キャリア・クラスのファイアウォールが直面するセキュリティ上の課題

キャリア・クラス・ファイアウォール
| 技術白書
キャリア・クラスのファイアウォール
が直面するセキュリティ上の課題
2G/3Gネットワークから4G/LTEネットワークへの移⾏では、オールIPネットワークへの転換
のみならず、需要の増大や変化への対応も必要となります。過去5年間、モバイル・ネット
ワークの契約者数は年平均成⻑率139%以上のペースで増加しており、データ・トラフィック
の増加率も年間60%を超えています。契約者数もトラフィック量も、今後数年間は同様の拡⼤
傾向を示すものと予想されます。
このように、モバイル・ネットワークのユーザとデータが右肩上がりの上昇を続けている現状
は、セキュリティに関するさまざまな課題をもたらしています。2G/3Gネットワークが主流
だった当時、モバイル通信事業者は、コア・ネットワークの資産を保護するIPセキュリティ・
ソリューションを導入すれば、サイバー攻撃からサービスを保護できました。
しかしオールIPで構成される 4G/LTEネットワークの場合、攻撃者は、暗号化されていない
ユーザ・トラフィックやネットワークの制御信号に容易にアクセスが可能になります。また、
マイクロセル基地局の増加に伴うセキュリティ・リスクへの対処も欠かせません。ショッピン
グ・センターや共同オフィス、地下施設などの公共の場に設置されるマイクロセル基地局には、
攻撃者による物理的なアクセスを受けやすいという問題点が存在するからです。加えて、LTE
ネットワークにおけるユーザの認証、認可、課⾦を⾏うシグナリング・プロトコルDiameterの
トラフィックは、すでにネットワーク・トラフィック全体の20〜30%を占めるまでに拡大して
います。
さらに、SDN（Software-defined Networking）やNFV（Network Functions Virtualization）な
どの新しい技術も、LTEモバイル・ネットワークに組み込まれつつあります。SDNには、物理
的なセキュリティ・アプライアンスを仮想化し、コストの削減とネットワーク・パフォーマン
スの向上を実現できるというメリットがある一方、ネットワーク機能の仮想化によりネット
ワーク制御とアクセスが集約されることで、新たなセキュリティ上の課題が生じることも考え
られます。
調査会社Gartnerが2014年10月に発表したレポート1によると、チェック・ポイントは、
キャリア・クラス・ネットワーク・ファイアウォール（CCNFW）市場の推定シェアにおいて、
CiscoおよびJuniper Networksに次ぐ第3位に位置づけられています（2013年におけるCCNFW
の推定売上シェアに基づく順位。なおCiscoとJuniper Networksは、CPSルータおよびスイッチ
を幅広く提供しています）。チェック・ポイントのキャリア・グレード・プラットフォームは、GTP、
SCTP、Diameterなどの各種LTEプロトコルに対応した⾼度な検査およびセキュリティ機能を
搭載しており、スプーフィングやDDoS、膨大な制御信号を送り付ける「シグナリング・ス
トーム」、多⼤な通信料を発⽣させる「過⼤請求攻撃」、マルウェアなどの⾼度なサイバー
攻撃を防ぐことができます。
キャリア・クラス・ネットワーク・ファイアウォールの
差別化要因
Gartnerは前述のレポートにおいて、次世代ファイアウォール・ソリューションを導入する
すべての通信事業者は、次の点を検討する必要がある2と述べています。


通信性能 - スループット性能40 Gbps、同時接続数1,000万、毎秒の接続数10万、毎秒の
ログ記録件数10万件、遅延3ミリ秒未満という要件を最低限満たしている。
各種標準プロトコルのサポート - 一般的なTCP/IPプロトコル、一般的なルーティング・
プロトコル（BGP、OSPFなど）、暗号化プロトコル（IPsec/SSL）、マルチキャスト・
プロトコル（UDP）、認証サービス（RADIUS/Diameter）をサポートし、オプションと
して各種LTEプロトコル（GTP、SCTP、Diameter、SIPなど）とIPv4およびIPv6の両IP
プロトコルをサポートする。
©2015 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。
キャリア・クラス・ファイアウォール


| 技術白書
管理機能 - コマンドライン・インタフェース（CLI）、Webベースのグラフィカル・ユー
ザ・インタフェース（GUI）、豊富なクライアント機能、必要に応じてAPIインタフェース
をサポートする。また、マルチテナントのロギングおよびレポーティング機能、複数のド
メインへのポリシーの適⽤、強⼒なロール・ベースのワークフロー管理、トラブル・チ
