PR

二木 真明氏 SSE エスシー・コムテクス・カンパニー ネットワークソリューション第1事業部 セキュリティシステム部副部長
吉田 柳太郎氏 SSE エスシー・コムテクス・カンパニー ネットワークソリューション第1事業部 セキュリティシステム部 セキュリティシステム営業第2課 NetSceenチーム長

ウイルス対策でWeb通信が増大
QoS機能でメール用帯域を確保

最近のファイアウォール製品には,QoS(サービス品質)機能が実装されているものが多い。一般のインターネット接続とVPN(仮想閉域網)接続の帯域を配分したり,重要度の低いWebアクセスを制限するなど,様々な使い方ができる。

 金融業のB社は,Webアクセスのウイルス対策を強化するため,HTTPに対応するウイルス・チェック用サーバーを導入した。しかし,導入直後に社内ユーザーからクレームが相次いだ。内容は大別すると,(1)メールのアクセスが遅くなったり,タイムアウト・エラーでメールが読めない,(2)Webアクセスが極端に遅くなったり,ファイルのダウンロードがうまくできない――の2種類だった。

対症療法ではメールが遅いまま

 調査の結果,B社は当初,Webアクセスが遅い原因は,ウイルス・チェック用サーバーの処理遅延によるものと判断した。実際,サーバー側の同時処理クライアント数の調整で,遅延を我慢できる範囲に抑えられた。大容量ファイルのダウンロードは,依然として時々タイムアウトしたが,何度か再試行すれば済むレベルまで改善した。

図2 B社はファイアウォールの帯域管理機能でトラブルを解決
B社はWebアクセスからのウイルス感染を防ぐウイルス・チェック用サーバーを導入した。しかし,サーバーの処理遅延に,社員の早急な再接続要求が重なり,HTTPのトラフィックがアクセス回線を占領してしまった。
 一方,メール・アクセスが遅いという問題は解決できなかった。B社のメール・サーバーは外部のデータ・センターに設置してある(図2[拡大表示])。このため,社員がメールを取得する際は,インターネットを経由してデータ・センター内のサーバーにPOP3プロトコルでアクセスする形態をとる。ウイルス・チェック用サーバーの導入前後で,ファイアウォールの設定などは特に変更していなかった。

社員の接続操作でHTTPが回線を圧迫

 不思議に思った担当者は,Snifferでアクセス回線の利用状況を調べてみた。すると,1.5Mビット/秒のアクセス回線の帯域をHTTPトラフィックが占領していたことが分かった。

 結局,原因は単なる処理遅延ではなかった。ウイルス・チェック用サーバーは,ユーザーの代わりにURLにアクセスして内容をダウンロードした後,ウイルスの有無を調べる。特にB社が使う製品は,チェックがすべて終わってはじめて,ユーザーにデータを渡す仕様。データ量の多いWebページは,アクセスしてから表示されるまでかなり待たされることになる。

 これはこの種のシステムに共通の現象だが,それを知らないB社の社員は,表示を待ちきれずにブラウザの再読み込みボタンを何度も押していた。結果として,同じリクエストが大量にウイルス・チェック用サーバーに送られ,そのトラフィックでインターネット回線を埋めてしまっていたのだ。

QoS制御でメール用の帯域を確保

 B社は,対策としてファイアウォールでHTTPの帯域を制限することを考えた。Webアクセスは,多少遅くても業務に重大な支障は出ない。一方,メールの送受信が滞ると顧客との連絡などに支障が出るからである。

 具体的には,HTTPトラフィックの帯域が,インターネット・アクセス全体の75%以下になるよう制限する設定をファイアウォールに施した(図2[拡大表示])。結果,Webのアクセスが頻発する時間帯でも,メールの取得,送信に支障は出なくなった。