Post on 03-Jul-2020
© 2010 Macnica Networks Corp. All Rights Reserved.
マクニカネットワークス株式会社第4営業統括部 第1部 第1課
星野 喬
クラウド・スマホ・広帯域ネットワークを支える!“次世代ファイアウォール”を利用した
インラインセキュリティソリューション
2 © 2011 Macnica Networks Corp. All Rights Reserved.
3 © 2011 Macnica Networks Corp. All Rights Reserved.
業務効率の向上
企業がITを導入する理由を考えてみました。
4 © 2011 Macnica Networks Corp. All Rights Reserved.
業務効率の向上
ビジネス競合に打ち勝つための業務効率向上を狙ったIT投資
より便利なアプリケーションへ
より生産性の高いシステムへ
5 © 2011 Macnica Networks Corp. All Rights Reserved.
業務効率の向上
コストの削減
企業がITを導入する理由を考えてみました。
6 © 2011 Macnica Networks Corp. All Rights Reserved.
コストの削減
IT投資によってコストを削減する。
人的コストの削減
運用コストの削減
IT投資自体のコストを削減する。
より良いシステムをより低価格で導入する。
7 © 2011 Macnica Networks Corp. All Rights Reserved.
コストの削減
セキュリティの担保
企業がITを導入する理由を考えてみました。
業務効率の向上
8 © 2011 Macnica Networks Corp. All Rights Reserved.
セキュリティの担保
セキュリティリスクから企業を守る
攻撃からの防御
– 不正侵入からの防御
– 情報漏えい対策
– マルウェア対策
利用者のコントロール
– コンプライアンスの徹底
– 業務効率の低下を防ぐ
– アクセスログの保存
9 © 2011 Macnica Networks Corp. All Rights Reserved.
10 © 2011 Macnica Networks Corp. All Rights Reserved.
IT・クラウドコンピューティングの進化
データ
データ
支店 支店
本社
コラボレーション & UC
ターミナル/Citrix
データセンター
モバイルユーザ
プライベートクラウド
パブリック・クラウド
VDI /XenDesktop
WAN
インターネット
•サーバ統合
•Web化
•シンクライアント
•リッチメディア
•モビリティ
•デスクトップ仮想化
•クラウド
•サーバ仮想化
•コラボレーション & UC
•スマートフォン・タブレット
•回線増速
•通信データ量の増加
ビデオ
Windows MediaReal、Flash
VMware
11 © 2011 Macnica Networks Corp. All Rights Reserved.
2001: ネットワーク境界 今: ネットワーク拡大VoIPユーザ
移動するユーザ
遠隔勤務者
スマートフォンユーザ
企業の
データセンター
顧客または
サプライヤ
リモートアクセス
外部ユーザ
ユーザ保護
アクセス管理
生産性管理
Saas, Web 2.0リアルタイム
アプリケーション
境界部/内部
のセキュリティ
ビジネスコミュニケーションの
保護
パートナーからの
アクセス
WANエクストラネット
コラボレーション
クラウド/SaaS
統合コミュニケーション
ネットワークの今と昔
12 © 2011 Macnica Networks Corp. All Rights Reserved.
2001: ネットワーク境界 今: ネットワーク拡大VoIPユーザ
移動するユーザ
遠隔勤務者
企業の
データセンター
顧客または
サプライヤ
リモートアクセス
外部ユーザ
ユーザ保護
アクセス管理
生産性管理
Saas, Web 2.0リアルタイム
アプリケーション
境界部/内部
のセキュリティ
ビジネスコミュニケーションの
保護
パートナーからの
アクセス
WANエクストラネット
コラボレーション
クラウド/SaaS
統合コミュニケーション
【2000年代】
~クローズドネットワーク~
-特定の”サーバ-クライアントアプリ
ケーション“を利用するクローズネットワーク
-特定の端末からのアクセス
-一部のASPサービスを利用
-社内で完結するため、WAN・インターネットは回線帯域
ネットワークの今と昔
【今】
~境界のないネットワーク~
-クラウドの増加によるネットワークのオープン化
-アプリケーションの多種多様化
-リッチコンテンツ化によるデータ量の増加
-アクセスデバイスの多様化
-土台となる回線帯域の拡大
13 © 2011 Macnica Networks Corp. All Rights Reserved.
クラウドの増加によるネットワークのオープン化
13
Zoho Work. Online Workday
NetSuite Microsoft Office Communication Online
Salesforce.comソフトウェア
GoGrid IIJ GIO
Amazon web service NIFTY Cloud
インフラ
Google App Engine
Live ServicesWindows Azure Platform
force.comプラットフォーム
14 © 2011 Macnica Networks Corp. All Rights Reserved.
