クラウド・スマホ・広帯域ネットワークを支える！...

© 2010 Macnica Networks Corp. All Rights Reserved.

マクニカネットワークス株式会社第4営業統括部第1部第1課

星野喬

クラウド・スマホ・広帯域ネットワークを支える！“次世代ファイアウォール”を利用した

インラインセキュリティソリューション


業務効率の向上

企業がITを導入する理由を考えてみました。



ビジネス競合に打ち勝つための業務効率向上を狙ったIT投資

より便利なアプリケーションへ

より生産性の高いシステムへ



コストの削減



コストの削減

IT投資によってコストを削減する。

人的コストの削減

運用コストの削減

IT投資自体のコストを削減する。

より良いシステムをより低価格で導入する。


コストの削減

セキュリティの担保





セキュリティリスクから企業を守る

攻撃からの防御

– 不正侵入からの防御

– 情報漏えい対策

– マルウェア対策

利用者のコントロール

– コンプライアンスの徹底

– 業務効率の低下を防ぐ

– アクセスログの保存


IT・クラウドコンピューティングの進化

データ

データ

支店支店

本社

コラボレーション & UC

ターミナル/Citrix

データセンター

モバイルユーザ

プライベートクラウド

パブリック・クラウド

VDI /XenDesktop

WAN

インターネット

•サーバ統合

•Web化

•シンクライアント

•リッチメディア

•モビリティ

•デスクトップ仮想化

•クラウド

•サーバ仮想化

•コラボレーション & UC

•スマートフォン・タブレット

•回線増速

•通信データ量の増加

ビデオ

Windows MediaReal、Flash

VMware


2001: ネットワーク境界今: ネットワーク拡大VoIPユーザ

移動するユーザ

遠隔勤務者

スマートフォンユーザ

企業の


顧客または

サプライヤ

リモートアクセス

外部ユーザ

ユーザ保護

アクセス管理

生産性管理

Saas, Web 2.0リアルタイム

アプリケーション

境界部/内部

のセキュリティ

ビジネスコミュニケーションの

保護

パートナーからの

アクセス

WANエクストラネット

コラボレーション

クラウド/SaaS

統合コミュニケーション

ネットワークの今と昔


2001: ネットワーク境界今: ネットワーク拡大VoIPユーザ

移動するユーザ

遠隔勤務者

企業の


顧客または

サプライヤ

リモートアクセス

外部ユーザ

ユーザ保護

アクセス管理

生産性管理

Saas, Web 2.0リアルタイム

アプリケーション

境界部/内部

のセキュリティ

ビジネスコミュニケーションの

保護

パートナーからの

アクセス

WANエクストラネット

コラボレーション

クラウド/SaaS

統合コミュニケーション

【2000年代】

～クローズドネットワーク～

-特定の”サーバ-クライアントアプリ

ケーション“を利用するクローズネットワーク

-特定の端末からのアクセス

-一部のASPサービスを利用

-社内で完結するため、WAN・インターネットは回線帯域

ネットワークの今と昔

【今】

~境界のないネットワーク～

-クラウドの増加によるネットワークのオープン化

-アプリケーションの多種多様化

-リッチコンテンツ化によるデータ量の増加

-アクセスデバイスの多様化

-土台となる回線帯域の拡大


クラウドの増加によるネットワークのオープン化

13

Zoho Work. Online Workday

NetSuite Microsoft Office Communication Online

Salesforce.comソフトウェア

GoGrid IIJ GIO

Amazon web service NIFTY Cloud

インフラ

Google App Engine

Live ServicesWindows Azure Platform

force.comプラットフォーム


08:30 出社

09:00 Webでニュースをチェック

09:30 他拠点の社員とWeb会議を実施

10:30 本日の訪問先の情報をWebでチェック

11:00 顧客の見積依頼を顧客のWebシステムで確認

12:00 昼休みに動画サイトでブレイク

13:00 営業先へ外出

15:00 外出先から帰社

15:30 案件情報をクラウドSFAサービスへアップ

16:00 取引先とSkypeでミーティング

17:00 セミナー資料のネタをWebで収集

18:00 取引先のセミナーをWeb経由のストリーミングで視聴

19:30 来週の出張の飛行機チケットをWebで予約

20:00 出張先のホテルをWebで予約

20:30 帰社

アプリケーションの多種多様化アプリケーションの業務利用の急増

WebExGoogle

YouTube

Facebook

eBay

BitTorrent

WorkdaySkype

Twitter iTunes

TaleoWindows

Media

Salesforce

楽天


アプリケーションの多種多様化Social Networking = Business Networking

Social Networking Business Networking

NewsUpdatesEventsEmployees

AgendaReportsPartnershipBusiness Deals

ChatFriendsGossipStories

VS.

