選択2 複数機能利用時の実効性能,アンチウイルスは遅くなる
UTM機器の製品選定に当たっては,スループットの把握が重要である。ただし,単純にカタログを見れば分かるというものではない。
ファイアウォール機能のみ用いた場合のスループットであれば,どの製品のカタログにも記載してある。ただ,その数字は最高値(巨大パケット転送時のスループット)であることが少なくないので参考になりにくい。さらに,複数機能を併用した際の性能については,ベンダーによってカタログへの掲載状況がまちまちである。結局,特別に設計したハードウエアを用いているためスループットが落ちないと明言する一部製品(ネットワンシステムズの「iPolicy」)を除き,カタログから実効性能を推測するのには無理がある。
実効性能を知るには,評価機を借りて実使用環境(もしくはテスト環境)で検証するのが一番確実である。そのほか,ネットワーク・インテグレータに過去の経験に即して実効性能を推測してもらったり,インターネット上で公開されている第三者機関の検証結果を参考にしたりする方法もある。
UTMが備えるコンテンツ・セキュリティ機能の中で,とりわけ負荷の重い機能はアンチウイルスである。膨大な数のシグネチャとの照合が必要になるからだ。アンチウイルス機能を用いる場合は処理性能に特に注意したい。
性能劣化を負荷分散で解決
東京大学社会科学研究所では,UTM機器(導入した当初はファイアウォールとして利用)のスループットが大幅に落ち込むことをインテグレータから聞いた上で,アンチウイルスやアンチスパイウエア機能も動かすことにした(図3)。機能を併用したところ,「1台のスループットはほぼ半減」(研究機関研究員古谷真介氏)したという。
 |
| 図3●東京大学社会科学研究所は2台のUTMで負荷を分散 |
UTM機器を導入するに至った経緯から追ってみよう。同研究所は以前,ソフトウエアのファイアウォール製品をWindowsサーバー上で動作させていたが,そのサーバーの動作が不安定になった。「早晩,ファイアウォールだけでは各種脅威に対応しきれなくなると考え,拡張性を持つ機器を探した」(古谷氏)。そこで選定したのが,ソニックウォールのUTM機器「PRO 5060f」である。
2005年5月に導入した際はファイアウォール機能のみを利用していたが,2006年の5月から6月にかけて,研究所内でウイルス騒動が起きた。ネットワークに接続するコンピュータにはアンチウイルス・ソフトを導入していたが,シグネチャでカバーされない亜種ウイルスが電子メール経由でネットワークに入り込んだ。
再発を防ぐために,UTM機器のゲートウエイ・アンチウイルス機能を,ファイアウォール機能と併用することにした。併せて,UTM機器をもう1台(「PRO 4060」)追加することにした。アンチウイルス機能の併用でスループットが低下すると聞いていたからだ。そのほか,セキュリティ・ポリシーの異なる客員研究員向けネットワークを分離することも,追加導入の狙いの一つである。アンチウイルス機能を利用してみると,「先に導入したUTM機器のスループットはほぼ半減した。だが,1台追加したことで負荷が分散され,利用者から不満は出ていない」(古谷氏)という。
UTM機器でアンチウイルス機能を利用する場合,性能のほかにもう一つポイントがある。アンチウイルス・ソフトのエンジン(根幹)の開発元である。ネットワークに接続した各コンピュータに導入しているアンチウイルス・ソフトと,UTM機器のアンチウイルス・ソフトの開発ベンダーが異なれば,ウイルス対策の二重化ができることになり,セキュリティが強固になるためである。仮に一方のアンチウイルス・ソフトで不具合が起きても,もう一方で侵入を阻止できる。また,シグネチャが対応するウイルスやワームのカバー範囲も広がる。
東京大学社会科学研究所ではクライアントPCにトレンドマイクロのアンチウイルス・ソフトを導入しており,そのソフトのエンジンと異なるものであることを確認したうえで,UTM機器のアンチウイルス機能を併用することにした。
選択3 年間ライセンスが必要なほか,ユーザー数に基づく製品あり
UTM機器は競争が激しい市場なので,比較的低コストであると説明した。だが製品によって価格体系がまちまちで,自社に合わない価格体系の製品を選ぶと割高になることもある。
一般にUTMを導入する際は,本体とオプション,保守サポートのほか,シグネチャやアップデートを受けるための年間ライセンス(サブスクリプション)が必要になる。このため,いくつもの機能を併用すると,年間ライセンスのコストが高くなる。この年間ライセンスは毎年必要である。注意が必要なのは,UTM 機器本体や年間ライセンスの価格が,ユーザー数に基づくかどうかである。一般にユーザー数に依存する製品を多数のユーザーで使うと割高で,その逆も言える。
建設現場で使われる計測機器のレンタル会社であるソーキは2007年5月,全国7カ所の事業所にUTM機器を導入した(図4)。選定したのはチェック・ポイント・ソフトウェア・テクノロジーズの製品で,東京が「UTM-1」,他の事業所が小規模向けの「Safe@Office 500」である。7台のUTM機器のログを1台のSyslogサーバーに集め,一元管理している。
 |
| 図4●ファイアウォール,VPN,IPS,アンチウイルス機能を併用するソーキ チェック・ポイント UTM-1とSafe@Officeの場合,IPSとアンチウイルス/アンチスパムの年間ライセンスの価格は,ユーザー数によらず機種によって一律なので割安だとソーキは判断した [画像のクリックで拡大表示] |
「UTM-1の導入費用は,単機能アプライアンスを組み合わせた場合の半額以下で済んだ。全7台のUTMを導入しても400万円台で収まることから,全社のセキュリティ・レベルを向上させるべく,他事業所へもUTMの一斉導入を図った」(ICT戦略事業室 室長藤田比呂文氏)。利用する機能は,ファイアウォールとVPN,IPS,アンチウイルス/アンチスパムである。UTM-1の場合,IPSとアンチウイルス/ アンチスパムの年間ライセンスの価格は,ユーザー数によらず機種によって一律である。ユーザー数が50人を超えるので,この方が割安だと判断した。
なお,2007年7月にAdobe FlexとWebサービスを組み合わせたシステムを稼働させる予定だが,それ以降のUTMの実効性能が十分かどうかは現時点では見通せていない。「もし性能不足になれば,ウイルス・チェックを受信メールに限るなどの対策を試みる。それでもまだ性能が足りなければ,アンチウイルス専用機の導入などを検討する」(藤田氏)という。
