写真提供:マイナビニュース

写真拡大

A10は12月7日、セキュリティプラットフォーム「Thunder CFW」を2016年第1四半期より提供すると発表した。

同社はこの製品を「これまでにない新しい分野のセキュリティプラットフォーム」と位置づけており、セキュリティとアプリケーションネットワーキングに必要な機能を集約している。

主な機能は「セキュアWebゲートウェイ」と「データセンターファイアウォール(DC FW)」「Gi/SGiファイアウォール」「サイト間IPSec VPN」の4つ。

同社の「ACOS(Advanced Core Operating System) Harmonyプラットフォーム」の製品であるため、集中管理システム「aGalaxy」を利用してADC(アプリケーション配信)やCGN(IPv4枯渇対策/IPv6移行)と共に単一のアプライアンスで管理でき、ログデータや各種設定情報に対する外部からのアクセスが可能になる。なお、aGalaxyへの対応は製品提供より遅れ、2016年第2四半期より利用可能になるとしている。また、アプライアンスだけでなく、ソフトウェアの提供も行われるが、こちらの製品投入は「2016年内」と回答していた。

・セキュアWebゲートウェイ

セキュアWebゲートウェイは、SSL暗号化通信を可視化して、企業が導入しているIPSなどのセキュリティアプライアンスに転送する。クライアントのHTTP/HTTPSを問わず、トラフィックに対してセキュリティポリシーを適用できる。URLフィルタリングやSSL復号処理を、企業がすでに導入している次世代型ファイアウォールやUTMなどから"引き受けられる"ため、セキュリティアプライアンス全般の処理性能の向上が期待できる。

・データセンターファイアウォール

DC FWの機能では、ネットワーク経由の攻撃やDDoS攻撃からデータセンターのサーバを保護する。1Uのアプライアンスで最大150Gbpsのパフォーマンスを実現しているだけでなく、アプリケーション配信機能とファイアウォール機能を統合しているため、データセンターの接地面積を縮小できるとしている。

・Gi/SGiファイアウォール

Gi/SGi FWはモバイル通信事業者向けの機能で、DC FWと同様にネットワーク経由の攻撃やDDoS攻撃への対処が可能で、加入者や設備を保護する。CGNやDDoS防御機能、ファイアウォール機能を統合しており、こちらも高パフォーマンスながらフットプリントを抑えられることが特徴となる。

・サイト間IPSec VPN

サイト間IPSec VPNは、異なるデータセンター間の接続をセキュアに行える。CGNATやルーティングと統合して運用コストを削減できる。また、同一アプライアンスであっても、ADCとDCFWを仮想的に切り分けて構成できることもメリットと言える。

○ユーザー企業の要望に応えた新製品

A10は同日、記者会見を行い、創業者 兼 CEOのリー・チェン氏と、A10ネットワークス ビジネス開発本部 マーケティング部 部長 兼 エバンジェリストの高木 真吾氏がA10のビジネス概況と製品の説明を行った。

チェン氏は最初にビジネスの概況について説明。日本ではモバイル通信事業者3社がA10のソリューションを利用しているほか、導入先としてSEGAやYahoo! JAPANなを挙げ「順調に推移している」と強調した。

続いて、"Webの現状"について触れ、スノーデン事件に端を発した暗号化の流れがさらに、急速に広がる状況を紹介し「2019年には100%のトラフィックが暗号化される」と見通しを語る。

この流れは、サイバーセキュリティにとって望ましいこととしつつも、企業としては「SSLのパフォーマンス、そして可視化が重要になる」と指摘。暗号化によって外部からの閲覧が難しくなって、サイバー犯罪対策としては有効である一方で、非常に負荷のかかる暗号化、そしてあらゆるトラフィックの中身が見られなくなることによるセキュリティの問題を解決するための可視化が重要になるとして、今回のソリューションの重要性を説いた。

「すべてがクラウドへと向かい、トラフィック管理・制御、そして可視化のすべてが重要になる。こうした大きな流れは、A10の強みが発揮できる領域へと行き着いている」(チェン氏)

一方の高木氏は新製品の説明を行った。今回の新製品は「専用機はTPS(DDoS防御製品)のみの投入だったが、ここにCFWを投入する」というもので、セキュリティ課題を解決するための新ソリューションだと話す。新製品は、主にエンタープライズとデータセンター、モバイル通信事業者へ向けた戦略製品で「今後必要となる新しいタイプのセキュリティプラットフォーム。お客様の要望にこたえたものだ」ということで、顧客ニーズに最適化した製品となる。大規模なデータセンターなどではフットプリントに余裕がなく、セキュリティ機能を統合した上でコンパクトに作ってもらいたいという企業が多く、そうした要望に応えるべくフットプリントを抑えている。

「UTMや次世代型ファイアウォールはたくさんの機能が用意されているため、高い費用を払ってパフォーマンスに期待するし、そこが重要になる。そこで、インスペクションに集中してもらうために、われわれの製品でSSLの可視化などの負荷のかかる場面をお手伝いしようというソリューションがこの製品となる」(高木氏)

つまり、多機能なファイアウォールやUTMは、単体でこなせることが多い"万能選手"である一方、1つのアプライアンスで多くのことをこなすため、本来のポリシーコントロールをやろうとするとパフォーマンスが極端に下がってしまう。そこで、「得意な部分を分散してやることにニーズがあると判断」(高木氏)したそうだ。一例としては、Thunder CFWで初めにSSLを可視化した後にIPSなどをかませてトラフィックを精査、その後に再びThunder CFWを通して暗号化してセキュリティを担保するという手法を挙げていた。

(徳原大)