ケット・システムとの統合に対応している。
筐体 - x86および仮想マシン（VM）をサポートする商用の汎用サーバ(COTS)、または専用
ハードウェアのどちらかで動作する。SDNおよびNFVに関する新しい標準技術と緊密に統
合して、⼤規模なオーケストレーション・エコシステムの⼀部として管理できる。
キャリア向け市場でも確固たる地位を確⽴しているチェック・ポイント製品は、世界各国の通
信事業者2,500社以上に導⼊されています。中でも多くの事業者で利⽤されているCheck Point
61000セキュリティ・システムは、最大400 Gbpsのスループット、2億1,000万の同時接続、
毎秒300万の新規セッションをサポートする非常に優れた性能を備えています。またチェッ
ク・ポイント製品は、GTP、SCTP、Diameterなど、すべてのLTEプロトコルの検査に業界で
唯一対応しています。拡張性に優れたチェック・ポイントのキャリア・グレードNAT(CGNAT)
ファイアウォールを使用すれば、LTEネットワークにセキュリティ機能を統合して、IPv4また
はIPv6アドレスを持つデバイスのIPインターネット接続を保護することができます。
チェック・ポイントが提供するキャリア・クラス・
ネットワーク・ファイアウォール（CCNFW）
チェック・ポイントは、複数のキャリア・クラス・ネットワーク・ファイアウォール製品を
提供しています。特に多くの導入実績を誇る61000セキュリティ・システム（仕様については
本書の末尾をご覧ください）は、Gartnerが次世代キャリア・クラス・ファイアウォールの差
別化要因として挙げるすべての主要なパフォーマンス要件を十二分に満たしていると考えられ
ます。61000セキュリティ・システムが⽰す性能までは不要と考える⼩規模事業者向けには、
同一機能を搭載しながら、キャパシティだけを抑えた41000セキュリティ・システムと21000
アプライアンス・シリーズを提供しています。コンパクトな2RUサイズの筐体を採用し、S1お
よびCGANの保護に最適な価格性能比を実現したローエンドの21000シリーズでも、付加価値
サービスの提供に利⽤できるセキュリティ機能とIPv4/IPv6対応のCGNAT機能を搭載するほか、
GTP、SCTP、Diameterなどの各種LTEプロトコルをサポートしています。
またチェック・ポイントのキャリア・クラス・ネットワーク・ファイアウォール・アプライア
ンスは、バーチャル・システムをサポートしています。ネットワーク・セキュリティの統合を
実現するための仕組みで、モジュール化されたセキュリティ機能であるSoftware Bladeを使用
して、ファイアウォール、VPN、アイデンティティ認識、⾼度なネットワーキングとクラスタ
リング、モバイル・アクセス、IPS、アプリケーション制御、アンチボットなどの機能を提供
できます。SDNやNFVを利⽤してバーチャル・システムの連携を図れば、運⽤コストを総合的
に削減しながら、高い柔軟性とオンデマンドでのセキュリティ提供を実現できます。
キャリア・クラス・ファイアウォール・ソリューションの各モデルと仕様については、本書の
末尾をご覧ください。
21000アプライアンス・シリーズ
41000/61000セキュリティ・システム
©2015 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。
キャリア・クラス・ファイアウォール
| 技術白書
⾼度なCCNFW機能
チェック・ポイントのキャリア・クラス・ネットワーク・ファイアウォールは、業界最高水準
の性能を誇る通信事業者向けのセキュリティ・ソリューションです。拡大が進む3Gおよび4G
LTEネットワークのインフラストラクチャを保護する、業界トップレベルのパフォーマンスと
キャパシティを備えています。チェック・ポイント独自のこのプラットフォームは、モバイル
通信事業者が提供する無線アクセスやインターネット・アクセス、ローミングなど、すべての
インタフェースを一元的に保護します。また、拡張性に優れ、LTEプロトコルに対応した⾼度
な検査およびセキュリティ機能を搭載しており、スプーフィングやDDoS、シグナリング・ス
トーム、過⼤請求攻撃、マルウェアなどの⾼度な攻撃を防ぐことができます。このほかにも、
次に⽰す⾼度なキャリア・クラス・ネットワーク機能を備えています。





キャリア・グレードNAT：大規模NAT機能で、モバイル通信事業者のユーザ数百万人によ
るインターネット・アクセスを制御します。IPv4とIPv6を併用するモバイル・デバイスに
も、安全なインターネット接続サービスを提供できます。また、モバイル・パケット・コ
ア・ネットワークを、DDoS攻撃やシグナリング・ストーム、ポート・スキャン、スイー
プ・スキャン、スプーフィング、過⼤請求攻撃、⾼度なマルウェアなどの脅威から保護し
