SSLV Applianceの新バージョンが企業の復号化の基準を決める

現在のトレンドの中に、企業ネットワーク上のデータトラフィックの増加があります。膨大な数の人々がリモートで働く「ニューノーマル（新たな常態」の時代において、人々は生産性を維持するためにインターネットやクラウドアプリケーションへの依存度が高まっています。これにより、クラウドを利用したセキュリティソリューションのブームが起きていますが、一方で、ハイブリッドインフラストラクチャを好む企業にとっては、高性能なデータセンターツールのニーズが高まっています。

オンクラウドとエッジの両方におけるパフォーマンスの重要性は、暗号化の普及と複雑化によってさらに高まっています。データセンターを経由するSSL/TLSトラフィックが増加しているため、オンプレミスのセキュリティデバイスがそれに対応することが必須となっています。SSL/TLS検査の拡張性を向上させる実証済みの方法として、クライアントとサーバーの間に専用のデバイスを配置し、そこでトラフィックを復号化してすべての検査ツールをフィードしてから同じ強度で再暗号化するという方法があります。

本日、Broadcomの一事業部であるシマンテックが業界をリードするSSL Visibility Applianceの新バージョンをリリースすることをお知らせいたします。この新バージョンは、暗号化通信をこのレベルまで強化するために必要な強力なネットワーク情報セキュリティツールを提供します。

この発表に合わせて、（私（TM）は）Symantec SSL Visibility ApplianceのプロダクトマネージャーであるKevin Hohenbrink（KH）氏にインタビューを行いました。最新のモデルについて、そしてそれがお客様やあらゆる企業にどのようなメリットをもたらすのかについてお話を伺いました。ここでは、その一部をご紹介します。

TM:  SSL Visibility Applianceに新モデルが登場するという嬉しいニュースを目にしました。しかし、その前に、SSL Visibility Appliance、つまり私たちが「SSLV」と呼んでいるものは、お客様にとってどのようなものなのでしょうか？

KH: それは素晴らしい質問ですね。SSL Visibility Applianceポートフォリオは、安全性の高い暗号化を確保するための包括的で拡張性に優れたソリューションです。他のベンダーはほんの一握りの暗号規格しかサポートしていませんが、SSL Visibility Applianceポートフォリオは、RSA、Diffe-Hellman（DHE）、Elliptic Curve（ECDHE）などを含む最大100の暗号スイートと、TLS 1.1から最新のプロトコルであるTLS 1.3までの高セキュリティ暗号通信のすべての公式インターネット規格をダウングレードすることなくサポートし、タイムリーで完全な規格サポートを提供しています。TLS 1.3をダウングレードなしでサポートしたのはSSLVが最初でした。

TM: SSL Visibility Applianceは、何年も前から暗号化トラフィックを管理しており、リーダーとして業界を引っ張ってきました。掲載された最新のデータシートをたまたま見たのですが、そこで新しいバージョンが紹介されていました。新バージョンのどこが素晴らしいのか教えてください。

KH: 私たちが今回紹介するのは、新しいプラットフォームであるSV-S550-20です。SV-S550-20は、検査スループットを最大20Gbpsに向上させるとともに、4Kサイズの鍵長において、最大24,000ハンドシェイクまで劇的に改善するなど、性能が実質的に倍増しています。新バージョンの導入に踏み切った背景には、市場における暗号化トラフィック量の増加と、それに対応するために10Gbpsを超える高速ネットワークパイプを使ってネットワークインフラをアップグレードしているお客様の存在があります。お客様は、40～100 Gbpsのネットワークインフラストラクチャにアップグレードされています。さらに、市場ではRSA 4K証明書のようなより大きな鍵サイズへの移行も進んでおり、より高いパフォーマンスが求められています。

そこで、最大20の10Gbのネットワークインターフェースカード、最大10の40Gbのポート、2つの100NICオプションカードをアプライアンスに搭載することで、より大きなサイズのネットワークにアップグレードするお客様に対応できるよう、ポート密度とネットワーク接続性を向上させました。また、インテルのQuick Assist TechnologyであるカスタムQATにより、同時接続可能なSSLフローを増やしました。QATは、同時接続SSLフローを増やすためのハードウェアアシストです。最大で250万の同時接続フローをサポートすることができ、これは従来のプラットフォームと比較して約2.5倍の増加となります。

