マイナンバーセキュリティ対策にもよく使用される有名なUTMである「Fortigate-30D/60D/90D/100D」(日本発売、現行モデル)を機能比較したり推奨台数を考えたりと選定においての要点をみながら検討します。
Fortigateについて
UTM(統合脅威管理)といえば「Fortigate」というくらい有名なフォーティネット社のUTM製品となります。またFortigateは、結構早い頻度で新製品がでたり旧製品は数年でサポートが終了となったりするサイクルがあります。
今回は日本で発売されている現行モデルを対象に1台から数百台までの規模向け「Fortigate-30D/60D/90D/100D」の4機種を比較したり、想定シーンごと含め選定方法について考えていきます。
Fortigateの機能比較
対象の4機種について比較表にまとめたので、これをなぞりながら比較していくことにします。
まずは上記比較表をご覧ください。執筆時点のものになります。
ファイアウォールセッション数
上記比較表のまずは「ファイアウォールのセッション数」のところで、セッション数はUTMを通る通信の数(IN/OUT)でUTMが通信をどれだけさばけるかの目安となり、この数が大きいとUTMを経由するパソコンやタブレット、スマホなどの端末が多くなっても通信が途切れにくいです。
ただ全部の端末が常に起動して通信を行っているとも限らないので、あくまでこれだけにこだわらず選定するうえでの一つの目安として考えます。
※セッション数はコマンド「netstat(ESTABLISHEDなど)」でも調べることができます
新規セッション数は通信を開始する瞬間的な数(1秒間)となり、同時セッション数はその名のとおり継続的に同時にさばける通信の数になります。
新規セッション数に関してはFortigate各機種ともに特に気にするところではないかと思います。同時セッション数に関しては、最近の端末はクラウドと通信するアプリケーションがあったり、ブラウザはタブでいくつか開きっぱなしにしていたりと、ひと昔に比べるとセッション数は多くなってきています。参考として仮に端末1台につきわかりやすく100セッションをはるとすると、Fortigateごとの端末許容台数は以下のとおりになります。
- Fortigate-30D:2000台(200,000割る100)
- Fortigate-60D:5000台(500,000割る100)
- Fortigate-90D:20000台(2,000,000割る100)
- Fortigate-100D:30000台(3,000,000割る100)
重要なのは、この結果をみて単純にこれだけ端末が接続出来るということではないことです。次に説明するスループットの方が端末台数を決めるうえでは重要になってきますので、ここではファイアウォールの機能としてFortigateのどの機種も端末台数が多くなっても十分通信をさばくことが出来るという認識だけにとめておいてください。
IPSスループットとアンチウィルススループット
つづいて「IPSスループット」と「アンチウィルス(AV)スループット」のところをみていきます。IPSとアンチウィルスはバンドル版についている機能になります。
アンチウィルススループットについては「プロキシベース」と「フローベース」があり、フローベースの方がデータの流れが速いことがわかります。
これは簡単にいうとアンチウィルス機能をガッチリ使用するかわりに速度が遅くなるプロキシベースと、サックリ使用するので速度が速いフローベースの違いです。
もちろんプロキシベースの方が安全であるといえます。
セキュリティ対策は、UTMだけではなく端末側でもセキュリティ対策ソフトをインストールしているといった環境が多いのでフローベースでも問題ないと思います。
注目したいのは、IPSスループットとアンチウィルススループットがインターフェース速度と比べて低いところです。
1ギガのポートをもちながら速度が数十メガしかでていないのです。しかもこの数値は比較的容量が少ないデータで測定しているので実際にはもっとスピードがでません。
実際、UTMのバンドル版をフル機能で使用した場合、経験上インターネットの速度は通常何も無い時と比べて体感的にも60~70%におちます。
ここで4機種のスループットのなかで低い方のアンチウィルススループット(フローベース)に実際スピードがおちることザックリ見込み修正してみます。
- Fortigate-30D:25Mbps(カタログ値40Mbps)
- Fortigate-60D:35Mbps(カタログ値50Mbps)
- Fortigate-90D:50Mbps(カタログ値65Mbps)
- Fortigate-100D:500Mbps(カタログ値650Mbps)
Fortigate-100Dに関しては問題ないような数値です。他の機種に関しては、15~20台程度までの同時使用環境ならまだ大丈夫そうな数値ですが、それ以上の台数になってくると端末台数が増えれば増えるほど速度的に厳しいということがわかります。
他にスループットというくくりで関連する「IPSec VPNスループット」と「SSL-VPNスループット」に関しては十分な数値なので特に気にすることはないと思います。
