ワールドニュース

米国ニュース


シスコ、統合型の脅威緩和機能と VPN デバイスでネットワーク セキュリティの簡素化を実現

増加するネットワーク脅威に対応しながら、包括的なセキュリティの導入に伴う複雑さと費用を軽減する「ASA 5500」

2005 年 5 月 3 日

2005 チャールズ・ウォルトナー(Charles Waltner、News@Cisco)

ネットワーク セキュリティに対する脅威は、日ごとに厄介に、複雑になっていますが、ネットワークの防御も同じように厄介に、複雑にならなければならないということはありません。

この難題に対するシスコシステムズの回答が、「Adaptive Security Appliance(ASA:適応型セキュリティ アプライアンス)5500」シリーズです。シスコが「ASA 5500」を生み出したのは、ネットワーク上の脅威の深刻化と、このような脅威からネットワークを保護するための費用と複雑さの増大という、2 つの問題に対処するためでした。

「ASA 5500」シリーズは、業界で初めて発表された、フル機能の、統合型マルチファンクション ネットワーク セキュリティ デバイスです。「ASA 5500」シリーズには、シスコのファイアウォールVPN(バーチャル プライベート ネットワーク)、侵入検知といった、業界最高レベルの機能、およびネットワーク アンチウイルス技術が装備されています。しかし、「ASA 5500」は、単にこれら個別の機能の寄せ集めではありません。これらすべての技術を単一のデバイスに集約させることにより、「ASA 5500」では、それぞれの技術が相互に連携しあい、セキュリティ面でかつてなかったような効果が生み出されているのです。

また、すべての技術を単一の、低価格のプラットフォームに統合させることにより、シスコは、お客様がネットワークのより多くのポイントに包括的なセキュリティを配備することを、運営面でも、費用面でも実現可能にします。しかも、「Cisco ASA 5500」では、最先端のトラフィック処理技術と革新的なソフトウェア アーキテクチャにより、トラフィックのフローを妨げることなく、あらゆる機能を実装させることが可能になっています。

「ASA 5500」はネットワークのセキュリティを簡単にしてくれますが、「ASA 5500」の開発そのものはまったく簡単ではありませんでした。このようなデバイスがこれまで作られなかったのには、それなりの理由があったのです。性能や機能を損なわずに 4 つのセキュリティ技術を 1 つのボックスに搭載するのは、おそろしく困難でした。2 年以上にわたるプロジェクトでは、これまでシスコのスタンドアローンのファイアウォールや VPN、侵入予防、ネットワーク アンチウイルス技術といった分野で個別に活動していたエンジニアのグループが連携する必要がありました。この大規模プロジェクトの中心となったのは、ケビン・ワイリー(Kevin Wiley)やダリオ・カリア(Dario Calia)、ビクター・ボルピ(Victor Volpe)、スティーブ・デジャネット(Steve DeJarnett)といったソフトウェア開発マネージャーたちで、さまざまな技術要素を織り込み、「ASA 5500」という見事なタペストリーを作り上げるのにそれぞれが尽力しました。

「プロジェクトの開始当初がおそらく最も大変な時期だったのでしょうね。このように高度な、さまざまな機能が内包されている製品を開発するためには、チーム メンバー全員がこれ以上ないというくらい努力しなければなりませんでした」と、デジャネットは話しています。

しかし、「ASA 5500」の連合プロジェクト チームに参加したエンジニアたちの革新性と比類ないほど強固な意志が 1 つに結びついたおかげで、シスコのお客様は、現在、セキュリティ デバイスがうんざりするほど増えてゆくというような目に遇わずに、ネットワーク全体に包括的なセキュリティを配備することができるようになったのです。

シスコのセキュリティおよび VPN 製品マーケティング担当マネージャーのスコット・ポープ(Scott Pope)は、ネットワーキング セキュリティへの関心が急速に高まると、セキュリティ デバイスの数も急速に増えてしまう傾向がある、と話しています。残念ながら、ネットワーク マネージャーたちにとっては、ネットワークのあらゆるノードにあらゆるタイプのデバイスを配備するのは、とりわけ遠隔地のオフィスのようなリモート サイトに配備するのは、できない相談となっています。あまりにも多くのデバイスを購入し、維持させるのは、予算やスタッフ、ネットワークに大きな負担をかけることになっていました。「セキュリティ アプライアンスの管理負担だけでも大変で、ネットワーク運営ができない、と我々に相談するしかお客様には方法はありませんでした」と、ポープは言います。

ポープの話によれば、シスコのお客様も彼のチームに、ファイアウォールはもちろん配備したいが、防御能力をいっそう高め、ワームやウィルス、不許可のアプリケーションがネットワークに侵入してくるのを防げるようにしたい、と相談しているそうです。「お客様は、セキュリティ機能を飛躍的に高めたいと切実に感じていらっしゃいますが、できるだけデバイスの数は減らしたいとも思っているのです」

「ASA 5500」により、そのような願いが現実のものとなりました。この統合型のセキュリティ アプライアンスにより、ネットワーク ベースのワームおよびウィルス緩和、スパイウェア/アドウェア防御、トラフィックのマイクロ インスペクション、アプリケーション ファイアウォール、ハッカー/侵入予防、サービス妨害予防、アクセス制御、デバイスレベルでのセキュリティ イベント コリレーション、ならびに IPSec や SSL をはじめとする多様な VPN サポートなど、数々の有益なセキュリティ ツールの使用が可能になります。そう、願いが実現したのです。

