2006年9月以降の空港における搭乗検査では、ネットワーク・セキュリティの一原則に通じるものを直接体験することができます。かつて、空港における搭乗検査と言えば、搭乗者番号をチェックする程度のものに過ぎず、ほとんどの場合は極めてスムーズに通過することが可能でした。しかし今日、この手続きは非常に煩雑なものとなっています。米運輸保安局の規則により、搭乗者はさまざまな手続き──靴を脱ぐ、ノート PC を鞄から出す、飛行機に液体を持ち込む場合は 100ml のボトルに小分けして縦 20cm 以下×横 20cm 以下の透明なビニール袋にまとめるなど──を義務付けられているため、検査に時間がかかるようになっているのです。
搭乗手続きに時間がかかるようになっているというこの問題は、今日の IT セキュリティ管理者が日々直面している課題と全く同種の問題であると言えます。通常、セキュリティ・ゲートウェイのテスト環境では、有効にするルールはごく少数で、流すトラフィックも1種類だけであるため、高いパフォーマンスが得られます。しかし、実運用環境では、さまざまな種類のトラフィックが流れ、資産を保護するために数多くのルールを適用する必要があるため、ネットワークの境界におけるパフォーマンスはテスト時よりも低下し、場合によっては条件が良いときの1/2~1/3程度のパフォーマンスしか得られないことがあります。このことから、セキュリティ・デバイスでのトラフィック検査を厳格にすればするほど、実運用環境における実用性が低下する、と思われている方もいらっしゃるかもしれません。確かに、それが真実だった時代もありました。しかし今日、このことが当てはまらない技術も登場しています。
従来の方法
最近に至るまで、ほとんどのセキュリティ・ゲートウェイ・デバイスでは、ASIC(Application-Specific
Integrated Circuit)と呼ばれる特殊な半導体チップが使用されていました。この
ASIC の強みは、カスタム設計により、特定の処理を極めて効率よく実行できるという点にあります。
チップ部の小型化が進み、半導体設計ツールが進化したことにより、ASIC における複雑さ(すなわち機能性)は、ゲート数で5,000 から100万超へと増大しています。これによって ASIC は、静的なジョブを高速に実行するという用途には大きな効果を発揮できるようになりました。このアプローチは、ネットワークにとっての最大の脅威が分散サービス妨害(DDoS)攻撃であった2001年頃には極めて有効に機能していました。
しかしながら、近年では、静的という特徴を持つ ASIC ベースのシステムはうまく機能しなくなってきています。ロジックを書き換えることのできない ASIC は、毎日のように新しい脅威が出現し、新たな脆弱性が発見されている現在、ほとんど無力とも言える存在になってしまっているのです。今日の状況において、ASIC ベースのセキュリティ・デバイスは、設計を終え、製造過程に送った段階ですでに時代遅れになってしまっています。トラフィックが複雑化した途端にパフォーマンスが低下する ASIC ベースのセキュリティ・デバイスに投資することは、空港における古いセキュリティ検査手法に投資するようなものです。多くのシステム管理者は現在、古くさいセキュリティ機器を使用していると言っても過言ではありません。
次世代のセキュリティ・ゲートウェイ
ネットワーク管理者にとっては幸いなことに、今日では ASIC に代わる手段が登場しています。セキュリティ・デバイスを長期間にわたって使用できるようにする新しいアプローチが模索された結果、考え出されたのは、オープンなマルチコア・プロセッサを利用するという方法です。マルチコア・プロセッサ・チップは、できる限り高い柔軟性が得られるように設計されており、急なロジック変更や必要に応じてのアップグレードに対応できます。この技術を採用するデバイスは、単一のサーバ上で10~12
Gbps ものスループットで情報を処理することができ、しかもこの性能は今後さらに向上させていくことが可能です。また、オープンなマルチコア・プロセッサは適合性に優れることから、すぐに陳腐化してしまう
ASIC ベースのシステムと比べてデバイスのリプレース・サイクルが長く、TCO も低く抑えることができます。
ただし、オープンなマルチコア・プロセッサ・ベースのデバイスも完璧というわけではありません。高い柔軟性を備えつつも、それ単体によるパフォーマンス向上は十分に効率的であるとは言えないのです。その主な原因は、1つのコアが100パーセントの稼働率で動作していても、別のコアは20パーセントの稼働率で動作しているといったように、プロセッサ上の複数のコアを均等に動作させることが難しいという点にあります。つまり、単純にマルチコア・プロセッサを使用するだけでは、本来得られるはずのパフォーマンスを得ることはできないのです。多くの企業は、このパフォーマンス・ロスを回避するために、スループットに多大な悪影響を及ぼす可能性のある統合型ソリューションの侵入防御機能は使用せず、侵入防御専用のソリューションを別途導入しようとします。しかし、この方法は、セキュリティ製品が無秩序に増加し、管理不能の状態に陥る「セキュリティのスプロール現象」を招くことになります。
チェック・ポイントのアプローチ
チェック・ポイントが提供する新しい技術は、この非効率性を排除し、最大限のネットワーク・セキュリティ・パフォーマンスが得られるようにします。CoreXL
と呼ばれるこの技術は VPN-1 Power に統合されており、Intel のマルチコア・プロセッサを利用してネットワーク・セキュリティ検査のパフォーマンスを向上させます。CoreXL
は、「インテリジェントなロード・バランシング」を実現するトラフィックの見張り役として動作し、各コアに割り当てられるトラフィックを均等にして、1つのコアのパケット量が過大にならないようパケットを分散させます。これにより、高いスループットを維持したまま、SmartDefense
の侵入防御設定の7割が有効になる厳格な保護プロファイルを使用することが可能になります。この場合、VPN-1
Power は、自身を通過するほぼすべてのパケットに対して深いレベルの検査を実施します。
CoreXL は、オープンなマルチコア・プロセッサにおける標準値と比較して、全体的なセキュリティ・パフォーマンスを600パーセント近く向上させ、厳格な保護プロファイルを有効にした状態で約1.8 Gbps のスループットを実現します。また、CoreXL は侵入防御にも対応するため、企業では、複数のセキュリティ機能を統合してネットワーク上のセキュリティ・デバイスの数を削減することができます。さらに、CoreXL と連携するオープンなマルチコア・プロセッサは適合性に優れるため、セキュリティ製品を毎年のように入れ替える必要もなくなります。このように、CoreXL は、すべてのシステムが備えるべき高い効率性を実現しています。
チェック・ポイントの CoreXL 技術と新しいオープン・パフォーマンス・アーキテクチャの詳細については、技術白書をご覧ください。