08:30 出社
09:00 Webでニュースをチェック
09:30 他拠点の社員とWeb会議を実施
10:30 本日の訪問先の情報をWebでチェック
11:00 顧客の見積依頼を顧客のWebシステムで確認
12:00 昼休みに動画サイトでブレイク
13:00 営業先へ外出
15:00 外出先から帰社
15:30 案件情報をクラウドSFAサービスへアップ
16:00 取引先とSkypeでミーティング
17:00 セミナー資料のネタをWebで収集
18:00 取引先のセミナーをWeb経由のストリーミングで視聴
19:30 来週の出張の飛行機チケットをWebで予約
20:00 出張先のホテルをWebで予約
20:30 帰社
アプリケーションの多種多様化アプリケーションの業務利用の急増
WebExGoogle
YouTube
eBay
BitTorrent
WorkdaySkype
Twitter iTunes
TaleoWindows
Media
Salesforce
楽天
15 © 2011 Macnica Networks Corp. All Rights Reserved.
アプリケーションの多種多様化Social Networking = Business Networking
Social Networking Business Networking
NewsUpdatesEventsEmployees
AgendaReportsPartnershipBusiness Deals
ChatFriendsGossipStories
VS.
VideosMusicPhotosChat
16 © 2011 Macnica Networks Corp. All Rights Reserved.
アクセスデバイスの多様化
どこでも、企業のITリソースへアクセス可能
Internal Websites
データベース
ファイル共有
端末特有のアプリケーション(スマホのアプリ等)
More…
Smartphones and Tablets Kiosks/Public Machines
Personal Computers IT Issued Computers
16
17 © 2011 Macnica Networks Corp. All Rights Reserved.
リッチコンテンツ化によるデータ量の増加
世界のデジタルデータ量予測
2008年から2009年の間に62%増の840EBに拡大。
2010年はさらに1300EBに拡大
2020年には35ZBになると予想されている。
インターネットのデータ量予測
2015年にはインターネットに溢れるデジタルデータは966EB(≒1ZB)になると予想されている
17
※1ZB=1000EB=1,000,000PB=1,000,000,000TB=1,000,000,000,000GB
18 © 2011 Macnica Networks Corp. All Rights Reserved.
インターネット・WAN帯域の拡大と価格の低下
http://www.jpubb.com/press/233734/
19 © 2011 Macnica Networks Corp. All Rights Reserved.
業務効率の向上 コストの削減
20 © 2011 Macnica Networks Corp. All Rights Reserved.
コストの削減
セキュリティの担保
企業がITを導入する理由
業務効率の向上
攻撃からの防御不正侵入からの防御
情報漏えい対策マルウェア対策
利用者のコントロールコンプライアンスの徹底業務効率の低下を防ぐ
アクセスログの保存
21 © 2011 Macnica Networks Corp. All Rights Reserved.
22 © 2011 Macnica Networks Corp. All Rights Reserved.
例:平均的な企業のゲートウェイセキュリティ
◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止
◆アンチウイルスマルウェア・スパイウェアの
進入防止
◆プロキシサーバアクセスログの保存とURL単位
でのアクセス制御
◆URLフィルタリングURLのカテゴリ単位のアクセス
制御
Internet
23 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
例:平均的な企業のゲートウェイセキュリティ
◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止
◆アンチウイルスマルウェア・スパイウェアの
進入防止
◆プロキシサーバアクセスログの保存とURL単位
でのアクセス制御
◆URLフィルタリングURLのカテゴリ単位のアクセス
制御
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
24 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
例:平均的な企業のゲートウェイセキュリティ
◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止
◆アンチウイルスマルウェア・スパイウェアの
進入防止
◆プロキシサーバアクセスログの保存とURL単位
でのアクセス制御
◆URLフィルタリングURLのカテゴリ単位のアクセス
制御
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
25 © 2011 Macnica Networks Corp. All Rights Reserved.
現在のセキュリティ製品の問題点
ファイアウォール
アンチウイルス
プロキシサーバ
URLフィルタリング
80ポートアプリケーションや、ポート番号型アプリケーションが急増している今、ポート番号でアプリケーションは制御できない。
26 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
例:平均的な企業のゲートウェイセキュリティ
◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止
◆アンチウイルスマルウェア・スパイウェアの
進入防止
◆プロキシサーバアクセスログの保存とURL単位
でのアクセス制御
◆URLフィルタリングURLのカテゴリ単位のアクセス
制御
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
27 © 2011 Macnica Networks Corp. All Rights Reserved.
