写真1 フォーティネットのセキュリティアプライアンス新製品「FortiGate-3040B」
写真1 フォーティネットのセキュリティアプライアンス新製品「FortiGate-3040B」
[画像のクリックで拡大表示]
写真2 米フォーティネットのイーライ・ビットン プロジェクトマネージメントシニアディレクター
写真2 米フォーティネットのイーライ・ビットン プロジェクトマネージメントシニアディレクター
[画像のクリックで拡大表示]

 ファイアウオールやウイルス対策などのセキュリティアプライアンス機能を統合したUTM(統合脅威管理)製品を開発・販売するフォーティネットジャパンは2010年11月4日、クラウド環境や仮想化インフラ向けにソフトウエア(仮想マシン)ベースの「仮想化アプライアンス」製品群を発売した。また、同日付けで大企業やデータセンターなど向けにハイエンドのハードウエア型セキュリティアプライアンス新製品「FortiGate-3040B」(写真1)を発売および出荷開始したことも明らかにした。

 発売したバーチャルアプライアンス製品群は4製品。仮想化UTM「FortiGateバーチャルアプライアンス」、仮想化集中管理ソフト「FortiManagerバーチャルアプライアンス」、仮想化集中分析およびレポート作成ツール「FortiAnalyzerバーチャルアプライアンス」、仮想化迷惑メール対策製品「FortiMailバーチャルアプライアンス」――である。

 FortiGateバーチャルアプライアンスと同FortiManagerは2010年12月10日から、残りの2つについては2011年第1四半期の出荷を予定している。価格は、FortiGateバーチャルアプライアンスの2仮想CPU対応版が160万9000円から(初年度サポート料含む)、FortiManagerバーチャルアプライアンスが5000デバイス、12万FortiClient(パソコンなど向け統合セキュリティソフト)対応版で472万3000円からとなっている(ともに日本円での参考価格)。

「物理的なセキュリティ機器とは住み分ける」

 今回発表した仮想化アプライアンス製品群の中核となるFortGateバーチャルアプライアンスは、仮想的なネットワークインタフェースや仮想セキュリティ機能を備えたソフトウエアベースのUTM。クラウド内などで仮想化して運用しているサーバー群のトラフィックを、物理的に外部のセキュリティ機器を経由させることなくセキュリティチェックやフィルタリングできるようにする。

 FortGateバーチャルアプライアンスの実体は、VMware ESXi/ESXに対応した仮想マシンであり、VMwareのハイパーバイザ上で同社の独自セキュリティOS「FortiOS 4.0 MR2」を動作させる形になる。ファイアウオールやIPS(侵入防止システム)、ウイルス検査などの各種セキュリティ機能は、FortiOS上にソフトウエアとして搭載する。

 仮想マシンは、異なるベンダーの仮想化インフラで仮想マシンの共通利用を可能にするOVF(open virtualization format)フォーマットで提供されるとしている。ただし、現状ではVMware ESXi/ESX以外の仮想化インフラには対応していない。

 同社のUTM機器は、ASICによるハードウエアベースの高速なセキュリティ処理や高いスループットを売りにしてきた経緯がある。仮想化によりソフトウエア処理になることで、そうした処理の高速性が犠牲になるのではという疑問に対して、同社は「特にVPNなどの機能については、ハードウエア版UTMと比べて確かにパフォーマンスは低下する。しかし、一般に高い性能が第一に求められるのは、クラウド内ではなく、今まで物理的な機器を設置していた外部との境界領域である。そうした領域では今後も物理的なセキュリティ機器が使われるだろう」(米Fortinetのイーライ・ビットン プロジェクトマネージメントシニアディレクター、写真2)と回答した。

10GbEを8ポート搭載、IPv6にも完全対応

 「FortiGate-3040B」は、ハイエンド向けのハードウエア型セキュリティアプライアンスの新製品。10Gイーサネット対応ポートを8ポート、1Gイーサネット対応ポートを12ポート備え、WAN高速化機能のためのキャッシュやログの蓄積用ストレージとして64GバイトのSSD(solid state drive)を1基内蔵する(最大4基まで搭載可能)。価格は896万7000円から(初年度サポート料含む)。

 本機種の特徴の一つとして、ルーティングや各種セキュリティ機能を複数のユーザーに独立して提供するための「VDOM」(仮想ドメイン)の設定可能数が従来同等機種と比べて大きく増えた点がある。従来のFG-1240Bという機種では最大25までだったが、3040Bでは最大250になった(標準は10)。これにより、多数のユーザーを収容するデータセンターなどでは設置台数を大きく減らせるという。

 そのほか同社では、パケットサイズに依存しない高いファイアウオール性能(スループットは最大40Gビット/秒)や同時に扱えるセッション数の多さ(10万セッション)、IPsec通信時のスループットの高さ(最大16Gビット/秒)、IPS性能(UDP通信時で5Gビット/秒)、IPv6への完全対応などが競合製品と比べた場合の特徴であるとしている。