VideosMusicPhotosChat


アクセスデバイスの多様化

どこでも、企業のITリソースへアクセス可能

Email

Internal Websites

データベース

ファイル共有

端末特有のアプリケーション（スマホのアプリ等）

More…

Smartphones and Tablets Kiosks/Public Machines

Personal Computers IT Issued Computers

16


リッチコンテンツ化によるデータ量の増加

世界のデジタルデータ量予測

2008年から2009年の間に62%増の840EBに拡大。

2010年はさらに1300EBに拡大

2020年には35ZBになると予想されている。

インターネットのデータ量予測

2015年にはインターネットに溢れるデジタルデータは966EB（≒1ZB）になると予想されている

17

※1ZB=1000EB=1,000,000PB=1,000,000,000TB=1,000,000,000,000GB


インターネット・WAN帯域の拡大と価格の低下

http://www.jpubb.com/press/233734/


業務効率の向上コストの削減


コストの削減


企業がITを導入する理由


攻撃からの防御不正侵入からの防御

情報漏えい対策マルウェア対策

利用者のコントロールコンプライアンスの徹底業務効率の低下を防ぐ

アクセスログの保存


例：平均的な企業のゲートウェイセキュリティ

◆ファイアウォールポート番号レベルでのアクセス制御とSPIによる不正侵入防止

◆アンチウイルスマルウェア・スパイウェアの

進入防止

◆プロキシサーバアクセスログの保存とURL単位

でのアクセス制御

◆URLフィルタリングURLのカテゴリ単位のアクセス

制御

Internet


Internet




進入防止




制御

WebEx Google

YouTube

Facebook

SkypeTwitterWindows Media

Salesforce

クラウド


Internet




進入防止




制御

WebEx Google

YouTube

Facebook


Salesforce

クラウド


現在のセキュリティ製品の問題点

ファイアウォール

アンチウイルス

プロキシサーバ

URLフィルタリング

80ポートアプリケーションや、ポート番号型アプリケーションが急増している今、ポート番号でアプリケーションは制御できない。


Internet




進入防止




制御

WebEx Google

YouTube

Facebook


Salesforce

クラウド








広帯域に対応したスループットを発揮できない。

ファイルサイズに制限があるため、ファイルサイズの拡大に対応出来ない。

スキャン可能アプリに制限があるため、アプリが増えると対応出来ない。


Internet




進入防止




制御

WebEx Google

YouTube

Facebook


Salesforce

クラウド











アクセス端末の増加でパフォーマンス不足に。

すべての端末をプロキシ指定するのは面倒。

すべてのアプリをプロキシ指定して、本当にしっかりと動作するのか？


Internet




進入防止




制御

WebEx Google

YouTube

Facebook


Salesforce

クラウド











アクセス端末の増加でパフォーマンス不足に。

すべての端末をプロキシ指定するのは面倒。

すべてのアプリをプロキシ指定して、本当にしっかりと動作するのか？

ブラウザを経由しないアプリケーションや公開プロキシサーバ経由のアクセスは制御できない。


既存のセキュリティソリューションは“前時代”的

ポート番号制御、URLカテゴリ制御の限界

限定的なセキュリティの限界

セキュリティ構成の限界

スループットの限界

アプリケーションレベル（L7）レベルでの制御が必要

アプリケーションやファイルサイズに制限なく、すべての通信をスキャンする必要がある。

多種多様なデバイスからのアクセスや増え続けるアプリケーションに対応できるシンプルな構成が必要

現在の広帯域に合った高スループットが必要


