F5ネットワークスジャパンは2017年3月1日、二つの新製品として、SSL通信の検査に特化したアプライアンス装置と、DDoS(分散サービス妨害)攻撃対策に特化したアプライアンス装置を発表した。いずれも、新たに創設したセキュリティー製品ブランド「Herculon」の第一弾として4月1日から提供する。価格は非公開だが、販売目標はHerculonブランド全体で今後1年間で1億円。
Herculonブランドの製品の特徴は、特定の目的に合わせてハードウエアを一から設計し、組み立てていること。BIG-IPなど同社の既存製品が備える特定のセキュリティー機能を切り出して専用製品としており、「セキュリティー担当者から見て操作画面を合理化している」(米F5ネットワークスでプロダクトマネジメントシニアディレクターを務めるジョン・クーン氏)。さらに、Herculonだけが備える機能を追加することで、BIG-IPとの差別化を図った。
既存の製品とは用途も異なる。BIG-IPは、背後に設置した特定のサーバー群へのアクセスを対象とした使い方が主となるのに対して、Herculonはネットワークのエッジ部分に配置し、社内ネットワーク全体やデータセンター全体をサイバー攻撃から守る使い方を想定する。
SSLの検査・制御機能をポリシーベースで切り替える
Herculonの第一弾製品の一つが、SSLコネクションを仲介してSSL通信の内容を可視化する機能に特化した専用アプライアンス装置「SSL Orchestrator」である。WebブラウザーとWebサーバーの間に挟まり、これらの間でエンドツーエンドで直接暗号化通信が行われないようにする。SSLの可視化によって、情報漏洩を検知したり、マルウエアのダウンロードを防いだり、犯罪者が用意したC&Cサーバーとの通信内容を捕捉したりできるようになる。
SSL Orchestrator自身は、SSL通信の中身を見られるようにする機能に特化しており、通信内容を検査してアクションを起こすといった機能は持たない。これらは、ネットワークフォレンジック装置やIPS(不正侵入防御)装置といった外部のセキュリティー装置と組み合わせて実現する。
BIG-IPが備えずSSL Orchestratorだけが備えている機能として、通信内容を引き渡して検査させる外部のセキュリティー装置を、送信元IPアドレスやポート番号、プロトコル種別やURLカテゴリーといった通信の属性に応じて切り替える「サービスチェーン」機能がある。
サービスチェーン機能を使うと、評価の低い接続先についてはフォレンジックやIPSなどを含めた複数のセキュリティー装置に検査させ、通常の接続先についてはマルウエア対策だけを実施し、オンラインバンキングやECサイトへのアクセスはSSL接続を仲介せずに直接通信させる、といった使い分けができる。
外部のセキュリティー装置との接続方法は複数ある。フォレンジック装置などに対しては、トラフィックのコピーを一方向で渡して解析させる。マルウエア対策製品などとはICAPを使った連携ができる。ファイアウォールなどのゲートウエイとは、トラフィックを渡すインタフェースと、受け取るインタフェースの2本のネットワークインタフェースで接続する。
DDoS対策では監視対象の負荷チェックも実施
Herculonの第一弾製品のもう一つが、DDoS攻撃対策機能に特化した専用アプライアンス装置「DDoS Hybrid Defender」である。他社製品との差別化ポイントとして同社は、ハードウエア処理による高速性を挙げる。
BIG-IPにはない機能として、DDoS攻撃が行われているかどうかを調べる手段として、監視対象サーバーの負荷を調べるヘルスチェック機能を提供する。これにより例えば、HTTP Layer 7 floodのような、攻撃が目立たないがサーバーに負荷を与える高レイヤーの攻撃などを検知しやすくなる。
クラウド型で提供しているDDoS対策サービス「Silverline DDoS Protection」と組み合わせることによって、大規模なDDoS攻撃についてはクラウドにトラフィックを誘導できる。Silverlineでは、ISP(インターネット接続事業者)に依頼してルーティングをリダイレクトしたり、ユーザー企業のDNSレコードを書き換えて伝搬させることによって、DDoS攻撃のアクセスをクラウドに向ける。
