2003年の夏にBlasterウイルスが猛威を振るって以来、外部からネットワークを守る境界セキュリティ(ファイアウォールなど)だけでなく、内部のセキュリティをどう高めるか、という部分が注目を集めるようになっている。この1つの答え、といえるものが「検疫ネットワーク(検疫LAN)システム」である。今回は、この1年にEnterprise Watchで取り上げた同分野の製品を振り返ってみる。
■ アプライアンスを中核とした検疫LANソリューション
|
PFU検疫ネットワークシステム、Secure Profile Controlソリューションで用いられている「Secure Controller」
|
|
Net'Attest Security Filter
|
検疫ネットワークシステムにはいくつかのアプローチが存在するが、そのうちの1つが、ネットワーク制御アプライアンスをはじめとする専用の製品を用いて構築するシステムだ。単独で動作するもの、パーソナルファイアウォールやその他のアプリケーションと連携するもの、この中でもいくつかの製品種類が存在するが、いずれにせよアクセス制御はアプライアンスが行う。
この形態のソリューションとして最初に紹介するのは、7月にPFUがリリースした「PFU検疫ネットワークシステム」。これは、米TopLayer(もしくはトップレイヤー日本法人)のアプライアンス「Secure Controller」を利用するシステムだ。たいていのシステムでは、専用ソフトウェアを事前にインストールしておく必要があるが、PFUのシステムではActive Xを利用して自動的にソフトのダウンロード、インストールを行うため、この手間を省くことができるという。なお、2005年2月提供予定の新版からは、Secure Controllerの代わりにIEEE 802.1x認証機器でも利用できるようになる予定だ。
またクオリティとトップレイヤーが共同で開発した「Secure Profile Controlソリューション」も、同じセキュリティアプライアンスを利用する。こちらはクオリティの資産管理ソフト「QND」「QAW」と連携し、これらをエージェントとして利用するため、パッチやパターンファイルの強制配布も同じソリューション内でカバーできるメリットがある。一般に、検疫ネットワークの需要も資産管理製品の需要も、企業規模が大きいほど高いと言われており、両社以外でも組み合わせてソリューション化しているところはいくつかあるようだ。
ソリトンシステムズからは、「Net'Attest Security Filter」が、10月にリリースされている。エージェントには同梱されているソフト「Net'Attest LogOn」を利用し、アプライアンス側でアクセス制御を行う仕組みだ。また同製品を利用したサービス「SecureLANs 検疫ネットワークソリューション」も、日本テレコムから提供されている。
■ 認証スイッチ方式とVPNゲートウェイ方式による検疫
|
NET BUREAU POLICY ENFORCERの画面イメージ
|
一方、認証スイッチを利用した検疫LANソリューションも多い。こちら側からアプローチしているベンダとしてはNECソフトや、日立電線などがある。どれも、基準に満たないクライアントを、スイッチのポートを閉じる(もちろん論理的に、だが)ことによって接続させない仕組みだ。これらのソリューションも、認証の基準となる情報はエージェントに収集させる必要があり、NECソフトはサイバーアタック対策ソフト「CapsSuite」を、日立電線はNTTデータ先端技術の「NOSiDE PC検疫LANソリューション」を、自社のスイッチと組み合わせてソリューションを提供している。
また日本アルカテルは、自社のスイッチをサイゲートやフォーティネットのソリューションと組み合わせることにより、事前防御だけでなく「認証後の異常も検知できるシステム」を構築できると主張。他社との差別化を図ろうとしている。
企業での仕事の形態が多様化するのに従って、ネットワークの入り口は企業内部だけでなく、外部にも開くようになってきた。そこで、VPNのゲートウェイが検疫を行うタイプも増えてきている。特に、リモートアクセスに向くと言われているSSL-VPNのゲートウェイに備えられることが多くなっているが、アクセスインフラそのものを提供する企業も、検疫サービスを自社のソリューションに加え始めた。
KCCSの「NET BUREAU POLICY ENFORCER」もこの1つで、認証後、問題がなければVPN接続を許可、問題があれば検疫ネットワークのみに接続させる、という動作自体は一般的なものと変わらない。これがユニークなのはエージェントが情報を収集するだけでなく、「点数によって、そのPCの脆弱さを使用者にもわかりやすく示すことができる」点。ユーザーに対して自発的なセキュリティ対策を促そう、というのであれば、わかりやすく示すことも必要だろう。
■ 将来の本命は?
|
NACの概念図
|
ここまで、いくつかのソリューションを紹介してきたが、ネットワークにおけるベンダごとのシェアを考えれば、シスコの「Network Admission Control(NAC)」やマイクロソフトの「Microsoft Network Access Protection(NAP)」が本命と言えるのではないだろうか。10月に相互接続性の確保を表明した両ソリューションだが、NACはまだ始動したばかりだし、NAPは当初の予定を繰り下げ、Longhorn Server(2007年予定)ではじめて実装される(VPN検疫のみ、Windows Server 2003 SP1から導入予定)。本格的に動き出すのは将来の話で、現時点での取り組みは他社と比べて「出遅れ」状態だ。
しかし既存のソリューションにしても、「まだ今年はテスト導入や商談の段階。本格的に予算化され、導入されるのは来年度以降ではないか」(PFUのプロダクト本部 ソフトウェアプロダクト事業部 第二開発部、平松幸司氏)という段階のよう。日本の企業の場合「なかなか第一号になりたがらない」ということもあり、本格的な導入には二の足を踏んでいる企業も多いのではないかと思う。各ベンダには、導入を促進するため、自社へ導入したものも含めて、導入例を積極的に公開していただきたいと考えている。
( 石井 一志 )
2005/01/06 11:09
|