現在のセキュリティ製品の問題点
ファイアウォール
アンチウイルス
プロキシサーバ
URLフィルタリング
80ポートアプリケーションや、ポート番号型アプリケーションが急増している今、ポート番号でアプリケーションは制御できない。
広帯域に対応したスループットを発揮できない。
ファイルサイズに制限があるため、ファイルサイズの拡大に対応出来ない。
スキャン可能アプリに制限があるため、アプリが増えると対応出来ない。
28 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
例:平均的な企業のゲートウェイセキュリティ
◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止
◆アンチウイルスマルウェア・スパイウェアの
進入防止
◆プロキシサーバアクセスログの保存とURL単位
でのアクセス制御
◆URLフィルタリングURLのカテゴリ単位のアクセス
制御
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
29 © 2011 Macnica Networks Corp. All Rights Reserved.
現在のセキュリティ製品の問題点
ファイアウォール
アンチウイルス
プロキシサーバ
URLフィルタリング
80ポートアプリケーションや、ポート番号型アプリケーションが急増している今、ポート番号でアプリケーションは制御できない。
広帯域に対応したスループットを発揮できない。
ファイルサイズに制限があるため、ファイルサイズの拡大に対応出来ない。
スキャン可能アプリに制限があるため、アプリが増えると対応出来ない。
アクセス端末の増加でパフォーマンス不足に。
すべての端末をプロキシ指定するのは面倒。
すべてのアプリをプロキシ指定して、本当にしっかりと動作するのか?
30 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
例:平均的な企業のゲートウェイセキュリティ
◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止
◆アンチウイルスマルウェア・スパイウェアの
進入防止
◆プロキシサーバアクセスログの保存とURL単位
でのアクセス制御
◆URLフィルタリングURLのカテゴリ単位のアクセス
制御
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
31 © 2011 Macnica Networks Corp. All Rights Reserved.
現在のセキュリティ製品の問題点
ファイアウォール
アンチウイルス
プロキシサーバ
URLフィルタリング
80ポートアプリケーションや、ポート番号型アプリケーションが急増している今、ポート番号でアプリケーションは制御できない。
広帯域に対応したスループットを発揮できない。
ファイルサイズに制限があるため、ファイルサイズの拡大に対応出来ない。
スキャン可能アプリに制限があるため、アプリが増えると対応出来ない。
アクセス端末の増加でパフォーマンス不足に。
すべての端末をプロキシ指定するのは面倒。
すべてのアプリをプロキシ指定して、本当にしっかりと動作するのか?
ブラウザを経由しないアプリケーションや公開プロキシサーバ経由のアクセスは制御できない。
32 © 2011 Macnica Networks Corp. All Rights Reserved.
既存のセキュリティソリューションは“前時代”的
ポート番号制御、URLカテゴリ制御の限界
限定的なセキュリティの限界
セキュリティ構成の限界
スループットの限界
アプリケーションレベル(L7)レベルでの制御が必要
アプリケーションやファイルサイズに制限なく、すべての通信をスキャンする必要がある。
多種多様なデバイスからのアクセスや増え続けるアプリケーションに対応できるシンプルな構成が必要
現在の広帯域に合った高スループットが必要
33 © 2011 Macnica Networks Corp. All Rights Reserved.
34 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
次世代ファイアウォールのインラインセキュリティ
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
35 © 2011 Macnica Networks Corp. All Rights Reserved.
Internet
次世代ファイアウォールのインラインセキュリティ
・ポート番号だけでなく、アプリケーション(L7)レベルでのアクセス制御
・すべてのアプリ、プロトコルにセキュリティを提供
・インラインセキュリティによる自由な導入構成・10G超のスループットを提供
WebEx Google
YouTube
SkypeTwitterWindows Media
Salesforce
クラウド
36 © 2011 Macnica Networks Corp. All Rights Reserved.
次世代ファイアウォールとは? ※Gartnerの定義
セキュリティ機能+アプリケーションの可視化と制御ファイアウォール
VPN(IPsec/SSL)
ゲートウェイアンチウィルス(GAV)
アンチスパイウェア(GAS)IPS(侵入検知防御)
コンテンツフィルタ
アンチスパム
アプリケーションの可視化と制御
CONFIDENTIAL All Rights Reserved36
37 © 2011 Macnica Networks Corp. All Rights Reserved.