ネットワーク構成とインタフェース構成
最後にネットワーク構成に関係してくる「GbEインタフェース」のところをみます。
構成でいうとまずFortigate自体は既存のネットワークに「NATモード」か「トランスペアレントモード(ブリッジ/透過)」で導入できます。
イメージ的にはインターネット~ルータ~配下ネットワークの環境で、ルータをFortigateに置き換えて配置する時に使用するNATモード、ルータはそのままでルータと配下ネットワークの間に挟み込むよう配置する時に使用するトランスペアレントモードのようなかんじです。
インタフェース構成では、要件としてWAN冗長化があるとFortigate-60D以上の機種で実現できますし、SFPポートを使用したい場合は、Fortigate-100Dとなります。
またFortigate自体でWAN/DMZ/LANとネットワークを分割したい場合は、Fortigate-60DかFortigate-100Dで構成することができますが、そのネットワーク分割は他の機器で実現し、前述したトランスペアレントモードでセグメント間に導入することも可能です。
Fortigateの機種選定
これまでをふまえると、単純にネットワーク環境内にある端末台数のみで選定することは難しいという事がわかります。
組織全体をみてどういった端末の利用をしているか。他にウィルス対策など実施しているか。IPS/アンチウィルス/WEBフィルタなどフル機能を使うのか、また使わない機能は何か。ネットワーク構成のなかにどう配置するか。などあらゆる視点、複合的な要素から最適な機種を選んだ方がよいです。
また基本的に導入側からすると、ユーザには快適に使ってほしいのでオーバースペック気味の機種を提案する傾向があります。
ユーザ側としては予算の関係もあり、出来るだけ安く速度も落とさずといったり要件に最適な機種より低スペック気味の機種でも実現できないかといった要望もうけます。
セキュリティと利便性は対であるのに、機器を導入したからインターネットが遅くなったなどの部分だけが注目されたりもします。
この双方の視点からもバランスがとれた機種を選べるといいと思います。
最終的にどの機種を選定するかは、ユーザごとにヒアリングしたり調査したりやり取りして決めることがベストです。これからFortigateごとに仮にこういった利用シーンならマッチするのではというのを何点か参考例をあげていきます。
Fortigate-30Dの利用シーン
- 端末台数:15~20台規模のネットワーク環境の出入口に配置
- 数十台規模の環境で、外出先で使用する数台の端末のVPN集約用
- マイナンバーセキュリティ対策用にネットワーク内の一部である経理部端末の出入口に配置
Fortigate-60Dの利用シーン
- 端末台数:20~40台規模のネットワーク環境の出入口に配置
- 端末はそんなに多くないが、DMZ構成があったりVPNをはったりと様々な要件があるケース
- 60台規模の端末環境だが日中はほとんどのユーザが外出、端末も内部通信ばかりでほとんど外部と通信を行わない
Fortigate-90Dの利用シーン
- 端末台数:30~50台規模のネットワーク環境の出入口に配置
- 下記モデルと比較検討していて予算があり少しでも速度をおとさずUTM導入したい
- 60台規模の端末環境でルータ配下と内部ネットワークの間にトランスペアレントモードで配置
Fortigate-100Dの利用シーン
- 端末台数:100~150台規模のネットワーク環境の出入口に配置
- 端末が多い環境でWAN/DMZ/LANとセグメント分割、公開サーバへのアクセス許可やWAN冗長など複雑なニーズ、通信速度が求められる要件
- 複数拠点にまたがるネットワークの全端末は一旦センターのUTMを通るよう構成し外部への全通信はUTMを経由して集中管理
上記はあくまでも例です。最後に重ねて言いますが単純に端末台数のみで最適な機種を判断することは難しいです。
専門業者にヒアリングや調査を行ったうえで提案いただき予算的なところを上部と相談しながら導入を進めていく事をオススメします。
参考価格
価格についてはバンドル版、導入費用については要件により変動しますので最低価格を提示しています。
| 機種 | 型番 | ネット調べ |
|---|---|---|
| Fortigate-30D | FG-30D-BDL-US | 75,000円 |
| Fortigate-60D | FG-60D-BDL-US | 104,000円 |
| Fortigate-90D | FG-90D-BDL-US | 175,000円 |
| Fortigate-100D | FG-100D-BDL-US | 352,000円 |
導入費用
| No. | 品名 | 数量 | 単価 | ネット注文価格 |
|---|---|---|---|---|
| 1 | UTM:Fortigate設計設定費 | 1 | 25,000 | 25,000円 |
| 2 | UTM:Fortigate設置構築費 | 1 | 25,000 | 25,000円 |
| 小計 | 50,000円 |
コメント