Internet

次世代ファイアウォールのインラインセキュリティ

WebEx Google

YouTube

Facebook


Salesforce

クラウド


Internet

次世代ファイアウォールのインラインセキュリティ

・ポート番号だけでなく、アプリケーション（L7）レベルでのアクセス制御

・すべてのアプリ、プロトコルにセキュリティを提供

・インラインセキュリティによる自由な導入構成・10G超のスループットを提供

WebEx Google

YouTube

Facebook


Salesforce

クラウド


次世代ファイアウォールとは？ ※Gartnerの定義

セキュリティ機能+アプリケーションの可視化と制御ファイアウォール

VPN（IPsec/SSL）

ゲートウェイアンチウィルス（GAV）

アンチスパイウェア（GAS)IPS（侵入検知防御）

コンテンツフィルタ

アンチスパム

アプリケーションの可視化と制御

CONFIDENTIAL All Rights Reserved36


市場規模(WW)

37

0%10%20%30%40%50%60%70%80%90%

100%

20102011

20122013

2014

Firewall Installed Base

Next-gen Firewalls

Legacy Firewalls

“Gartner believes that less than 1% of Internet connections today are secured using NGFWs. We believe that by year-end 2014 this will rise to 35% of the installed base, with 60% of new purchases being NGFWs.”

- Defining the Next-Generation Firewall Gartner, 2009


次世代ファイアウォールは沢山あるけれど･･･

機能ASIC型

レガシーFW

流行型なんちゃって次世代FW

理想型次世代FW

FWL4-FW機能 ○ △ ○

L7-FW機能 △ △ ○

AV通常スキャン ○ △ ○

制限のないスキャン × × ○

スループット1G未満 ○ △ ○

1Gbps以上 × × ○


すべてのニーズを保管できる製品

ポート番号制御の限界限定的なセキュリティの限界セキュリティ構成の限界スループットの限界


SonicWALLはすべてのお客様層をカバー

次世代ファイアウォールスループット

端末数

10台

1000台

5000台

10000台

50Mbps 1Gbps 5Gbps 30GbpsTZ 210 Series

NSA 240

NSA 2400

NSA 3500

NSA 4500

NSA E5500

NSA E6500

NSA E7500

NSA E8500

SuperMassive E10000


SonicWALLの次世代ファイアウォールソリューション

重要なアプリ: 帯域幅を優先的に確保

利用を許可されたアプリ: 帯域幅を管理

禁止されたアプリ: 遮断

SonicWALLプラットホームRFDPI/マルチコア

マルウェアの遮断

クラウドデータベースとの連携により、新しいアプリケーションにも早急に対応

AD連携によるユーザ・グループ認証

アプリ毎・ユーザ毎の詳細な利用分析

帯域制御・優先順位・ブロック等の柔軟なコントロールをユーザ単位、

アプリケーション単位で提供

アプリケーションを自動的に可視化

BitTorrent

ORACLE

YouTubeFacebook

SkypePANDRA

Salesforce

LimeWire

SAP

eMule

Sling Media

BitTorrent

ORACLE

YouTubeFacebookSkype

PANDRA

Salesforce

LimeWire

SAP

eMule

Sling Media

VoIP VoIP


次世代ファイアウォールSonicWALLの機能

以下のセキュリティ機能を1台で統合的に提供


アプリケーションの可視化と制御

VPN（IPsec/SSL）

ゲートウェイアンチウィルス（GAV）

アンチスパイウェア（GAS)