ます。さらに、アイデンティティ認識機能を使⽤して、RADIUSのアカウンティング情報
とデバイスのIPアドレスの関連付けを⾏えば、関係当局からの求めに応じて、特定ユーザ
の情報を素早く提出することが可能です。
無線アクセスのIPSecセキュリティ：チェック・ポイントのCCNFW製品は、数千に及ぶ
4G LTEの無線基地局（eNodeB）に、安全なEPC（Evolve Packet Core）ネットワーク接
続を提供します。IPSecを使用して無線基地局の接続を認証すると共に、ユーザ・データ
のトラフィックを暗号化し、さらに基地局増設時におけるIPSec接続のプロビジョニング
の負担を軽減します。また、デッド・ピア検出機能を使用するバックエンド・サービスと、
完全に冗⻑化されたハードウェア・プラットフォームにより、サービスの可⽤性が向上し
ます。ESPとIKEv2をサポートしており、AES、SHA-1、または3DES暗号化アルゴリズム
による、データ・トラフィックの機密性と完全性を保証します。これにより、制御プレー
ンやユーザ・トラフィックに対する盗聴やデータの改ざんも防止できます。
LTEプロトコルのセキュリティ： GTP、SCTP、Diameterなどの3Gおよび4GのIPプロト
コルを検査して安全性を確認します。モバイル通信事業者が、⾃社の管理下にないローミ
ング提携事業者や無線ネットワークなどのインタフェースにパケット・コア・ネットワー
クを接続する際にも安全性を確保します。また、アイデンティティに基づくポリシーを使
用してローミングを実施しながら、DDoS攻撃や過⼤請求攻撃、情報漏洩、不正アクセス
を阻止します。DiameterプロトコルやGTPプロトコルに対する⾼度なポリシーも⽤意され
ており、MMEおよびHSSに保存された加入者情報の保護が可能です。IPSやアンチウイル
ス、URLフィルタリング、アプリケーション制御、アンチボットなど、Software Bladeが
提供する⾼度なセキュリティ機能は、GTPデータ・プレーンの加入者トラフィックの検査
に役⽴ちます。
侵入防御システム（IPS）： NSS Labsのテストで最高評価を獲得したIPS Software Blade
は、包括的でプロアクティブな侵入防御機能を提供します。MicrosoftおよびAdobe製品の
脆弱性への対応でも3年連続ナンバー1の実績を誇り、Webブラウザやアプリケーションの
脆弱性悪用を素早く確実に防止します。
セキュリティ管理とロギングの統合：キャリアの⼤規模分散ネットワークの管理という困
難な作業は、統合セキュリティ管理によって効率化できます。チェック・ポイントの包括
的な集中セキュリティ管理システムは、モバイル・ネットワークの各インタフェースに配
置されたすべてのチェック・ポイント・ゲートウェイを一元的に制御します。使いやすい
グラフィカル・ユーザ・インタフェースが⽤意されているため、多彩なセキュリティ管理
機能もスムーズに使いこなせます。合法的に収集された膨⼤なデータを⾼度なログ分析
ツールが⾼速に検索し、複数の期間やドメインにまたがる数⼗億件ものログ・データから
必要な情報を瞬時に⾒つけ出します。
©2015 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。
キャリア・クラス・ファイアウォール


| 技術白書
セキュリティ・サービス：企業環境において実績のある IPS、アンチウイルス、URLフィ
ルタリング、アプリケーション制御、アンチボットといったSoftware Bladeのセキュリ
ティ機能を活用することによって、顧客に対しセキュリティ強化の付加価値サービスを提
供できます。また、各サービスの管理には、CGNATゲートウェイや無線アクセス・ゲート
ウェイと共通のWebベースの管理コンソールを使⽤できます。
バーチャル・システム：バーチャル・システムを使用すると、最大250台のゲートウェイ
を1つのハードウェア・プラットフォームに統合し、ハードウェアへの設備投資と継続的に
発生するサポートおよび保守費用の両方を削減できます。ネットワーク機能の仮想化は、
特にSDN環境やNFV環境で大きな効果を発揮します。
チェック・ポイントでは、全ローミング・トラフィックを可視化して潜在的なセキュリティ・
リスクを調査する無料のネットワーク評価サービス「Security Checkup」を実施しています。
地理情報やプロトコルなどの細かなカテゴリごとに深いレベルでトラフィックを分析し、GTP
やSCT、DiameterをはじめとするLTEプロトコルの脆弱性や各プロトコルに対するDDoS攻撃
を⾒つけ出します。
チェック・ポイントが提供するキャリア・クラス・ファイアウォール（CCFW）プラット
