フォーティネット FortiGate UTMと無線LANコントローラが合体 デバイスの“健康”チェックが安全運用の鍵

フォーティネットのUTM「FortiGate」に無線LANコントローラ機能がアドオンされた。有線、無線、VPNからのアクセスに一貫したセキュリティポリシーで社内リソースを保護する。また、モバイルデバイスをターゲットとしたウイルスの増加を受け、ユーザーやデバイス、アプリ識別に加え、デバイスの“ヘルスチェック”を行うことを特長としている。
田中愁子氏

フォーティネットジャパン
シニアネットワーク
セキュリティアーキテクト
田中愁子氏

 ネットワークセキュリティアプライアンスベンダーのフォーティネットは、UTM(Unified Threat Management:統合脅威管理)の「FortiGate」を主力製品とし、グローバルにセキュリティアプライアンス市場をけん引してきた。

 FortiGateは、アプリケーション制御やアンチウイルス、次世代ファイアウォール、Webフィルタリング、不正侵入防御、VPN機能など、企業におけるネットワークセキュリティ機能をオールインワンで提供するとともに、専用ASICによって複合型脅威に対するリアルタイム検知とブロックを高速に実行する。

 ASICの特徴は、昨今のアプリの特徴である、ショートパケットを大量に送受信するような場合でもファイアウォール スループットの低下がないことが挙げられる。同一価格帯の他社製品と比べた場合、高速なスループットの提供と、業界トップクラスの検知とブロック精度を持つことから、規模にかかわらず多くの企業に導入されている。

 今回、FortiGateに無線LANコントローラ機能を追加したことにより、無線LANアクセスポイント「FortiAP」、PoEスイッチ「FortiSwitch」といったネットワークインフラと、すべてのクライアント(有線、無線、VPN)の一元管理を行えるようになった。

 FortiAPは、日本の環境に合わせたハイエンドな無線機能を提供。さらにFortiAP導入時の既存ネットワークの設定変更は不要だ。

図表1 管理ポイントを一元化、運用コストを圧縮

図表1 管理ポイントを一元化、運用コストを圧縮

社内リソースの保護にはデバイスの“ヘルスチェック”


 FortiGateのUTM製品としての最大の特長は多様なセキュリティ機能を一括提供できることだ。

 近年、モバイルデバイスをターゲットにしたマルウェアが激増しており、昨年はAndroidだけで40万以上の新種が報告されている。また、iOSも例外ではなく、1カ月で6千件のフィッシング被害が報告されている。

 その一方でモバイルデバイスの業務活用が増えてきている。特に企業の管理の目が行き届かない私物デバイスを利用するBYOD(Bring Your Own Device)運用に当たっては、ネットワークアクセスの入り口となる無線LANアクセスポイント(AP)に接続する段階で漏れのないセキュリティ対策が必須となる。

 モバイルデバイスからPCへのウイルスの感染も報告されているうえ、BYODを禁止している日本企業の50%以上で勝手に私物デバイスを使用する“隠れBYOD”が広がっており、ポリシーではなく、システムとしてBYODを制御することが急務だ。このような背景から、ユーザー、デバイス、アプリの制御だけでなく、デバイス間のウイルス感染や情報漏えいといったセキュリティリスクをシステムとして回避する必要がでてきた。機能ごとに複数のアプライアンスを揃える従来の製品と比べ、FortiGateは、オールインワンですべての機能を提供し、無線LANコントローラの機能も完全に無償で提供する。他社の製品では接続AP台数に応じたライセンスや機能ライセンスがあるが、それもすべて無償だ。例えば、128台のAPを設置したケースでは、他社の製品と比較して40%のコスト削減になる。

 FortiGateでは、クライアントに対して[1]認証、[2]セキュリティポリシー適用、[3]マルウェア&フィッシング対策、[4]次世代ファイアウォール、の4段階のプロセス完了後に、社内リソースへのアクセスを許可する。

 まず、802.1X認証、MAC認証、Web認証、PSK認証、2要素認証([1])をしたクライアントに対し、ユーザーとデバイスを識別し、通信先や利用時間帯などのセキュリティポリシー([2])をあてる。

 次にマルウェア&フィッシング対策([3])でデバイスの健康状態をチェックする。デバイスがウイルスに感染していないか、フィッシングされていないかを“ヘルスチェック”するのだ。フォーティネットジャパンシニアネットワークセキュリティアーキテクトの田中愁子氏は「従来のユーザー、デバイス、アプリの識別に加え、デバイスの状態を識別できてはじめて社内リソースを保護できると考えています」と、その重要性を強調する。“不健康”なデバイスが社内LANに入り込めば、情報漏えいなどの企業生命にかかわるリスクを抱えることになるからだ。

 デバイスの状態が“健康”であれば、最後に次世代ファイアウォール([4])で3000近いシグネチャを利用し、アプリの可視化を行う。許可されたアプリであれば社内LANへのアクセスを許可し、アプリごとの帯域制限や優先制御をかける。

 ウイルスの情報はもちろん、デバイスやアプリの識別情報は、クラウドサービス「FortiGuard」から定期的に自動取得して行うため、常に最新の状態が維持される。また、「企業が独自開発したアプリについても定義できるのもポイント」と田中氏は述べる。

他製品との連携で要件に応じた柔軟なネットワーク構築が可能


 ここまで、FortiGateのセキュリティにフォーカスしてきたが、肝心の無線LANコントローラとしての機能も充実している。チャネルと出力の自動設定、接続クライアントの負荷分散、高速ハンドオーバー、不正APの検知/排除機能など日本のようにAPが高密度に配置されるオフィス環境において安定した通信環境を提供する。不正APについては、リアルタイムヒートマップ表示ツール「FortiPlanner」で位置表示し、物理的に排除することも可能だ。

 FortiGate単体でも以上のようなメリットが得られるが、フォーティネットの他の製品群との連携により、多様な要件に対応する柔軟なネットワークを構築できることも魅力だ。

 複数の拠点をまたぐ統合インフラ管理システムを構築する時はFortiGateを一括管理できる「FortiManager」を、さらにFortiManagerのログ管理機能を特化させた「FortiAnalyzer」を組み込めば、無線使用率のレポーティングやセキュリティログの分析などもできる。

図表2 フォーティネット製品による統合インフラ管理システム

図表2 フォーティネット製品による統合インフラ管理システム

 フォーティネットジャパンは、FortiGateの既存ユーザーに対するAPの追加提案を進めるほか、ネットワーク構築の容易性、リッチな無線機能、セキュリティ、高パフォーマンス、低価格を武器に企業規模にかかわらず新規顧客への拡販を狙っていく構えだ。販売パートナーに対しては無線LANコントローラ機能の追加に伴い、講習などのサポート体制をさらに強化していく方針だ。

ホワイトペーパーダウンロード
ホワイトペーパーダウンロード WiFiネットワークを安全な無線LANに変革する
フォーティネット ホワイトペーパー


無線LANの普及とBYODの登場により、その脆弱性に目を付けたサイバー攻撃の脅威が高まっています。このホワイトペーパーでは、現代のサイバー脅威に効果的に対処するために、堅牢でエンドツーエンドのセキュリティインフラを構築する重要性について解説します。

ホワイトペーパーダウンロードはこちら
page top
お問い合わせ先
フォーティネットジャパン株式会社
〒106-0032
東京都港区六本木7-18-18
住友不動産六本木通ビル8階
URL:http://www.fortinet.co.jp/contact