マカフィーは2014年4月14日、次世代ファイアウォール製品「McAfee Next Generation Firewall」の日本市場投入を発表した。5月1日から提供を開始する。

McAfee Next Generation Firewallは、マカフィーが昨年5月に現金約3億8900万ドルでの買収を発表した旧ストーンソフト社の製品だ。旧ストーンソフト時代も含めて、日本市場での展開は今回が初になるという。

ただし、マカフィーの製品ポートフォリオに、これまで次世代ファイアウォールがなかったわけではない。アプリケーション制御機能などを備えた「McAfee Firewall Enterprise（旧称Sidewinder）」を以前から提供中であり、今後も提供を継続する。

マカフィー マーケティング本部 テクニカルソリューションズ ディレクター ブルース・スネル氏

新製品の意義について、マカフィーのブルース・スネル氏は、「（McAfee Firewall Enterpriseは）従来型のファイアウォールに、次世代ファイアウォールの機能を追加したため、パフォーマンスの劣化という事態を招いてしまった。一方、ストーンソフトの製品は、そもそも次世代ファイアウォールの機能を想定して設計されているので、そうしたパフォーマンスの劣化は起こらない」と説明した。

つまり、McAfee Next Generation Firewallが、マカフィーから登場する初めての“真の”次世代ファイアウォールとなるわけだ。

正当なパケットの中に細かく分割して隠された「攻撃」も検知

日本ではすでに数多くのセキュリティベンダーの次世代ファイアウォール製品が入手可能ななか、McAfee Next Generation Firewallはどのような点を特徴としているのか。

McAfee Next Generation Firewallの主な機能

スネル氏がまず挙げたのは、サイバー犯罪者が用いる高度な検知回避技術（Advanced Evasion Techniques：AET）への対応である。AETとは、ファイアウォールやIPSなどによる検知を回避するための様々な技法のこと。例えば、エクスプロイトコードをカプセル化して難読化したり、正当なパケットの中に細かく分割して混ぜ合わせ、侵入を果たした後に再構築を行うことなどにより、検知を回避する。

スネル氏によれば、AETの技法は8億種にも及び、高度なサイバー犯罪者はこれら技法を組み合わせて攻撃を行っているという。そして、マカフィーが英国の調査会社Vanson Bourne社に委託してCIOやセキュリティマネージャーを対象に調査したところ、5人に1人以上が自社のネットワークが侵入されたことがあると認めており、そのうち40％近くがその攻撃においてAETが重要な役割を担ったと考えているそうだ。

このようにスネル氏は、AETの脅威を強調したうえで、独立系のセキュリティ製品のテスト・調査機関であるNSS Labsでのテスト結果を紹介する。「NSS Labsのテスト結果によれば、我々の次世代ファイアウォールは、AETについて、ほぼ100％保護することができた」

自動コンフィグだから、各拠点にIT管理者がいない分散型組織に最適

続いてスネル氏が特徴として説明したのは、多拠点展開の容易さである。IT管理者が現地にわざわざ赴かなくても、LANケーブルと電源ケーブルを挿せば、クラウドベースで自動的にコンフィギュレーションのダウンロードやファームウェアのアップデートが行われるという。

この特徴ゆえ、McAfee Next Generation Firewallの顧客分布も、最も多いのは政府・官公庁で31％、2位はサービス産業の21％と、「分散型の組織で、必ずしも各拠点にはIT管理者がいない組織」（スネル氏）が実際に多くなっているそうだ。

McAfee Next Generation Firewallの顧客分布

さらに、Augmented VPNという機能も特徴だという。これは具体的には、優先度の高いトラフィックはMPLS、優先度の低いトラフィックはADSLといったように振り分けるQoS制御機能、片方の回線に障害が起こったときに自動でフェイルオーバーする機能、そして複数の物理回線を論理的に1つにまとめるリンクアグリゲーション機能を提供するものである。

McAfee Next Generation Firewallは、ファイアウォールスループット10Gbpsの「NGFW-1035」から同120Gbpsの「NGFW-5206」までの6モデルをラインナップし、価格は最小構成で72万円～。また、仮想アプライアンス版も提供される。