TM: 20 Gbpsという話を聞きましたが、これはまさに膨大な量のスループットですね。つまり、SSLVポートフォリオに加わったのは、街中のドーナツ屋さんではなく、もっと大きなお客さまですね。では、このような大規模な機能を求めているのはどのようなお客様でしょうか？

KH: 大手の金融機関、連邦政府、州政府、地方自治体、医療機関などがSSLVの一般的なお客様です。これらのお客様は、TLSやSSLのトラフィックが大幅に増加しているため、より高いパフォーマンスを実現するオンプレミス型のソリューションを必要としています。また、トラフィック管理やフォレンジックインフラにセキュリティツールを追加しているため、より高いポート密度を必要としています。

TM: SSLVは、これまでもシマンテック以外の製品もサポートしており、それは魅力的だと思っていました。新モデルでも、シマンテック以外のネットワークセキュリティツールのサポートは継続されるのでしょうか？

KH: はい、シマンテック製品だけでなく、サードパーティ製品も引き続きサポートしています。お客様が複数のデバイスをお持ちであることは認識しています。新しいソリューションは、既存のポートフォリオと同様に、アクティブデバイスとパッシブデバイスを同時にフィードし、DLP、IPS、NextGen FireWalls、サンドボックスなどの既存のセキュリティソリューションやシマンテック独自のプロキシを補完します。

TM: それは素晴らしいことです。もうひとつ、データシートを見て気づいたのですが、大きな数字が並んでいます。その中に、プロキシに代わって、あるいはプロキシから「オフロード」して実行できるSSL復号の量があり、標準的なシナリオではスループットが異なります。その理由をお聞かせ願えますか？

KH: プロキシセグメントでは、SSL Visibility Applianceは、プロキシの各サイド（クライアントとサーバ）で1つずつ、実質的に2つのセッションを処理する必要があります。一方、従来のセグメントでは、クライアントからサーバへの接続では1つのセッションしか処理しません。つまり、先ほどの20Gbという数字で考えてみてください。

プロキシ側で2つのセッションを処理しているので、半分になります。これが、プロキシオフロードでパフォーマンスが異なる理由です。

TM: プロキシに対してそこまでできるなんてすばらしいですね。間違いなく、多くのお客様がその柔軟性に満足するでしょう。この機能はすべてのプロキシに対応しているわけではありませんよね？シマンテック以外のプロキシでも使えますか？

KH: 対応していません。使われているシグナリングが理由です。シマンテックでは、アップストリームのTLS復号化が行われていることをプロキシに知らせる独自のプロトコルを採用しています。これにより、プロキシは復号化された送信先を想定したアウトバウンド要求を開始しないようになっています。その結果、キャッシュの更新やプロキシのプリフェッチなどの操作で、Cookieなどがプレーンテキストで送信されないようになります。

TM: なるほど。もう1つ質問があります。この新しいモデルでは、シマンテックの5.xシリーズのソフトウェアが搭載されています。そのハードウェアを持っていない既存のお客様でも5.xにアップグレードすることはできますか？それとも4.xを使い続けるしかないのでしょうか？

KH: 新しいSSL S550-20で導入された5.2xソフトウェアバージョンは、新しいSシリーズのハードウェア上でのみ動作します。SV800、SV1800B、SV2800B、SV3800B、SV3800B-20の各モデルで動作するバージョン4.5のソフトウェアも引き続きサポートされます。将来、代替モデルが出たときには、そのモデル用のソリューションも用意する予定です。

TM: すばらしい！

最後に、シマンテックでは、クラウドへの移行を加速させているお客様が増えていることを指摘したいと思います。しかし、大企業の圧倒的多数、つまりほとんどの企業がオンプレミスのインフラを強固に維持しています。

そのため、新しいSSLVプラットフォームに注目することは非常に重要なことなのです。特にSSL/TLSのトラフィックが増加している場合、既存のプラットフォームがすぐにキャパシティに達してしまうと感じているお客様は、移行を検討することが重要です。幸いなことに、新しいプラットフォームはすでにデータテストを終え、リリースの準備が整っています。このプラットフォームは、SSLVポートフォリオを暗号化技術のゴールドスタンダードにしたのと同じ価値を提供します。ダウングレードすることなく、最高のセキュリティ暗号化を保証します。それは、Symantec SSL Visibility Applianceだけが持つ価値です。