Enterprise Watch
最新ニュース

シスコ福永氏、「トータルセキュリティを提供できる唯一のベンダー」

NETWORKERS 2003 講演

 10月31日に赤坂プリンスホテルにて、シスコシステムズ株式会社の主催による「NETWORKERS 2003」が開催され、「点在するセキュリティ対策を結合するシスコのソリューションと製品群」のテーマで、同社システムエンジニアリング AVVIDソリューションエンジニアリング本部 オプティカルネットワーク部 担当課長の福永 啓蔵氏による講演が行われた。


現在のネットワークの脅威はワーム対策に尽きる

シスコシステムズ株式会社 システムエンジニアリング AVVIDソリューションエンジニアリング本部 オプティカルネットワーク部 担当課長 福永 啓蔵氏
 同氏は「セキュリティとネットワークはともに提供されるべきものである」と語り、もっとも身近な脅威として「そのほとんどがワーム対策に尽きる」とした。

 IPAが行ったBlaster/Welchiアンケートでは、100人規模以上の企業のうち23%は何らかの形で感染を経験しており、感染原因の56%がインターネット経由、25%が持ち込みPCとしている。

 同氏は、「こうしたワームに対してはVPN/IDS/ファイアウォールなどの製品を設置する従来のセキュリティ対策では被害を回避できない」と語った。実際に起きている現象として、「次々と出てくる亜種によって、シグネチャアップデートが間に合わないため被害が出ている」と語った。


シスコのセキュリティソリューション

 同氏は「ネットワーク内のWAN、LAN、その境界の3つの要素のセキュリティ対策を結び付けて考える時代になった。シスコではこれを手伝えるソリューションを提供している」と語り、同社のセキュリティ製品群を紹介した。

 リモートアクセスを行うVPN製品「Cisco Easy VPNソリューション」では、IPSec VPNのトンネリングにおいて、サーバーからリモートにセキュリティポリシーをプッシュするため「他製品では難しい動的なIPアドレス変更に対応する」。またその上位製品「Dynamic Multipoint VPNソリューション」の機能について、「例えば本社-支社間ではなく、支社-支社間の通信の場合、小拠点で利用するようなVPN製品の多くはセッション数を制限するので拠点間通信が難しい。また本社経由で通信を行うには本社で2倍の帯域が必要になってしまう」とし、本社拠点から他拠点のIPアドレスのみを取得してダイレクトに通信できる同製品のメリットを挙げた。

 ファイアウォール/IDS製品について、「冒頭ではあのように述べたが、おおまかに外部からの攻撃を防ぐにはやはり重要」とし、同社製品では「Ingress/EgressやNBARのフィルタにより、ファイアウォールの負荷を下げる」機能や、「プロトコルやポートごとにトラフィックを把握」し、特定ワームの検知につながるNetFlow機能を提供している。また同一セグメント間での通信を禁止し、ワームの拡散を止める「Private VLANs」は、クライアントからサーバーセグメントへの通信しか想定しない企業などの環境で有効だ。

 同社の無線LAN製品である「Cisco IBNS(Identity Based Network Service)ソリューション」は、802.1xの全機能をサポートする。ただ「802.1xでは、認証を通ると全ポートを空けてしまう。また一人のユーザーが認証を通ると、ハブ以下のユーザーが通信できてしまう」と語った同氏は、「IBNSではMACアドレスで認証を管理し、これを不可能にする」と説明。また上記のPrivate VLANs、インターネットのみにアクセスを限定するGuest VLANの機能も備える。


セキュリティとネットワークの統合

 現在「ほとんどの大企業ではネット環境を二重化して運用しており、さらに複数の機器が接続されて複雑化したネットワークでは、デザインの制約がある」と語った。だが「こうした大規模ネットワークでも「Catalyst 6500」を2台だけで構成できる」とのことだ。

 Catalyst 6500はハイエンド向けのスイッチ製品だが、「各種モジュールにより、ファイアウォール/IDS/VPNに加え、ロードバランスなどの機能も追加できる」とのことだ。

 このほかの製品では、PIX Firewall 6.3ではソフトウェアリミットを解除して、例えば10ユーザーで100,000円、ユーザー無制限で160,000円のローエンド向け製品「501」では、ファイアウォールで10MBから60MB、VPNでは3MBから6MBにスループットが向上している。またIPテレフォニー、SIPにも対応するなど、他社製品との違いについて「アプリケーションレベルでの対応に力を入れている」点を挙げた。

 IDS製品では、同社が誤検知削減を目的に開発したCisco Threat Response(CTR)は、例えばWindows環境において、すでに修正プログラム適用済みの脆弱性やLinuxの脆弱性など、警告が不要な攻撃に対してはアラートを発しないよう、それぞれ環境を踏まえた分析を行うものだ。NETWORLD+INTEROP 2003における実際の攻撃によるデモでは、80,000の攻撃を4000(5%)までに絞り込んだ。

 このほかサーバーとクライアントPCでのセキュリティ製品「Cisco Security Agent」は、「侵入を食い止めることを重視した従来のアンチウイルスとアプローチが違う製品」とのこと。ファイルやレジストリへのアクセスやファイルコピーなどの際に、実行するプログラムの挙動を監視し、許可のない.exeは強制終了する。不要なポートをふさぐファイアウォール機能も備えており、「確実にワームの動きをストップできる」製品。定義ファイルを用いないため、亜種など、更新が間に合わないという問題点もない。この製品では「アプリケーションの導入などシステム変更を行なった場合だけ、ポリシーアップデートを行う」だけの運用が可能だ。

 最後に「シスコはネットワーク機器だけの会社ではない」とし、同社がセキュリティでも世界シェアで43%とトップを占めており、クライアントからネットワークまで「トータルなセキュリティを提供する唯一のベンダー」として講演を締めくくった。



URL
  NETWORKERS 2003
  http://www.cmarket.jp/networkers2003/
  シスコシステムズ株式会社
  http://www.cisco.com/jp/
  情報処理振興事業協会(IPA)プレス発表情報
  http://www.ipa.go.jp/ipa/press/


( 岩崎 宰守 )
2003/10/31 19:50

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.