マカフィーがAWS上の仮想IPSを発表。無償の試用プログラムも同時に開始

マカフィー株式会社は、2017年8月23日にパブリッククラウド向けのセキュリティ機能を実現する仮想アプライアンス、McAfee Virtual Network Security Platform（以下vNSP）の日本での本格的な展開を発表した。

質疑に応えるマカフィーの櫻井氏とシャルマ氏

アメリカ本土では8月14日に発表されているvNSPを改めて日本市場に向けて発表したものだ。今回の対象となるパブリッククラウドはAmazon Web Servicesである。また同時に企業が試用を行うためとなる期限付き（72時間）の無償トライアルプログラムも開始された。

vNSPは、インフラストラクチャーに当たるサーバーハードウェア、オペレーティングシステム、ハイパーバイザーの管理運用はパブリッククラウドベンダー（今回はAWS）が行うが、その上位の仮想ネットワーク、ゲストOS、ミドルウェア、アプリケーションのセキュリティに関してはユーザーサイドで責任をもたなければいけないという発想がベースになっている。その際にハードウェアとしてのNSPを設置するのではなく、仮想アプライアンスとしてAWSのEC2上に配置することで機能を実現するのがvNSPだ。vNSPのベースになっているのは、すでにハードウェアアプライアンスとして提供されているIPSであり、それをAWS向けに最適化したという。

説明を行ったマカフィー本社のネットワーク セキュリティ製品担当ディレクターのシェル・シャルマ氏によれば、他社のIPSに比べてボトルネックになることがない並列アーキテクチャーを採用することでスケーラビリティを実現しているという。ただし、この部分に関する技術的な説明はなかった。ゲートウェイとして動作するソフトウェアアプライアンスが、どのようにして通過するパケットを処理する際にボトルネックにならずに動作できるのか？　こちらについては別途取材を行いたい。公開されているマカフィーのデータシートによれば、仮想ネットワークに対するセンサーと管理コンソールの組み合わせで稼働する仕様であることから、軽量のセンサーと呼ばれるエージェントを仮想マシン及びSDNごとに配置して、パケットを分散処理するという形式のように思われる。

vNSPのデータシート：McAfee Virtual Network Security Platform（PDF）

またAWS上の仮想マシンを対象にしたIPSという説明に対して「Cloud FoundryやOpenShiftなどのPaaS、そして複数のコンテナで稼働するようなワークロードに対しても動作するのか？」という筆者の質問に対しては、「現バージョンでは仮想マシンが対象。PaaSなどについても対応していないが、今後、対象とするように検討している」という回答を得た。

また72時間という無償の試用期間の定義に関しては、「管理コンソールからログインしてから72時間が経過するまで試用可能」であるという。しかし企業にとっては「3日間という試用期間は短すぎるのでは？」という質問に対しては「必要に応じて試用期間を延長することができる。その際はパートナーなどにリクエストをして欲しい。試用を延長できるように対応したい」ということなので、「試用開始から72時間」というタイムリミットがそれほど厳格ではないことを示唆した。

今回の訴求ポイントの一つとして、単にハードウェアの機能をソフトウェアで仮想化しただけではなく、オンプレミスからパブリッククラウドまで一つの管理コンソールで横断的に管理ができることを利点として挙げている。またオンプレミスとパブリッククラウドでライセンスを使い回せるという説明もあり、ライセンスの使い勝手についても考慮されていることが見て取れる。

この単一の管理コンソールによる管理とライセンスの可搬性については、オンプレミスとパブリッククラウドを適材適所で使いこなす企業にとっては求められていた機能要件だろう。しかし多くの企業が仮想マシン上のアプリケーションからコンテナやPaaS上のワークロードに移行しようとしているとすれば、機能として仮想マシンではなくもっと粒度の小さいコンテナの保護、PaaS上のアプリケーションの保護を求めることは明らかだ。この後、Microsoft Azure、Google Cloud Platformにも対応する予定であることを説明したシャマル氏であったが、単純に既存のIPSのハードウェアをAWS上に移植したというだけではなく、企業のワークロードの変化にも対応して行けるかどうか、今後の動向を注視したい。