中古ネットワーク機器は新品(定価)の半額以下で販売されていることもあり、少しでも予算を抑えたいならおすすめの選択です。しかし、ファイアウォールまで中古というのは不安が残ります。というのも、ネットワークのセキュリティは最新が必須で、古いものだと十分なリスク対策になりません。だからといって、ファイアウォールだけ最新の製品を選ぶのは予算的に辛いこともあります。

そこで今回は、ファイアウォールやIPS(侵入防御システム)など多層的なセキュリティ対策により、中古ながら高い安全性を確保できる「Cisco ASA5520 シリーズ」について紹介します。

■紹介する製品一覧

製品名 FW+IPS(AIP SSM) 訴求ポイント
ASA5520-AIP10-K9 225Mbps 中古では148,000円(税別)と、3機種の中で最も安価で導入しやすい
ASA5520-AIP20-K9 375Mbps 3機種の中ではセキュリティ性能も価格もちょうど中間のバランスのとれた機種
ASA5520-AIP40-K9 450Mbps FW+IPS使用時では最大450Mbpsと、3機種の中では最も処理速度が速い

中古のファイアウォールは機能の面で不安がある

セキュリティ対策をする上で、ファイアウォールは欠かせない装置です。では、「ファイアウォールとは?」と聞かれると詳しくは答えられないもの。そもそも、なぜ中古(古い)ものだとリスクがあるのでしょうか。

ファイアウォールとは?

ファイアウォールとは、ネットワークの入り口にあって、出入りする情報に不正なものがないか解析し、通過させて良いか判断する装置です。不正な情報を検知した場合は、ネットワークを遮断して管理者に通報します。
ネットワークが外部(インターネット)につながっている以上は、悪意ある第三者からの攻撃をいつ受けても不思議ではありません。ファイアウォールがあることで、そうした外部からの攻撃を未然に防ぐことができます。

中古のファイアウォールだと破られるかも

ただし、セキュリティが正しく機能するのは、攻撃(不正アクセスなど)の手口に対応できている場合です。攻撃側の技術力が高い、最新技術が使われているなどの場合、セキュリティが機能しないことがあります。
つまり、古いファイアウォールだと、今の攻撃の手口に対応できていない可能性があります。せっかくファイアウォールを設置しても、不正な情報を検知できず社内ネットワークに侵入されるかもしれないのです。

「ASA5525シリーズ」と「ASA5525-Xシリーズ」の性能比較

その点、紹介する「Cisco ASA5520 シリーズ」は、世界的に実績のある「ステートフル インスペクション ファイアウォール」を採用した、大規模ネットワークにも対応できる堅牢なセキュリティ装置です。
さらに、ファイアウォールに加えて、IPS(侵入防御システム)やコンテンツセキュリティ、リモートアクセスVPNなど多層的なセキュリティ機能を搭載しており、中古であっても高い安全性を確保できます。

■ASA5525シリーズとASA5525-Xシリーズの性能

Cisco ASA 5520 Cisco ASA5525-X
ステートフル インスペクション スループット 最大450Mbps 2Gbps
ステートフル インスペクション スループット
(マルチプロトコル)
1Gbps
IPSのスループット 最大450Mbps 600Mbps
次世代スループット
(マルチプロトコル)
650Mbps
3DES/AES VPN のスループット 最大225Mbps 300Mbps
ユーザ数/ノード数 無制限 無制限
Cisco Cloud Web Security のユーザ数 300 500
IPsec VPN ピア数 750 750
プレミアム AnyConnect VPN ピア数 2/750 2/751
同時接続数 280,000 500,000
新規接続数/秒 12,000 20,000
仮想インターフェイス(VLAN) 150 200
セキュリティ コンテキスト 2/20 2/21
メモリ 2GB 8GB
最小システム フラッシュ 256MB 8GB

※スループットとは、単位時間あたりの処理能力のこと。数値が高いほど処理能力も高くなります。
※ピア数とは、接続できる通信機器の数のこと。数値が高いほどたくさんの機器と同時接続できます。

中古セキュリティアプライアンスの機能を拡張する

セキュリティ対策イメージ

「Cisco ASA5520 シリーズ」をおすすめする理由のひとつに「AIP SSM(セキュリティ サービス モジュール)」があります。これは、各セキュリティ機能の拡張モジュールで、以下のような機能を搭載したものです。

独自データ分析による多様な脅威の識別

独自のデータ分析により、ポリシー違反や脆弱性の悪用、不正アクセスなど多様な脅威の識別をサポートすることが可能です。IPSなどセキュリティ機能の精度を高めることで、脅威の排除だけでなく、正規の情報を誤って破棄してしまう「誤検知」のリスク回避にも効果が期待できます。

ネットワークコラボレーションによる高い対応力

暗号化トラフィックやロードバランシング、トラフィックキャプチャ技術などを併用した独自のネットワークコラボレーションにより、セキュリティ機能のスケーラビリティ(状況適応能力)や復元力を向上させることができます。新たな脅威にさらされた際にも、その都度、適切な対応が可能です。