市場規模(WW)
37
0%10%20%30%40%50%60%70%80%90%
100%
20102011
20122013
2014
Firewall Installed Base
Next-gen Firewalls
Legacy Firewalls
“Gartner believes that less than 1% of Internet connections today are secured using NGFWs. We believe that by year-end 2014 this will rise to 35% of the installed base, with 60% of new purchases being NGFWs.”
- Defining the Next-Generation Firewall Gartner, 2009
38 © 2011 Macnica Networks Corp. All Rights Reserved.
39 © 2011 Macnica Networks Corp. All Rights Reserved.
次世代ファイアウォールは沢山あるけれど・・・
機能ASIC型
レガシーFW
流行型なんちゃって次世代FW
理想型次世代FW
FWL4-FW機能 ○ △ ○
L7-FW機能 △ △ ○
AV通常スキャン ○ △ ○
制限のないスキャン × × ○
スループット1G未満 ○ △ ○
1Gbps以上 × × ○
40 © 2011 Macnica Networks Corp. All Rights Reserved.
すべてのニーズを保管できる製品
ポート番号制御の限界限定的なセキュリティの限界セキュリティ構成の限界スループットの限界
41 © 2011 Macnica Networks Corp. All Rights Reserved.
SonicWALLはすべてのお客様層をカバー
次世代ファイアウォールスループット
端末数
10台
1000台
5000台
10000台
50Mbps 1Gbps 5Gbps 30GbpsTZ 210 Series
NSA 240
NSA 2400
NSA 3500
NSA 4500
NSA E5500
NSA E6500
NSA E7500
NSA E8500
SuperMassive E10000
42 © 2011 Macnica Networks Corp. All Rights Reserved.
SonicWALLの次世代ファイアウォールソリューション
重要なアプリ: 帯域幅を優先的に確保
利用を許可されたアプリ: 帯域幅を管理
禁止されたアプリ: 遮断
SonicWALLプラットホームRFDPI/マルチコア
マルウェアの遮断
クラウドデータベースとの連携により、新しいアプリケーションにも早急に対応
AD連携によるユーザ・グループ認証
アプリ毎・ユーザ毎の詳細な利用分析
帯域制御・優先順位・ブロック等の柔軟なコントロールをユーザ単位、
アプリケーション単位で提供
アプリケーションを自動的に可視化
BitTorrent
ORACLE
YouTubeFacebook
SkypePANDRA
Salesforce
LimeWire
SAP
eMule
Sling Media
BitTorrent
ORACLE
YouTubeFacebookSkype
PANDRA
Salesforce
LimeWire
SAP
eMule
Sling Media
VoIP VoIP
43 © 2011 Macnica Networks Corp. All Rights Reserved.
次世代ファイアウォールSonicWALLの機能
以下のセキュリティ機能を1台で統合的に提供
ファイアウォール
アプリケーションの可視化と制御
VPN(IPsec/SSL)
ゲートウェイアンチウィルス(GAV)
アンチスパイウェア(GAS)
IPS(侵入検知防御)
コンテンツフィルタ
アンチスパム
44 © 2011 Macnica Networks Corp. All Rights Reserved.
次世代ファイアウォール SonicWALLアーキテクチャ
マルチコアアーキテクチャ
SPI(L4) ○
DPI(L7) ◎
SPI(L4) ◎
DPI(L7) △
45 © 2011 Macnica Networks Corp. All Rights Reserved.
リアセンブリフリーディープパケットインスペクション(RFDPI) 特許技術
次世代ファイアウォール SonicWALLアーキテクチャ
パフォーマンス ×
ファイルサイズ制限 有り
プロトコル制限 有り
パフォーマンス ◎
ファイルサイズ制限 無し
プロトコル制限 無し
46 © 2011 Macnica Networks Corp. All Rights Reserved.
Version | Service | Total LengthID | Flags | FragmentTTL | Protocol | IP Checksum
Source IP AddressDestination IP Address
Version | Service | Total LengthID | Flags | FragmentTTL | Protocol | IP Checksum
Source IP AddressDestination IP Address
Version | Service | Total LengthID | Flags | FragmentTTL | Protocol | IP Checksum
Source IP AddressDestination IP Address
SonicWALLRFDPI
(Reassembly Free
Deep Packet Inspection)
メモリを用いた他製品のプロキシ型DPI
リアルタイム検査検査
メモリがいっぱい
→ 検査ストップ
検査
RFDPI (Reassembly Free Deep Packet Inspection)
47 © 2011 Macnica Networks Corp. All Rights Reserved.
