次世代UTMはクラウドでログ管理 ―― Watch GuardのSECURE FORCEとは

　ウォッチガードといえば、ファイアウォール製品などを手がけるハードウェアベンダーで、世界市場ではセキュリティツールを統合管理するUTM（Unified Threat Management）製品が有名だ。また、同社は早くからファイアウォールの「見える化」を製品戦略に取り入れており、攻撃状況やブロック状況などのインジケータやレポートツールなどに特徴がある企業だ。このウォッチガードが発表した「SECURE FORCE」は、これをさらに進めてログ保存、解析、レポートをウェブサービスして提供するというものだ。

代表取締役社長 本富顕弘氏

　同社の代表取締役社長 本富顕弘氏は、同社は40～80万円程度の中規模UTM市場では世界ナンバー1（IDC調査 2007年11月）であり、売上の70％くらいが中小規模の企業ユーザーだと述べ、大企業との違いはセキュリティを含めたIT投資や管理コストにあるそうだ。また、総務省の調査を引用し、近年のネットワークの課題は、対策から運用の課題へとシフトしているという。ネットワークの問題点としてセキュリティ対策がトップ3ににくるのは変わりないが、運用の人材、コスト、リカバリなどの課題が増加傾向にあるからだ。

企業によるネットワークの課題

　このような市場では、アプライアンス製品やブラックボックス化された製品のニーズが高いが、あまり隠ぺいしすぎてもよくないという。経営者や管理者に、実際にどれくらいのスパムをブロックしたのか、ウィルスを排除したのか、不正アクセスがどれだけあったのか、といった情報が重要だとして、「見える化」の戦略をとっているそうだ。これは、パートナーが製品を販売するときの差別化要素ともなるので、レポート機能やブラウズ機能に力をいれている。

セキュリティの3要素

　そして、同社が考えるセキュリティには「完全性」「機密性」「可用性」の3つ要素があり、これらを正しく運用するにはログの蓄積、整理、解析、保存というプロセスを維持することだと述べた。ログはセキュリティの基本となる大事なリソースだが、その管理は物理的なディスクスペースを含め管理コストがかかってしまう。必然的にアウトソースという選択になるが、この場合でもセキュリティ関係は、委託範囲とコストの問題は残る。

　これらの背景やニーズを考えたときに、今回のSECURE FORCEというサービスにつながるという。セキュリティボックスの利点を生かしつつ、必要な見える化をサポートし、月額料金でログ収集とグラフ化等をウェブサービスで提供する。パートナー企業は、これにシステム構築や導入コンサルなど付加価値をつけてビジネスを広げてもらう。エンドユーザーは、コストダウンとセキュリティ対策のアウトソースが可能になるという戦略だ。

アイ・エム・エヌ 代表取締役社長 射場雅弘氏

　続いて、SECURE FORCEの開発を共同で行ったアイ・エム・エヌ 代表取締役社長 射場雅弘氏が登壇した。この会社はシステム開発などを行うかたわら、auショップを運営する移動体通信事業部も持っている。ここでウォッチガードのFirebox製品を使っているのだが、ある日発見したある店舗の大量のプロキシログから職員の不正利用を発見したことが、開発のきっかけだったと述べた。

　ログの持つ潜在能力の高さを認め、これをもっと簡単に利用できるシステムとして考えられているそうだ。キーロガーや端末監視ソフトは存在するが、膨大なハードディスクが必要だったり、インストールや操作が難しく一般の経営者や管理者にはなかなか使いこなせない。これが、ログの収集をセキュリティボックスに担当させ、蓄積、分析、レポートをサーバーに任せるという発想につながったのだろう。

営業部 シニアマネージャ 真田賢太氏

　SECURE FORCEのシステム構成だが、ウォッチガードの営業部 シニアマネージャ 真田賢太氏がデモを行いながら説明した。まず、このサービスを受けるにはWatchGuard Fireware 10.2.x以上のファームウェアがインストールされた同社製品が必要だ。そしてインターネット接続環境とウェブブラウザがあれば、あとは月額契約（アカウント登録）だけで利用可能だ。ブラウザはIE6以上、Firefox 3.0以上となっている。サービスはウェブサービス形式なので、ファームが対応していればユーザーは新規にセキュリティボックスやソフトウェアを購入する必要はない。

SECURE FORCEのサービスイメージ

　契約によりIPアドレス等を登録したゲートウェイ（同社製品）が、インターネット経由でログデータをSECURE FORCEサーバーに送り蓄積される。ユーザーはブラウザ経由でそのデータをグラフ表示させたり詳細を確認することができる。ログは拒否されたDenieログだけでなくallowログもすべて蓄積保存される。保存期間は65日だがオプションで延長も可能だそうだ。ログは当然IPアドレスやメールアカウントなどの情報も保存されるので、端末レベルで履歴の特定が可能だ。PDF等での印刷機能もサポートされている。

　解析できる情報は、ウェブトラフィック、接続したドメイン情報、メール情報、HTTPの情報、ファイアウォールでブロックされた情報、ウィルス情報などとなっている。これらは実際のデモを見てもらったほうが理解が早いとのことで、実際に稼働しているSECURE FORCEサーバーに接続したサンプルログの分析を実演した。

時間帯別のトラフィック情報グラフ（デモ画面）

　トラフィック情報では、時間別、ドメイン別のトラフィックグラフやURL一覧、あるいはその閲覧画像がどんなものかを視覚チェックできる機能も紹介された。URLやIPアドレスだけではどんなサイトかわからなくても、そのページの画像素材などがわかればどんなサイトか一目瞭然というわけだ。

　メール情報では、スパムメールの分類、数などがわかるほか、受信した時間なども調べられる。そのほかポートスキャンやIPスプーリングの攻撃状況のグラフやFTPの転送ログなどもブラウザで見ることができる。

ポートスキャンをグラフ化したもの（デモ画面）

　今後は、検索機能など分析や表示のドリルダウン機能を強化しつつ、アンチウィルス機能やSNMP MIB情報へのアクセスといったバージョンアップを予定しているそうだ。デモは実際に稼働しているSECURE FORCEサーバーに会場から接続して行われたが、正式にサービスを開始するのは4月になるとのことだった。