Enterprise Watch
最新ニュース

シマンテックが検疫ネットワーク製品の詳細を公開、4つの動作モードに対応


Symantec Network Access Control 11.0の管理画面

プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャーの山中幸代氏
 株式会社シマンテックは8月28日、検疫ネットワーク構築ソフト「Symantec Network Access Control 11.0」(以下、SNAC)に関するプレス向けの説明会を開催。プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャーの山中幸代氏らが、SNACにおける4つの動作モードの解説やデモンストレーションを行った。

 SNACでは、ウイルス対策製品やパーソナルファイアウォールソフト、OSのパッチやサービスパックなどの状態をチェックし、企業のポリシーに違反しているPCをネットワークから隔離することができる。ウイルス対策、パーソナルファイアウォールについてはシマンテック以外の製品もサポートしており、「ベンダーに依存しない柔軟性を確保した」(山中氏)点が特徴。また、特定のレジストリエントリの存在や値のチェック、プロセスの動作状況、ファイルの存在や日付・サイズ・チェックサムの確認といった多様なチェック項目を設定可能なきめの細かさも強調できるという。

 加えて、PCの状態を検出した後、違反PCを隔離するための仕組みとして4種類をサポートした点も大きい。IEEE 802.1X認証スイッチを利用する検疫製品の場合、すべてのスイッチが同規格に対応していなければ運用できないが、SNACでは同方式を含めて4つのモードを利用できることから、既存ネットワーク環境やユーザーのニーズに応じた最適な方式を選択することができる。

 動作モードのうち1つ目は、ウイルス対策を中核としたクライアント向け統合セキュリティソフト「Symantec Endpoint Protection 11.0」のファイアウォール機能を利用する、「セルフエンフォースメント」方式。エンドポイントのPCがセキュリティ要件を満たしていない場合に、パーソナルファイアウォール機能のポリシーを切り替え、いっさいの接続を禁止したり、特定のIPアドレスやセグメントにのみ接続を行えるようにしたりできる。

 この方式のメリットは、追加費用が必要ないことと、ネットワークにおけるスイッチやルータなどとのインテグレーション作業が不要なため、とても簡単に導入できること。モジュールもSymantec Endpoint Protection 11.0と統合されているため、ライセンスを購入して、管理サーバーからアクティベートを受けるだけで、セルフエンフォースメント方式が利用できるという。しかし一方で、Symantec Endpoint Protection 11.0がインストールされていないPCは制御できないので、持ち込みPCの排除が行えないなど、機能的な制約がほかの方式と比べて多くなっている。


真ん中に3つ並んでいるのが、検疫を補助するアプライアンス「Symantec Network Access Control 6100」
 2つ目の動作モードは、IEEE 802.1X認証対応のスイッチや無線LANアクセスポイントを利用する「LANエンフォーサ」方式。4方式中もっともセキュリティの高い方式で、ポリシーに違反するPCを検疫用のVLANに封じ込め、セキュリティを確保する。導入方法としては、検疫に利用するNACステータスだけを見る透過モードと、RADIUSサーバーと連携してユーザーIDなどもチェックする方法の2種類をサポートした。なお、LANエンフォーサ方式を利用するには、コントロールポイントとしてシマンテックのアプライアンス「Symantec Network Access Control 6100」が必要となるほか、ネットワークを構成するスイッチや無線LANアクセスポイントが、すべてIEEE 802.1Xに対応している必要があるとのこと。1台のアプライアンスでは、最大1万同時セッションまで対応可能としており、スケーラビリティは確保されている。

 3つ目の動作モードは、認証DHCPを利用する「DHCPエンフォーサ」方式。ポリシー違反PCに対しては検疫用アドレス空間のIPアドレスを、ポリシー適合PCに対しては一般業務用のIPアドレスを割り当てることによって、検疫ネットワークの構築を可能にする。利用にあたっては、DHCPサーバーの手前にNetwork Access Control 6100を設置する必要があるが、Windows ServerによってDHCPサーバーを運用している場合に限り、専用プラグインをインストールすることで、アプライアンスを省くことができる。ただしDHCPエンフォーサでは、一般的な認証DHCPによる検疫製品と同様、手動でIPアドレスを設定されてしまうと、そのPCに対しては検疫をかけることができなくなる。

 最後の4つ目は、Network Access Control 6100をセキュリティゲートウェイとして用いる「ゲートウェイエンフォーサ」方式。ポリシー違反PCの通信をこのアプライアンスでブロックすることで、セキュリティを確保する。また通信をすべてブロックするのではなく、矯正用サーバーなど特定のリソースにのみアクセスを許可したり、通信は許可するがホストのチェック結果をログに残して監査に利用したり、といった使い方も可能だ。この方式の特徴は、透過的に設置できる代わりに、設置したアプライアンスの背後しか保護できないこと。そのため汎用的に利用するというよりは、VPN接続しようとするユーザーのセキュリティ状態をチェックする用途や、重要サーバーの保護用途など、重点防御する部分の保護に向くとしている。

 SNACのライセンス形態としては、セルフエンフォースメント方式とゲートウェイエンフォーサ方式のみをサポートする廉価版「SNAC Starter Edition」と、4方式すべてに対応したSNACのフルライセンスの、2つのパッケージを用意した。なお、SNAC自体はSymantec Endpoint Protection 11.0のオプション製品という位置付けになってはいるが、別途、独立した製品としても提供される予定だ。

 価格は、SNAC Starter Editionが5~24ユーザーの場合で、1ユーザーあたり2780円。フルライセンスの場合はオープンだが、1000ユーザー規模の場合、アプライアンス込みで650万円程度になる見込み。



URL
  株式会社シマンテック
  http://www.symantec.co.jp/

関連記事
  ・ シマンテックが企業向けウイルス対策ソフト新版を発表(2007/07/19)
  ・ 企業向け新セキュリティソフトは「戦略的買収の成果」-シマンテック(2007/07/24)


( 石井 一志 )
2007/08/28 17:01

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.