チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)のセキュリティ製品といえば、エンタープライズ向けで難しいというイメージが強い。しかし、スモールビジネス向けの「CheckPoint 600/1100 Appliance」はわかりやすい日本語GUIを持ち、今まで同社製品を扱ったことのない人でも簡単に扱えるという。
エンタープライズの機能をスモールビジネスでも!
エンタープライズや通信事業者で数多くの実績を持つチェック・ポイントのセキュリティゲートウェイ。ファイアウォール、アンチウイルス、IPS、Webフィルタリングなどのセキュリティやネットワーク、管理などの機能をモジュールとして提供する「Software Bladeアーキテクチャ」を採用し、企業ごとのポリシーに合わせて柔軟にカスタマイズできるという特徴を持つ。各ブレードは「Check Point GAiA」と呼ばれる64ビットのセキュアOS上に実装されているので、性能や信頼性という面でも安心できる。
こうしたエンタープライズレベルの機能や性能、信頼性を受け継いだセキュリティゲートウェイが今回紹介する「CheckPoint 600/1100 Appliance」だ。スモールビジネス向けのCheckPoint 600/1100 Applianceは、ブロードバンドルーター並の小型筐体にチェック・ポイントのテクノロジーを凝縮した。また、上位機種にはない全機能を設定可能な日本語対応GUIを搭載することで、使いやすいアプライアンスに仕上がっている。さっそく見ていこう。
デスクトップ型の小型筐体を採用した「CheckPoint 600/1100 Appliance」(上が600、下が1100)
集中管理向けの600と拠点向けの1100
CheckPoint 600/1100 Applianceは共通のハードウェアを用いており、オレンジ色がCheckPoint 600、白と青がCheckPoint 1100になる。600 Appplianceは、チェック・ポイントが提供する「Check Point Cloud-Managed Security Services」を使った集中管理が前提となっているが、1100 Applianaceは拠点側での利用を前提としている。もちろん、600/1100 Appianceともに従来のローカルでのセキュリティ管理も選択可能だ。
両者とも前面にはリンク状態を知るためのLEDとUSBポート、背面にはWAN/DMZ用のポートのほか、8つのLANポート、USBポートを搭載している。USBポートはログや設定ファイルの保存に利用するという。コンパクトな筐体を採用しつつも、1.5Gbpsという高いファイアウォールスループット、220MbpsのVPNスループットを誇る本格派だ。
背面に並ぶEthernetインターフェイスはすべてギガビット対応。ログや設定ファイルを格納するSD/USBポートも搭載する
ソフトウェアとしては、CheckPoint GAiAのエンベデッド版を採用し、上位と同じSoftware Bladeをほとんどそのまま利用できる。具体的には、Firewall、VPN、Advanced Networking & Clustering、User Awarenessを標準搭載し、最新の脅威に対応するIPS、Application Control、URL Filtering、Antivirus、Anti-Spam & Email SecurityなどのSoftware Bladeなども利用可能。標的型攻撃などに有効な出口対策を実現するAntiBotも近々対応する予定となっている。
日本語で簡単設定できるGUI
セットアップもウィザードから行なえる。LANポートにPCをつなぐと、自動的にIPアドレスが割り当てられる。Webブラウザから管理ツールを開くと、ウィザードが起動。管理者のID・パスワード、時刻、アプライアンスの名前、WAN側の設定、LAN側の設定、管理者のアクセス設定、ライセンスのアクティベート、そして利用するソフトウェアブレードのオン/オフなど全部で8ステップで初期設定まで行なえる。OSとして日本語対応しているので、ログイン画面で英語、日本語が選択できる。
初期設定ウィザードが起動する
Software Bladeもオン/オフで設定
Software Bladeの利用は、「セキュリティダッシュボード」のメニューでオン/オフすればよい。各ブレードのコントロールもチェックボックスをオン/オフするたけなので、きわめてシンプル。VPNもオン/オフと共有鍵を設定すれば利用できる。とはいえ、デフォルトの推奨設定が用意されているので、基本的にはつなげば標準レベルのセキュリティがきちんと確保される。
Software Bladeの各設定とステータスを制御するセキュリティダッシュボード
ファイアウォールポリシーの設定もチェックボックスのオンオフのみ
さまざまなリモートアクセスの設定が一元的に行なえる
NGFWの場合、ユーザーやコンピューター、アプリケーションなどの識別と可視化が重要だ。その点、CheckPoint 600/1100 Applianceのユーザー管理にはActive Directoryだけではなく、Webブラウザ認証も用意される。つまり、インターネットやVPNの利用時に認証をかけ、そのIDをベースにアプリケーションの利用やWebサイトの閲覧をトラックできるわけだ。もちろん、チェック・ポイントのSoftware Bladeアーキテクチャで特徴的な「3D Security Report」も利用でき、危険な通信やユーザーの利用動向を一目で把握することが可能だ。一昔前であれば、高価なアプライアンスにしか付いていないようなこうした機能が、低価格なアプライアンスでしかも簡単に利用できるのは非常に魅力的だ。
「ログ&モニタリング」のタブではさまざまなログやレポートを参照できる
Software Bladeならではの3D Security Reportも簡単に作成できる
最新版では日本語対応のほか、日本特有の要件にも対応した。たとえば、ブロードバンド接続で必須となるPPPoEにも対応し、マルチセッションやマルチWANも可能になった(Unnumberedも対応予定)。また、日本でまだ利用の多いPOP経由でのメールチェックもサポートしており、中小企業のニーズにフィットする。
担当は、従来機種にあたる「Safe@Office 1000N」も試用したことがある。スモールビジネス向けということで、Safe@Officeも設定のしやすさには配慮されており、サービスをつまみでオン/オフしたり、ウィザードを使った設定などはSafe@Office譲りといえる。CheckPoint 600/1100 Applianceでは、メニュー構造をさらにシンプル化し、日本語化されたため、さらに親しみやすくなっている。国産のルーターや他のスモールビジネス向けUTMと比べても、使い勝手の面でまったく劣っていない。プロ向けの機種が使いやすさを重視し、スモールビジネス向けに下りてきた印象がある。
エンタープライズレベルのセキュリティとスモールビジネスで親しみやすい使い勝手を両立したチェック・ポイントのスモールビジネス向けNGFW。凶悪化する攻撃に対して、本気で立ち向かうのであれば、マネージドサービスとNGFWの組み合わせは最善の選択肢になるといえよう。