フォームの詳細については、 http://www.checkpoint.co.jp/solutions/carrier-security/をご覧
ください。
チェック・ポイントの3Gおよび4G事業者向けセキュリティ
モバイル・
パケット・コア
1
eNodeB
インターネット
2
3
ローミング・ネットワーク
1
基地局の接続を制御
（S1インタフェース）
2
3
パケット・コアのイン
ターネット接続を保護
（Giインタフェース）
ローミングおよび内部
パケット・コアを保護
（GPインタフェース）
©2015 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。
キャリア・クラス・ファイアウォール
| 技術白書
アプライアンスの仕様
41000
セキュリティ・システム
製品のパフォーマンス（SecurityPowerのベンチマーク - バージョンR77以降）
21700アプライアンス
SecurityPower
ファイアウォール (Gbps) - 実環境を想定した条件
ファイアウォール＋ IPS (Gbps)
3,300/3,5511
25.4/44.5
3,200 〜 11,000
最大40
61000
セキュリティ・システム
3,200 〜 33,600
最大120
5.7
最大25
最大70
SCTP スループット
GTP スループット
20Gbps
27Gbps
80Gbps
15Gbps
27Gbps
80Gbps
GTP の同時 PDP コンテキスト
VPN スループット (IMIXトラフィック)
300万
最大30Gbps1
2,000万
最大23Gbps
2,000万
最大56Gbps
IPSec トンネル数
10,000
50,000
50,000
RFC 3511、2544、2647、1242に基づくパフォーマンス・テスト（ラボでのテスト）
ファイアウォール・スループット (Gbps)
VPN スループット (Gbps)
IPS スループット (Gbps) (推奨プロファイルを使用)
接続数/秒
同時接続数
78/1101
最大80
最大400
11/501
最大17
最大110
8
最大44
最大130
17万/300万1
最大110万
最大300万
1,300万2
最大8,000万
最大2億1,000万
ネットワーク
10/100/1000Base-Tポート/最大数
13/37
NA
NA
1000Base-F SFPポート（最大数）
36
NA3
10GBase-F SFP+ポート（最大数）
13
NA
最大30
16/323
40GBase-Fポート（最大数）
拡張スロット
NA
4
43
3
なし
6
なし
14
なし
FONIC オプション
その他の機能
ディスク容量
500GB X 2 RAID 1
メモリ / 最大
LOM カード
バーチャル・システム
サポートされるバーチャル・システム数
（デフォルト/最大）
–
–
16/32 GB
標準装備
24/64 GB
標準装備
24/64 GB4
標準装備
150/2502
125/2502
125/2502
物理仕様
筐体デザイン
2U
重量
26kg (57.4 lbs)
電⼒
ホットスワップ対応デュアル電源
対応
電源
100-240VAC, 47-63Hz
電源仕様（電源1台）
1200W
消費電⼒（最⼤）
489W/784W1
オプション6
DC オプション
1
4
Security Acceleration Moduleを使用
セキュリティ・ゲートウェイ・モジュールあたり
製品に関する
お問い合わせ
6U
38.6kg (84.9 lbs)
2
5
メモリをアップグレードし、GAiA OSを適用
AC PSU 5台またはDC PSU 2台を含む
3AC
100-240VAC, 47-63Hz
1200W @ 110V,
1500W @ 220V
2300W
非対応
3
6
15U
最大: 97.24kg (214.4 lbs)
5AC または 2DC5
100-240VAC, 47-63Hz
1200W @ 110V,
1500W @ 220V
5000W
対応
セキュリティ・スイッチ・モジュール管理ポートは含まず
ソリューション・センターへのお申し込みにて受付
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
〒160-0022 東京都新宿区新宿 5-5-3 建成新宿ビル6F
Tel：03 (5367) 2500 E-mail：[email protected] Web：www.checkpoint.co.jp
©2015 Check Point Software Technologies Ltd. All rights reserved. ※記載された製品仕様は予告無く変更される場合があります。
P/N CCF01 2015.03

Download Report