Product

製品と仕組み

ForceUTMは、既存のネットワークに「線の一部」として加わる透過型のセキュリティアプライアンスです。 このページでは、置くだけで動く理由と、止めない・穴を作らないための設計を説明します。

透過設置 — IPアドレスを持たない、ということ

一般的なUTMはルーターとして動くため、導入時にネットワークの設計変更(IPアドレス体系の変更、 既存ルーターの置き換えや設定変更)が必要です。ForceUTMは違います。 ルーターとスイッチの間の配線に、ブリッジとして割り込むだけ。 装置自体は通信用のIPアドレスを持たず、既存の機器からは配線の一部にしか見えません。

  • 既存のルーター・Wi-Fi・サーバー・PCの設定変更が不要
  • IPアドレス体系はそのまま。ネットワーク図の書き換えも不要
  • 撤去するときも、外して配線を戻すだけ

止めない設計 — 障害がサービス断にならない

セキュリティ機器を入れる最大の不安は「その機器が原因でネットが止まること」です。 ForceUTMは、この事故を仕組みから排除しました。

ハードウェアバイパス 装置の故障や電源断のときは、内部の回路が物理的に配線を直結し、 通信はそのまま流れ続けます。「箱が死んでもネットは生きる」構造です。
fail-static クラウドポータルとの通信が切れても、箱は最後に受け取ったポリシーで守り続けます。 ポータルは遮断の経路に入っていないため、クラウド側の障害が通信に影響しません。
名指し遮断の原則 遮断するのはポリシーで明示的に指定した通信だけ。「怪しいから止める」という 推測ベースの自動遮断は行わないため、誤検知による業務停止が起こりません。

ドメイン制御 — 暗号化の時代に効く方式

Web通信の暗号化はさらに進み、通信内容だけでなく「どのサイトに接続しようとしているか」さえ 経路上から見えにくくなっていく流れにあります(Encrypted Client Hello などの新技術の普及)。 従来型のURLフィルタが読み取ってきた情報は、中期的に見えなくなっていきます。

ForceUTMはこの変化を前提に、ドメイン制御の主軸をDNSのレイヤに置きました。 名前解決の段階で危険なドメインを見きわめ、その接続先への通信を遮断します。 DNSを迂回しようとする通信(許可していないDNS経路)もポリシーで締められるため、 暗号化が進んだあとも制御が効き続けます。

  • フィッシング・不正指令サーバーなど危険ドメインへの接続をDNS・ドメインのレイヤで遮断
  • 業務で使わないサービスのドメイン単位の制御
  • 国・地域単位の通信制御(業務に不要な地域との通信を制御)

観測と報告 — 検知は受動、判断は人

通信挙動の検知(IDS)・LAN内のなりすまし端末の観測などの「推測を含む検知」は、 すべて受動的な観測として動き、結果はポータルと月次レポートで報告されます。 これらを自動遮断に直結させないのは、誤検知でネットワークを止めないためです。 気になる兆候があれば、レポートを見て人が判断する —— この分担を設計で徹底しています。

箱のセキュリティ — 入口がなければ、破られない

セキュリティ機器自身の管理画面やVPN機能の弱点を突く攻撃は、いまや攻撃手法の主流のひとつです。 ForceUTMの箱には、Web管理画面も、リモート接続の受け口も、待ち受けポートもありません。

  • 待ち受けゼロ: 箱には外から接続できる入口が存在しません
  • 発信のみ: 箱は自分からクラウドポータルへ暗号化通信で接続します。接続先は1か所に固定
  • ポータルから箱へ入る経路なし: 設定は箱が自分で取得しにいく方式(pull型)です
  • 自動アップデート: 修正の適用が人任せにならず、置きっぱなしでも古くなりません
管理画面が存在しないので、「管理画面の脆弱性を突かれて侵入される」という この数年で最も多かった攻撃シナリオが、構造として成立しません。

機能一覧

非搭載の機能も含めて記載しています。それぞれの理由は 「ForceUTMがやらないこと」をご覧ください。

機能 提供 内容
ファイアウォール 搭載 ステートフル型の通信制御
ドメイン制御 搭載 DNSレイヤ主軸のドメイン単位制御。暗号化通信にも有効
危険ドメイン遮断 搭載 フィッシング・不正指令サーバー等への接続を遮断(マルウェア対策。ファイルスキャン方式ではありません)
国・地域単位の制御 搭載 ポリシーにもとづく国・地域単位の通信制御
通信挙動の検知(IDS) 観測+報告 受動検知。自動遮断はしない
なりすまし端末の観測 観測+報告 LAN内の不審なふるまいの観測・報告
クラウドポータル 搭載 複数拠点のフリート管理・状態の見える化・ポリシー配布(箱からの発信のみ)
月次日本語レポート 搭載 ポータルが毎月自動生成。国内の自社基盤で処理
自動アップデート 搭載 ソフトウェア更新の自動適用
ハードウェアバイパス 搭載 故障・電源断時も通信を継続
ファイルスキャン型アンチウイルス 非搭載 暗号化通信では経路上から中身が見えないため(理由
アンチスパム 非搭載 メールはクラウドサービス側の対策が確実なため(理由
インラインIPS(自動遮断) 非搭載 誤検知で通信を止めないため(理由
SSLインスペクション(通信の復号) 非搭載 通信を復号・改変しない設計のため
VPN・ルーター機能 非搭載 透過型専用。既存ルーターの置き換えではありません(リモートアクセスは ForceLink など専用サービスとの組み合わせをご案内できます)

設置に必要なもの

設置場所 ルーター(またはONU一体型ルーター)とスイッチの間の配線上
配線 LANケーブル2本(透過用)+管理用のインターネット接続+電源
既存機器の変更 不要(IPアドレス体系・ルーター設定・PC設定はそのまま)
ハードウェア諸元 サイズ・処理性能などの諸元は、製品版の確定にあわせて公開します

自社の構成で使えるか相談する

まずは、いまのネットワーク構成のままご相談ください。

ForceUTMは現在開発中の製品です。先行のご案内、検証・PoCのご相談、 販売パートナーのご相談を受け付けています。「うちの構成でも置くだけで済むのか」といった 個別のご質問にも、技術者がお答えします。

お電話でも受け付けています 03-6416-4075(平日 9:00–18:00)