ゲートウェイ・セキュリティ対策を一元化するUTMアプライアンス

　UTMアプライアンスとは、ステートフル・パケット・インスペクション（SPI）型ファイアウォールとIPS（Intrusion Prevention System：侵入防御システム）に加え、ウイルス対策、スパム対策、スパイウェア対策、コンテンツ・フィルタリングといった機能を1台で提供するゲートウェイ・セキュリティ製品である。複数のセキュリティ機能を統合することで、従来はそれぞれの機能に対して別々に実施しなければならなかった管理・監視作業の一元化が可能となる。

　この一元化による運用負荷の軽減は、管理者にとって大きなメリットであり、使いやすさがUTMアプライアンスの重要なセールス・ポイントとなっている。このメリットをわかりやすく示すためにベンダーは、管理用のインタフェースの操作性についても積極的にアピールしている。もちろん、今回テストした全製品にも、セキュリティ状況を一目で把握することを目的にした管理インタフェースが備わっていた。

　なお、UTMアプライアンスに対して、利用できるセキュリティ機能はバンドルされたもの以外に選ぶ余地がなく、それぞれの脅威に対して最適だと考えられる機能を自社で選定できないという批判もある。しかし、ほとんどの場合、こうした批判は的外れのはずだ。というのも、UTMアプライアンスにバンドルされているセキュリティ機能の組み合わせは、ベンダー側で十分に検討した結果であり、ベスト・オブ・ブリードと呼ぶべきものだからである。

　言うまでもないが、UTMアプライアンスを導入しても、クライアントPC用のウイルス対策ソフトやスパイウェア対策ソフトが不要になるわけではない。従来のゲートウェイ・セキュリティ製品と同様にUTMアプライアンスの目的は、脅威が社内に侵入する前に食い止め、クライアントPCにおけるセキュリティ対策を最後の防衛ラインにすることである。

支店規模の利用に適した製品でテストを実施

　今回の評価にあたり、一元的な管理・監視が可能で基本的なセキュリティ機能をすべてサポートした最小のラックマウント型UTMアプライアンスという条件で、各ベンダーにリクエストを行った。この条件に該当する製品は、支店規模のオフィスなどへの導入に適したクラスのものだ。

　実際に集まったのは、ドイツのアスタローAG、フォーティネット、米国サーブゲート・テクノロジーズ、ソニックウォール、ウォッチガードの製品である。

　テストにあたっては、Windows Small Business Server（SBS）2003の外側にUTMアプライアンスを配備した。このSBS上では、Outlook Web Access、SBSリモート・ワークプレース・ポータル、Exchangeのメール・サービス、FTPサービスを動作させた。このほかにも、外部に公開しているサービスに対する攻撃の防御と適切なアクセス許可を行うためのポリシー作成もテストに含めた。

　以上のような構成でアプライアンスをセットアップした後、米国コア・セキュリティ・テクノロジーズの侵入テスト用ソフトウェア「Core Impact」で各サービスへの攻撃を行った。Core Impactを用いたのは、テストの簡素化を図るためだけではなく、同じ内容の攻撃を各UTMアプライアンスに対して繰り返し実行できるからである。この侵入テストでは、公開されたサービスをターゲットとしてDoS攻撃や攻撃コードを実行して、攻撃の段階ごとにログを見て状況の変化を監視した。テストの結果、どの製品も攻撃対象としたサービスが停止することはなく、全製品が不正侵入に対して十分な防御能力を有していることが証明された。

　また、ウイルス・スキャン機能のテストも行った。このテストの内容は、Windows XP上でInternet ExplorerをFTPクライアントとして使用し、ウイルスに感染した160MBのZIPファイルをFTPサーバからコピーするというものだ。このテストの結果は、必ずしも良好ではなく、UTMアプライアンスによっては、ウイルスをスキャンできない状況が発生した。なお、ファイル・コピーと同時にウイルスに対する処置を適切に実行できたのは、ソニックウォールとサーブゲートの製品だけだった。

　それでは、以下より、5つのUTMアプライアンスのテスト結果の詳細を製品ごとに紹介しよう。

Astaro Security Gateway220
●ドイツ・アスタローAG

　「Astaro Security Gateway（ASG）220」（写真1）は、8基の10BASE-T/100BASE-TXインタフェースを備え、40GBのハードディスクを搭載している。ハードディスクは、Webページのキャッシングに加え、ウイルス／ワームに感染したメールやスパム・メールなどを隔離するためにも用いられる。セットアップは1時間ほどで完了したが、フォーティネットやソニックウォールの製品に比べたら簡単な作業ではなかった。

　ポリシーの作成には若干の手間がかかった。アクセスを許可するためにはパケット・フィルタおよびNATルールの作成が必要になるが、EdgeForce M30やPro 2040などでは、こうした作業は自動化されている。IPS機能には、4,000以上の検出シグネチャ・リストが用意されており、このリストではIPSのルールが攻撃の種類別にグループ化されている。

　各UTM機能は、アプリケーション・プロキシとして提供される。ウイルス・スキャンは、SMTPプロキシを通過するトラフィックをチェックするという形で行われ、コンテンツ・フィルタリングはHTTPプロキシで実現している。残念なのは、FTPプロキシがなく、FTPのウイルス・スキャンはWebブラウザ経由のトラフィックのみ有効だということだ。このトラフィックはHTTPプロキシを通過するため、スキャンできるのである。

　多くのUTMアプライアンスがVPN機能を有しているようにASG 220も、IPsec（G1）に加え、PPTP（G2）に対応している。また、ダイナミックDNSおよびRIP（G3）によるダイナミック・ルーティングに対応している。QoS設定も可能だが、サービス・レベルは「標準」「低」「高」の3種しか用意されていない。リポーティング・エンジンでは、通常のログに加え、そのログからさまざまな形式のグラフを生成してリポートとして提供することが可能になっている。また、「Report Manager」と「Configuration Manager」により、リポート集約機能とポリシー管理機能が提供される。