強力な管理機能による感染拡大の抑制

攻撃的なアクセスを識別した際には、強力な管理機能により脅威を確立、排除するよう各機能に通知することが可能です。ネットワーク全体を統括的に管理することで、ネットワーク自身が脅威に対して適切に対応できるため、最新の脅威にさらされても感染拡大を抑制することができます。

■紹介する製品の性能表

ASA5520-AIP10-K9 ASA5520-AIP20-K9 ASA5520-AIP40-K9
ポート数  FE 1 1 1
GE 4 4 4
FWユーザ数 無制限 無制限 無制限
最大スループット FW 450Mbps 450Mbps 450Mbps
FW+IPS 225Mbps 375Mbps 450Mbps
VPN 225Mbps 225Mbps 225Mbps
FWセッション数 同時接続 280,000 280,000 280,000
新規接続/秒 12,000 12,000 12,000
同時接続ユーザ数 IPsec VPN 750 750 750
SSL VPN 2 2 2
VLAN最大数 150 150 150
新品(定価) 1,536,890円 1,967,390円 2,705,390円
中古 148,000円 196,739円 216,430円

※価格は税別表記
※上記の価格は、国内外のメーカー品を取り扱う「アイティープロダクト」を参考にしています。
※FEは100Mbpsのファストイーサネットポート、GEは1Gbpsのギガビットイーサネットポートのことです。

製品紹介:ASA5520-AIP10-K9

ファストイーサネットポートを1つ、ギガビットイーサネットポートを4つ搭載。最大280,000の同時接続、毎秒12,000の新規接続、FW+IPS使用時で最大225Mbpsのスループットと、様々な環境下に導入しやすい機種です。

さらに、「ASA5520-AIP10-K9」は新品(定価)で1,536,890円(税別)、中古だと148,000円(税別)なので、紹介する3機種の中では最も安価です。処理速度を最重視しないのであればおすすめの機種になります。

■ASA5520-AIP10-K9 製品情報まとめ

  1. FEポートを1つ、GEポートを4つ搭載していて使いやすい
  2. FW+IPS使用時では最大225Mbpsと十分な処理速度がある
  3. 中古で148,000円(税別)と3機種の中で最安値で手に入る

ASA5520-AIP10-K9の中古販売ページはこちら
ASA5520-AIP10-K9のレンタルはこちら

製品紹介:ASA5520-AIP20-K9

ポート数と接続数は「ASA5520-AIP10-K9」と同等、FW+IPS使用時(AIP-SSM-20)については375Mbpsとより高い処理速度。最大20までの仮想ファイアウォールを実装できる、高性能なセキュリティ機種になります。

また、「ASA5520-AIP20-K9」は新品(定価)で1,967,390円(税別)、中古で196,739円(税別)と紹介する3機種の中では、性能も価格もちょうど中間に位置しており、どちらも重視したい方におすすめの機種です。

■ASA5520-AIP20-K9 製品情報まとめ

  1. FW+IPS使用時では最大375Mbpsと十分な処理速度がある
  2. 1台で最大20までの仮想ファイアウォールを実装できる
  3. 中古で196,739円(税別)と性能と価格のバランスが良い

ASA5520-AIP20-K9の中古販売ページはこちら
ASA5520-AIP20-K9のレンタルはこちら

製品紹介:ASA5520-AIP40-K9

ポート数と接続数は「ASA5520-AIP10-K9」や「ASA5520-AIP20-K9」と同等です。FW+IPS使用時(AIP-SSM-40)は450Mbpsと、紹介する3機種の中では最も処理速度の高い最上位クラスに位置する機種になります。

ただその分、「ASA5520-AIP40-K9」は新品(定価)で2,705,390円(税別)、中古でも216,430円(税別)と3機種で最も高価。ですが、中古であれば数万円程度の差ですし、「レンタル」という選択肢もあります。

■ASA5520-AIP40-K9 製品情報まとめ

  1. FW+IPS使用時では最大450Mbpsと3機種の中では最上位クラス
  2. 1台で最大20までの仮想ファイアウォールを実装できる
  3. IPSやワーム軽減、CSC SSMなど包括的なセキュリティが可能

ASA5520-AIP40-K9の中古販売ページはこちら
ASA5520-AIP40-K9のレンタルはこちら

ネットワークには「多層的」なセキュリティ対策を!

今回、社内ネットワークを中古機器だけでまかなう際に考えらえるセキュリティリスクについて、ファイアウォール「Cisco ASA5520 シリーズ」の3機種とともに紹介しました。

ここがポイント

  • ファイアウォールだけではネットワークセキュリティとしては不十分
  • 「Cisco ASA5520 シリーズ」のように多層的なセキュリティ対策が必須
  • 新品だと高価な機種も、中古市場であれば3分の1以下で手に入れられる

ちなみに、紹介した3機種はどれも、様々な中古ネットワーク機器を取り扱っている「アイティープロダクト」で購入できます。適切に整備・管理してあるので確かな品質です。また、中古製品にも保証(保守)がつけられ、長期的にも安心して導入いただけるので、ぜひお問い合わせください。