティ機能を提供する製品である。

しかも、それがワンボックスにまとまっているため、既存のルータ、あるいはファイアウォール機器の代わりにUTMを設置すれば済む。つまり、多様な脅威に対応できるだけでなく、それを単一の機器に統合することで、導入・運用・維持を容易にできるのがポイントというわけだ。

たとえばネットギアのUTM製品であれば、以下のような機能を用意している。

・パケットフィルタのような一般的なファイアウォール機能
・SPI(ステートフル・パケット・インスペクション)
・侵入検知(IDS : Intrusion Detection System)
・侵入阻止(IPS: Intrusion Prevention System)
・電子メールの検査
・Webコンテンツの検査(ActiveX・Java・Flash・JavaScript・プロキシ・Cookieも含む)
・URLフィルタリング
・マルウェア対策
・P2Pソフトウェアの規制(BitTorrent、eDonkey、Gnutella)

UTMに求められる条件

セキュリティ対策は往々にして、導入・運用・維持に手間がかかると結果的にサボりがちになり、やがてはそれが危険につながる。だから、手間をかけずに導入・運用できることは、特に専任担当者を置けないような小規模組織にとっては重要である。

前述したような多様な脅威への対応能力はもちろんだが、容易に使い始められなければならない。まず、箱から出したものを設置したら、工場出荷時設定からそのまま、あるいはTCP/IP設定のように必要最低限の項目だけ変更すれば使い始められるのが好ましい。

しかし、セキュリティと利便性は往々にして対立するものだし、運用状況によってはUTMの導入によって不具合が生じることもある。だから、設定変更の必要が生じたときに、設定の確認・変更を容易に行えることも重要である。

また、ときには本物の危機に直面してしまうこともあるだろう。何もネットワークセキュリティに限ったことではないが、危機管理においては状況認識が重要である。つまり、泥棒が入ってから縄をなうのではなくて、不審な現象が発生していないかどうか、平素から目を光らせておく方が望ましい。そこで手間がかかったのではサボる原因になるから、ログの確認を容易にできるとか、危険が発生した際にアラートを出すとかいった機能があると好ましい。

必ずしも専任管理者がいるとは限らない場所で使用することが多いと思われるUTMでは、導入・運用の敷居をできるだけ低くしたいのである。大規模な組織やクリティカルな情報を扱う組織であれば、相応に強力な防禦体制を敷いて専任の担当者を置くと思われるので、こうしたイージーさは必ずしも必須要件とはいえないかもしれないが。

ネットギアのUTM製品

といったところで、ネットギアのUTM製品「ProSecure UTM」シリーズを紹介しよう。このシリーズには、UTM10・UTM25・UTM50・UTM150の4製品がある

ProSecure UTMシリーズは、Commtouch、Mailshell、Sophosなどのセキュリティテクノロジーと、同社独自のストリームスキャンテクノロジーを融合させ、Web、電子メール、ネットワークの脅威から守る、一体型セキュリティゲートウェイとなる。

ストリームスキャンテクノロジーにより120万件以上のシグネチャによるマルウェア検知を、スループットを落とさず処理することが可能で、クラウドベース・ハイブリッドWebフィルタリングとファイアウォール、IPS、VPN機能性を備えたアンチスパムテクノロジーにより、セキュリティソリューションを提供する。主に中堅中小規模事業所、病院や学校、SOHO等での利用を想定している。

製品ごとの詳細情報ページで[仕様]の欄にある機能一覧表を見ていただければお分かりの通り、機種によってスループットが異なるものの、機能的な差異はないのは良心的だ。そのため、ネットワークの規模やユーザーの数、それと予算に合わせて最適な機種を選択すればよいだろう。下位機種を選択したからといってセキュリティレベルが下がることはないので安心だ。

なお、多様な脅威に対応するUTMでは、脅威の種類によっては固定的な情報だけでは対処できないため、シグネチャの更新を必要とする。たとえば、マルウェア対策やWebサイトのURLフィルタリングがそれだ。また、機器そのもののファームウェアを更新する必要も生じるだろう。

そこで、機器本体とは別にライセンスパックを用意している。「ProSecure UTM」では、製品出荷時に3年分のライセンスが標準添付しており、4年目以降は1年単位で更新する仕組みだ。ライセンスパックはUTM製品の機種ごとに用意してあり、それぞれ価格が異なっている。

次回は、「ProSecure UTM」の中の「UTM50」を実際に使ってみたレポートをお届けしよう。