business-and-technology

インテント ベースト セグメンテーションによる堅牢なセキュリティ

ネットワーク管理者のほとんどが、ネットワークのIPサブネット、VLAN、またはVXLANに基づくセグメンテーションをすでに実装しているか、少なくとも実装の検討を始めているはずです。これらの手法を利用すれば、管理者がネットワークの何らかの基準に基づいてIT資産を分離できますが、基本的にはセキュリティが含まれないため、認証、アクセス制御、信頼性の評価を実行するメカニズムは組み込まれません。

したがって、あるトラフィックストリームを別のトラフィックストリームから分離することはできますが、ネットワーク資産とIT資産の分離をきめ細かいアクセス制御と組み合わせ、高性能で高度なセキュリティと統合するというさらに大きな問題については、ほんの一部しか解決されません。このような戦略の計画、設計、管理によって、ITやセキュリティの限りあるリソースが瞬く間に枯渇してしまう恐れがありますが、インテント ベースト セグメンテーションを採用することで、次のような多次元の問題を解決することができます。

  1. 効果的なセグメンテーション戦略の1つ目の次元は、セグメンテーションの適用範囲(where)に対応するものであり、これには、マイクロ、マクロ、アプリケーション、ナノといったセグメンテーション技術が活用されます。さらに、Chromebookや多機能プリンターなど、エージェントが動作しない物理的なエンドポイントやデバイスにまで範囲を広げる必要があります。インテント ベースト セグメンテーションは、現代の組織のあらゆるネットワーク資産やインフラストラクチャ資産に対応するため、従来のセグメンテーションソリューションよりもはるかに包括的な保護が実現します。
  2. 2つ目の次元は、信頼(トラスト)の確立と監視の方法(how)に対応します。インテント ベースト セグメンテーションは、ネットワークやアイデンティティに基づく既存のメカニズムを活用するだけでなく、ビジネスロジックなどのアジャイルかつ革新的なメカニズムも組み込むことができます。また、サードパーティのトラストエンジンで継続的にトラストを監視し、ファブリックコネクタを使ってFortiGateデバイスに渡すことで、セキュリティポリシーを動的に調整し、適用することもできます。また、ユーザーの不審な挙動や行動によってリスクやトラストの評価が変わった場合は、FortiGateでネットワークリソースへのアクセスを許可または禁止することもできます。
  3. 3つ目の次元は、トラフィックに適用する必要があるセキュリティインスペクションの内容(what)に対応します。完全な可視性の提供といった単純な内容はもちろん、包括的セキュリティの提供のような複雑な内容にも対応します。完全なセキュリティ分析と保護を動的に適用するオプションが必要とされるのは、信頼されたユーザーが知らぬ間にマルウェアに感染し、場合によっては侵入する足掛かりとしてハッカーに悪用されて、確立されているトラストの境界を突破されてしまう恐れがあるためです。このオプションには、暗号化されたトラフィックをネットワーク速度でインスペクションする機能も要求されます。現在、全世界のデータトラフィックの65%近くが暗号化されていると推定されており、完全インスペクションを実行しなければ、トラフィックを可視化したり保護したりすることはできません。


フォーティネットの特許取得済SPU(Security Processing Unit)を搭載するFortiGateデバイスは、使用を義務付けられている暗号方式に対する完全インスペクションを業界最高レベルのコスト効率と性能で実行します。さらに、包括的な脅威保護との組み合わせによって、インテント主導のセグメンテーションを可能にし、エンドポイントデバイスから支社、キャンパス、さらには分散型データセンターやマルチクラウドの環境までの保護を実現します。

2019年2月6日(米国時間)、フォーティネットはインテント ベースト セグメンテーションの実装を可能にする高性能FortiGate次世代ファイアウォール(NGFW)の新シリーズである、FortiGate 3600E、FortiGate 3400E、FortiGate 600E、そしてFortiGate 400Eを発表しました。

インテント ベースト セグメンテーションによって、組織におけるきめ細かいアクセス制御、継続的な信頼性(トラスト)の評価、エンドツーエンドの可視化、そして脅威保護の自動化が実現します。

  • インテント ベースト セグメンテーションを実現することに加えて、FortiGate 3600Eは30 Gbpsの脅威保護と34 GbpsのSSLインスペクションパフォーマンス、またFortiGate 3400Eは23 Gbpsの脅威保護と30 GbpsのSSLインスペクションパフォーマンスを提供します。
  • FortiGate 600Eは、インテント ベースト セグメンテーションに加えて7 Gbpsの脅威保護と8 GbpsのSSLインスペクションパフォーマンスを実現します。さらに、FortiGate 400Eは5 Gbpsの脅威保護と4.8 GbpsのSSLインスペクションパフォーマンスを提供し、インテント ベースト セグメンテーションにも対応します。

今回発表された新しいFortiGateシリーズは、すべてのモデルが各クラスで業界最高レベルのSSLインスペクションパフォーマンスを達成しています。またFortiGateは、次世代ファイアウォールグループテストで長年にわたってNSS Labsの「Recommended(推奨)」評価を獲得してきており、処理能力の低下を最小限に抑えながら優れたSSLインスペクションパフォーマンスを実現できる点が高評価の理由の1つとして挙げられています。


インテント ベースト セグメンテーションの導入によって実現する、セキュリティの強化、リスクの軽減、コンプライアンスの達成などのメリットの詳細については、こちらを参照してください。

フォーティネット セキュリティ ファブリック、またフォーティネットが提供する第3世代ネットワークセキュリティソリューションの詳細も併せてご確認ください。