何より大切なのは、「ASA 5500」に組み込まれている各デバイス間の連携が、スタンドアローンのセキュリティ アプリアンスとなっている場合に比べて、はるかに向上しているという事実です。「ASA 5500」では、マシーンを通過するネットワーク トラフィック フローの管理および調整は、モジュール方式の、柔軟な方法により、かつてなかったほどシンプルに達成されます。

たとえば、「ASA 5500」では、各デバイスの VPN 関連機能との連携がさらに強化されているため、より洗練された侵入検知サービスおよび脅威緩和機能が実現されています。通常、侵入検知や他の脅威緩和技術では、VPN を流れる暗号化されたトラフィックの解読は不可能となっています。しかし、VPN と侵入検知機能が同じボックスで管理されていれば、IPS に向うトラフィックを VPN で解読し、内容を検査してから、再び暗号化して、トラフィックを進めることができる、というのがケビン ワイリーの説明です。つまり、VPN のトラフィックは、「ASA 5500」の侵入予防と脅威緩和サービスによって完全に解析されないかぎりは、ネットワークに入れないのです。「このような 2 つのデバイスが連携してセキュリティ ワークを行えるようにするために、我々は両方のデバイスの効果をさらに高めるようにし、ハッカーやマルウェアが別の方法でネットワークに侵入できないようにもしました」と、ワイリーは言います。

新しい機能でネットワーク セキュリティを飛躍的に向上させるだけでなく、「ASA 5500」により、組織は、費用を抑えながらより強固なセキュリティを配備することが可能になります。シスコのお客様が「ASA 5500」を購入し、配備すれば、「ASA 5500」のすべての機能を実現させるために個々のデバイスを購入し、配備する場合より、費用を大幅に削減できるようになります。さらに、管理を必要とするデバイスが少なくなれば費用も抑制されるようになりますので、シスコでは、できるかぎり簡素で、費用効果良く管理ができるように「ASA 5500」を設計しています。

企業は、「ASA 5500」の機能をすべて利用する必要はありません。しかし、単一の管理インターフェイスですべてのデバイスの機能を網羅するようにし、組織がトレーニングのための経費を削減できるようにすることが大切です。「3 つの個別のデバイスとインターフェイスではなく、1 つのデバイスと 1 つの操作インターフェイスを覚えればいいのです。我々は、当社のスタンドアローン製品をご利用のお客様にとって馴染みやすいインターフェイスにし、管理コンソールも、『ASA 5500』が提供する多様な脅威緩和と VPN のオプションをサポートするものにしたいと考えていました。しかし、このマシーンで利用できるセキュリティ機能を可能なかぎり多様に組み合わせるというのは、簡単な課題ではありませんでした」と言うのは、「ASA 5500」の管理システム開発で主導的役割を果たした、デジャネットです。

このような苦労は、「Cisco ASA 5500」の開発を通じて絶えず存在していました。ビクター・ボルピが語っているように、すでに完成していて、業界でも高い評価を受けている 3 つのデバイスのすべての機能を 1 つのデバイスに組み込むのは、控えめに言っても、厄介でした。「チームは、マーケットでも高い評価を受けている、成熟した3 つの製品に搭載されている、数十にもおよぶ高度な機能を集約させなければならなかったのです。作業予定はぎっしり詰まっていました」と、ボルピは言います。

ハードウェアの性能を高めるために、チームはいくつもの最新のチップを採用し、暗号化されたトラフィックの解読および悪質なデータの割り出しができるようにしたほか、あらゆる通信に対して「Cisco ASA 5500」の 4 つの主要なセキュリティ機能がすべて作動するようにしました。統合的なデータパス アーキテクチャを設計したことにより、このデバイスでは、どのようなタスクを実行する場合にも、パワフルなチップを最適かつ最高に活用できるようになっています。

ダリオ・カリアが言うには、チームが記録した数々の満足できる功績の多くは、「ASA 5500」の多面的な機能を管理し、それらを連携させる技術の開発が元になっているそうです。そのためには、デバイス全体をカバーするワンポリシー エンジンとともに、基本的にはマシーンの神経中枢となる、新しい機能カーネルの設計が必要でした。

「セキュリティ アプライアンスに何ができるかということを再定義したいと思っていました。その結果、アプライアンスの機能を最大限に発揮するために、新たにどのようなことをすればよいのかが明らかになりました」と、カリアは話しています。

技術的にも、実務的にも、シスコの最高のセキュリティ デバイスのパワーや機能をすべて単一のアプライアンスに組み込むというのは、まったくもって容易な使命ではありませんでした。しかし、チームは、課題を 1 つずつ克服してきました。確かに、きわめて困難な仕事となりましたが、メンバーの努力が実を結び、シスコのお客様は包括的なネットワーキング セキュリティを従来よりはるかに簡単に配備および管理できるようになったのです。

チャールズ・ウォルトナー : カリフォルニア州オークランド在住のフリーランス ジャーナリスト。

▲Return to Top

お問い合わせ