［インタビュー］新型FireboxはVPNスループットで5.3Gbps　WatchGuardはなぜ速いのか（ウォッチガード）

WatchGuardが新しいネットワークセキュリティアプライアンスを3機種発表した。

これら3つの新製品は中堅企業向けのミッドレンジセキュリティアプライアンスだが、特長はファイウォールも含め、アンチウイルス、IPS、Webフィルタリングなどのセキュリティ機能を有効にした場合での実効スループットが高いことだ。
同社のセキュリティアプライアンスは、平均してスループットが高く、トラフィックあたりの防御費用でみたコストパフォーマンスがよいとされている。今回WatchGuardが発表した新製品（Firebox M400、M440、M500）は、実効スループットがさらに大幅に改善されたという。なぜ、同社の製品は速いのか。そしてパフォーマンスにこだわる製品戦略の背景は？担当者に話を聞いた。

●NGFWに最適な製品アーキテクチャ
まず、同社製品のセキュリティフィルタリングスピードの高さはどこからくるのだろうか。

「通常、ファイアウォール製品はパケットフィルタリングを高速に処理するため、ASICなどハードウェアレベルで検査機能を補完して実装しています。しかし、この実装方法だと、アプリケーションレベルのDPI（Deep Packet Inspection）や侵入検知などNGFW（次世代ファイアウォール）の機能を実装していくとアーキテクチャが複雑になりがちです。ASICによる処理とソフトウェアやファームウェアによる処理が多段になり、スループットが上がらないこともあります。」

このように語るのはWatchGuard 正岡剛氏（システムエンジニア部プリセールスエンジニア）だ。

WatchGuardはあえてASICを採用せず、汎用ながら高速なプロセッサと専用ネットワークOSを基盤とするアーキテクチャを採用している。この基盤上に、ファイアウォール、アンチウイルス、IPS、VPN、サンドボックス、その他のUTMエンジンなどをモジュールとして実装していく。こうすると、各機能の統合管理がしやすく、実装するエンジンもサードパーティ製のエンジンもモジュールとして実装可能となり利用など柔軟性も高くなる。またロードバランサーなどネットワーク機能の実装もしやすいというメリットも生まれる。共通基盤上で各種セキュリティソリューションを構造的に展開できるため、最終的な実効スループットを高めることができるわけだ。

●UTMスループットは参考になるか

なお、ベンダーや製品によっては、FWスループットは公開しても、UTMスループットなど実効スループットを公開しないことがある。UTMスループットやVPNスループットなどはフィルタリングのレベルやログの解析レベル、ワーニングの出し方によってかなり上下するため、特定条件の数字にあまり意味はないという見方もあるからだ。

しかし、ローエンドからミッドエンドのニーズを考えると、細かいポリシーに沿った設定より、デフォルト設定やメニュー的な設定で使うことが多いのではないだろうか。アプライアンス製品のメリットは、単純に「箱」を買ってきてつなぐというシンプルさにもある。このようなニーズでは、平均的な条件やデフォルト設定でも製品の実効スループットがわかると機種選定の目安になるだろう。業界随一の独立系製品テスト機関Miercom社が発表したレポートおいても、当該製品は高く評価されている。

●さらなる高速化のニーズ

いうまでもないことだが、マルウェアの進化や攻撃手法の高度化から、ファイアウォールは、IPSやUTM機能など様々な防御手段を実装する次世代型のファイアウォール（NGFW）が主流になりつつある。同時に「ビジネスやライフスタイルにおけるコンピューティングの変化が、暗号化通信やHTTPS通信の増大につながっています。ストリーミングや画像データなどが増えトラフィックも増えています。このような状況下において、セキュリティゲートウェイの負荷は増すばかりです。SMBの分野でもハイパフォーマンスなセキュリティアプライアンスのニーズは増えています。」と同社マーケティングマネージャ堀江徹氏は、新しいFireboxシリーズ投入の背景を説明する。

例えば、WebサイトやECサイトのようなエッジ部分では、攻撃トラフィックやマルウェアの侵入を防がなければならないが、フィルタリングやインスペクションがサービスのボトルネックにならないことが求められる。セキュリティの確保とビジネスを両立させる難しい点だが、高度な攻撃や多種多様なマルウェアの検知にもスピードが要求されるのも事実だろう。

このような背景を受け、セキュリティアプライアンスの多機能化と高速化は、SMB市場でも重要なトレンドとなっている。今回発表されたFireboxシリーズの新製品は、プロセッサの刷新（Intel第4世代コア）、専用OSのバージョンアップ（Fireware 11.9.4）などにより、従来製品よりとくにスループットの向上に努めた（堀江氏）。

●Dimesionにも対応し運用・監視も効率化

最後に、Firebox M400、M500、M440について具体的な仕様やスループットを紹介しておこう。

M400は、従業員規模でいくと150～300名ほどの中規模クラスの企業を対象としている。同社の従来製品でいえばXTM525に相当する新モデルだ。FWスループットは8Gbps、VPNスループットは4.4Gbps、UTMスループットでも1.4Gbpsとなっている。ポートは1000MbpsのLANポートが8つ用意され、このうち2ポートを1Gbpsの光ファイバー（SFP）に換装することもできる。

M500は、従業員規模350～750名程度となりM400より上位機種となる。FWスループットは8Gbps、VPNスループット5.3Gbps、UTMスループット1.7Gbpsの性能だ。ポート構成はM400と同じ（RJ45 8ポート、SPF 2ポート換装可）だ。

M440はUTMにマルチポートスイッチの機能を追加したもので、1000MbpsのLANポートが25個（8×3＋1）用意される。このうち8ポートは無線アクセスポイント用に電源供給が可能（PoE）となっている。このほか10GbpsのSFP+ 光ファイバーチャネルが2ポートとれる。各ポートのセグメントは物理ポートと関係なく設定可能なので、PoEポートを分散させることができる。なお、どの製品も光トランシーバーはオプションとなっている。

WatchGuard製品は無料で「Dimension」という管理ツールが提供されることも特徴のひとつだ。Dimensionは、機器の設定や構成管理などGUIで行えるツールだが、ダッシュボード機能やレポーティング機能、脅威マップやグラフ化などの可視化機能が豊富で、既存ユーザーから好評を博しているツールだそうだ。Dimensionを使って、マネージドセキュリティサービスを提供している企業もあるという。今回発表されたFirebox Mシリーズも、もちろんDimensionに対応している。この点は新規ユーザー、乗り換えユーザーともにうれしい点だろう。

現在、セキュリティ対策もクラウド化する動きもある。パターンファイルの更新が不要などのメリットがある反面、プロキシとしてすべてのトラフィックをクラウド上のサーバーに振り向ける必要があり、ポリシーやパフォーマンスの点で不利な面もある。今回Watchguradの新Fireboxは、パフォーマンスの面ではおそらくクラウド利用よりメリットが出せるものと思われる。アプライアンス製品の良さを生かせる場面はありそうだ。