セキュリティ機器については,基本的にルーター/スイッチと同じく,1台を論理的に分割するための仮想化が中心となる。最近では,「管理を一元化すれば内部統制の面で有利」(ネットマークス マーケティング本部の橘 伸俊執行役員)といった見方があり,仮想化はうってつけだ。

 実はファイアウォール製品は,ネットワーク分野ではいち早く機能統合が進んだ。それだけに,仮想化は完成形に近付きつつある。

 2000年ころにはアプライアンス化が進み,複数のユーザーに別々のポリシーを適用できるバーチャル・ファイアウォールが登場。さらにセキュリティ・ベンダーは,ハードウエア性能の向上に合わせて,様々な機能を1台に統合したUTMを投入した。最近では米コンセントリー・ネットワークスのように,多ポートのスイッチとUTMを統合するベンダーもある。

 製品での対応では例えば,米チェック・ポイント・ソフトウェア・テクノロジーズが,2003年にデータ・センターでの利用を想定した「VPN-1 Power VSX」を出荷した。最大250台のファイアウォール/VPNアプライアンスを1台に統合できる。発売から4年を経た「2007年以降,国内の大企業での案件が増えてきている」(セキュリティ・コンサルティング本部の卯城大士本部長)という。ジュニパーネットワークスも同社のセキュリティ機器向けOS 「ScreenOS」にファイアウォールやIPSを論理分割できる「Virtual System」(VSYS)機能を組み込んでいる。

写真5-1●米フォーティネットのUTM「FortiGate-5050」
写真5-1●米フォーティネットのUTM「FortiGate-5050」

 UTM専業ベンダーの米フォーティネットのUTM「FortiGate」(写真5-1)は,2002年の国内出荷当初から全機種に「VDOM」と呼ぶ仮想化機構を搭載している。今年3月のOSアップデートでIPSのVDOM対応を終え,全機能のVDOM対応を完了。1台のFortiGateを複数の仮想 FortiGateとして利用できるようになった(図5-1)。セキュリティ・ポリシーの異なる組織やグループ企業のセキュリティ機器を集約できる。

図5-1●米フォーティネットのUTM「FortiGate」の仮想化機能
図5-1●米フォーティネットのUTM「FortiGate」の仮想化機能
搭載する全機能を取捨選択した仮想FortiGateを生成。同じ管理インタフェースでそれぞれの仮想FortiGateを運用できる。
[画像のクリックで拡大表示]

共用でライセンス費用の削減効果

 守るべき拠点やネットワーク・セグメントごとにセキュリティ・ゲートウエイを設置すると,合計のライセンス料は無視できないほど高くなってしまう。

 この点,セキュリティの機能を1台のマシンに集約できれば価格を抑えやすくなる。チェック・ポイントのVPN-1 Power VSXであれば「仮想環境の数にもよるが,物理的な機器で展開する場合のだいたい50分の1の費用で済む」(卯城本部長)という。

 フォーティネットのFortiGateでは,1台に標準で10個のVDOMライセンスが付属する。価格が10万円を切るエントリー製品であっても10個の仮想FortiGateが利用可能だ。