IPS（侵入検知防御）

コンテンツフィルタ

アンチスパム


次世代ファイアウォール SonicWALLアーキテクチャ

マルチコアアーキテクチャ

SPI（L4） ○

DPI（L7） ◎

SPI（L4） ◎

DPI（L7） △


リアセンブリフリーディープパケットインスペクション（RFDPI）特許技術

次世代ファイアウォール SonicWALLアーキテクチャ

パフォーマンス ×

ファイルサイズ制限有り

プロトコル制限有り

パフォーマンス ◎

ファイルサイズ制限無し

プロトコル制限無し


アプリケーションコントロール例：Skypeの制御

社内で利用されているSkype通信を可視化

Skype利用者がいる！


Skype利用者のユーザおよびIPアドレスを特定可能

認証ユーザであれば、ユーザ特定も簡単

takashiというユーザが172.22.89.100で

Skypeを利用している



クリックだけでSkype通信をブロック設定が可能

チェックを選択してボタンをクリックするだけで

ブロック設定が可能



結果

SonicWALLのログからもブロックしていることを確認

Skype端末はTimeoutでログインできない



アプリケーションコントロール例：Webメール制御

社内からのWebメール利用を可視化

HotMail利用者がいる！


Webメール利用のユーザ名・IPアドレスを特定可能

takashiというユーザが172.22.89.100で

Hotmailを利用しているHotmailでフィルタリング



HotMailの送受信は可能だが、添付ファイルは禁止したい

アプリケーション制御機能の有効化



HotMailの送受信は可能だが、添付ファイルは禁止したい

“WEBMAIL”カテゴリの中のHotmailに関するシグネチャで“Attachment Upload Attempt”のみブロック設定を有効化

“Attachment Upload Attempt”シグネチャのみブロックさせる



結果

添付ファイルをアップロードしようとするとアップロードできない

添付ファイルなしの場合、メール送信が可能

“アップロード中…”から進まず、添付だけできない。

添付ファイルがなければ、通常通りメール送信が可能



SonicWALLのテクノロジーにより得られるソリューション

アプリケーション(L7)レベルのセキュリティ担保マルチコア・RFDPIによる業界No.1のセキュリティスループット

25M～12Gまでのスループットを提供

– すべてのお客様、すべての拠点にセキュリティを展開

プロトコル・アプリケーション・端末に制限の無いセキュリティ

すべてのTCPフローをスキャン対象にすることが可能

インラインセキュリティのため、端末にプロキシ設定等の設定変更の必要なく、スキャンが可能

プロキシ型DPIではないため、アプリケーションの動作に影響を与えない。


次世代ファイアウォール“P社”との比較

比較項目 P社 SonicWALL

L7－FW

アプリケーションの制御 ○ ○

可視化可能なアプリ数 1400 3500以上

シグネチャ更新頻度 1週間に1回 1時間に1回


スループット低い高い

検知率低い 90%以上

ファイルサイズ制限無し無し

プロトコル制限有り無し

運用管理GUI 英語のみ日本語、英語

設定複雑簡易的

ラインナップ製品ラインナップ限定的小から特大まで


次世代ファイアウォール“P社”のカバーエリア

次世代ファイアウォールスループット

端末数

10台

1000台

5000台

50Mbps 1Gbps 5Gbps

10000台

30Gbps


今こそチャンスを掴んでください。

次世代ファイアウォールは現在のIT環境の進化を支える土台となる製品です。

クラウド化、マルチデバイス化、広帯域等により得ることの出来る「業務効率の向上」、「コスト削減」のチャンスを活かすため、今の時代にあったセキュリティ対策を考えてはいかがでしょうか？


Question?


ご清聴ありがとうございました。

クラウド・スマホ・広帯域ネットワークを支える！...

Documents