アプリケーションコントロール例:Skypeの制御
社内で利用されているSkype通信を可視化
Skype利用者がいる!
48 © 2011 Macnica Networks Corp. All Rights Reserved.
Skype利用者のユーザおよびIPアドレスを特定可能
認証ユーザであれば、ユーザ特定も簡単
takashiというユーザが172.22.89.100で
Skypeを利用している
アプリケーションコントロール例:Skypeの制御
49 © 2011 Macnica Networks Corp. All Rights Reserved.
クリックだけでSkype通信をブロック設定が可能
チェックを選択してボタンをクリックするだけで
ブロック設定が可能
アプリケーションコントロール例:Skypeの制御
50 © 2011 Macnica Networks Corp. All Rights Reserved.
結果
SonicWALLのログからもブロックしていることを確認
Skype端末はTimeoutでログインできない
アプリケーションコントロール例:Skypeの制御
51 © 2011 Macnica Networks Corp. All Rights Reserved.
アプリケーションコントロール例:Webメール制御
社内からのWebメール利用を可視化
HotMail利用者がいる!
52 © 2011 Macnica Networks Corp. All Rights Reserved.
Webメール利用のユーザ名・IPアドレスを特定可能
takashiというユーザが172.22.89.100で
Hotmailを利用しているHotmailでフィルタリング
アプリケーションコントロール例:Webメール制御
53 © 2011 Macnica Networks Corp. All Rights Reserved.
HotMailの送受信は可能だが、添付ファイルは禁止したい
アプリケーション制御機能の有効化
アプリケーションコントロール例:Webメール制御
54 © 2011 Macnica Networks Corp. All Rights Reserved.
HotMailの送受信は可能だが、添付ファイルは禁止したい
“WEBMAIL”カテゴリの中のHotmailに関するシグネチャで“Attachment Upload Attempt”のみブロック設定を有効化
“Attachment Upload Attempt”シグネチャのみブロックさせる
アプリケーションコントロール例:Webメール制御
55 © 2011 Macnica Networks Corp. All Rights Reserved.
結果
添付ファイルをアップロードしようとするとアップロードできない
添付ファイルなしの場合、メール送信が可能
“アップロード中…”から進まず、添付だけできない。
添付ファイルがなければ、通常通りメール送信が可能
アプリケーションコントロール例:Webメール制御
56 © 2011 Macnica Networks Corp. All Rights Reserved.
SonicWALLのテクノロジーにより得られるソリューション
アプリケーション(L7)レベルのセキュリティ担保マルチコア・RFDPIによる業界No.1のセキュリティスループット
25M~12Gまでのスループットを提供
– すべてのお客様、すべての拠点にセキュリティを展開
プロトコル・アプリケーション・端末に制限の無いセキュリティ
すべてのTCPフローをスキャン対象にすることが可能
インラインセキュリティのため、端末にプロキシ設定等の設定変更の必要なく、スキャンが可能
プロキシ型DPIではないため、アプリケーションの動作に影響を与えない。
57 © 2011 Macnica Networks Corp. All Rights Reserved.
次世代ファイアウォール“P社”との比較
比較項目 P社 SonicWALL
L7-FW
アプリケーションの制御 ○ ○
可視化可能なアプリ数 1400 3500以上
シグネチャ更新頻度 1週間に1回 1時間に1回
アンチウイルス
スループット 低い 高い
検知率 低い 90%以上
ファイルサイズ制限 無し 無し
プロトコル制限 有り 無し
運用管理GUI 英語のみ 日本語、英語
設定 複雑 簡易的
ラインナップ 製品ラインナップ 限定的 小から特大まで
58 © 2011 Macnica Networks Corp. All Rights Reserved.
次世代ファイアウォール“P社”のカバーエリア
次世代ファイアウォールスループット
端末数
10台
1000台
5000台
50Mbps 1Gbps 5Gbps
10000台
30Gbps
59 © 2011 Macnica Networks Corp. All Rights Reserved.
今こそチャンスを掴んでください。
次世代ファイアウォールは現在のIT環境の進化を支える土台となる製品です。
クラウド化、マルチデバイス化、広帯域等により得ることの出来る「業務効率の向上」、「コスト削減」のチャンスを活かすため、今の時代にあったセキュリティ対策を考えてはいかがでしょうか?
60 © 2011 Macnica Networks Corp. All Rights Reserved.
Question?
61 © 2011 Macnica Networks Corp. All Rights Reserved.
ご清聴ありがとうございました。