Cisco、「感染封じ込め」政策を披露

米Cisco Systemsのトム・ラッセル氏は「NETWORKERS 2004」の基調講演において、同社のセキュリティ戦略の一端を紹介した。

[高橋睦美，ITmedia]

　「2004年はセキュリティが最大の問題として浮上した年だ」――米Cisco Systemsのセキュリティ＆テクノロジーグループディレクターのトム・ラッセル氏は、12月8日から10日にかけて行われている「NETWORKERS 2004」の基調講演においてこのように語った。

　同社は現在、海の向こうで、アナリスト向けの「Worldwide Analyst Conference 2004」を開催している。これに対しNETWORKERS 2004では、どちらかと言えば技術的な観点からCiscoのセキュリティに対する取り組みが披露された。

　すでに語りつくされたことではあるが、かつては知ったもの同士のクローズドな世界だったインターネットが、今やありとあらゆる人に開かれ、接続されるようになっている。こうなると、「いったい誰を信用していいものやら分からない」（ラッセル氏）状態だ。相手はハッカーかもしれないし、スパム送信者かもしれないし、あるいはウイルスに感染しているかもしれない。

　また、脆弱性が指摘されてからウイルスなどの脅威が発生するまでのタイムスパンが短縮される一方であることも、状況を悪化させている。

　こういった課題に対し同社は、セキュリティ機能を統合した新型ルータ「Cisco Integrated Services Routers（ISR）」や、検疫機能を実現する「Cisco NAC（Network Admission Control）」プログラムを推進するのみならず、Riverhead Netwworksの買収によって手に入れたDDoS対策アプライアンスを展開。さらに、2005年中に「ネットワーク感染『封じ込め』」政策を実施していく計画だ。

被害の最小化を図る「封じ込め」

　一連の取り組みの背景には、「これまでのセキュリティ対策はリアクティブなものに過ぎず、プロアクティブな対処が求められている。また、単体のファイアウォール、単体の不正侵入検知システム（IDS）ではなく、統合された多層型セキュリティが必要だ」（ラッセル氏）という問題意識がある。

　それに対するCiscoの答えが、昨年発表した「Self Defending Networking」構想だ。同社はこれに沿って、端末のポリシー準拠を担保するCisco NAC、ファイアウォールやIDSの機能を統合したルータであるCisco ISR、シグネチャに頼らずビヘイビア分析によって最新の脅威に対処し、パッチ適用までの間端末を保護する「Cisco Security Agent（CSA）」などを提供してきた。

　「2005年の新たな攻撃との戦いにおいて、これまでのようにシグネチャのアップデートを要する方法では負け戦に終わる」とラッセル氏は述べ、アプリケーションレベルにいたる階層的な防御が必要だとした。

　Ciscoは現在、SymantecやTrendmicro、McAfee、さらにComputer AssociatesやIBMといった企業と手を組んでCisco NACプログラムを推進中だ。この仕組みでは、端末がネットワークに接続する前にセキュリティポリシーにしたがっているかどうかの検査を行い、その結果に応じて強制的にアクセス制御を行う。

　同社はさらに、ネットワークインフラ全体を保護する新たなアプローチとして、「ネットワーク感染封じ込め」の開発を進めているという。説明を聞く限り、これは、ウイルス／ワームなどの脅威が発生した場合の被害を最小化するためのアイデアと言えそうだ。

　この構想では、感染を検出した場合、感染源が接続しているポートを検疫VLANに振り分け、その脅威を特定の範囲に「封じ込める」ようなポリシーをダイナミックに作成する。また、「かくかくしかじかの感染が広がっている」旨を他のルータやスイッチに知らせ、ダイナミックにネットワークトポロジを変更させるというもので、2005年中に導入される予定という。

　これとは別に、Trendmicroと共同で「アウトブレーク予防ソリューション」の開発も進めている。こちらも、新たな脅威の発生を検出をポリシーサーバに伝達し、シグネチャが作成されるまでの間攻撃を食い止めるアクセスコントロールリスト（ACL）を配布する、というアイデアだ。

　「こうした取り組みによって、もう1つセキュリティの壁を作ることができる」（ラッセル氏）。

　Ciscoでは引き続きセキュリティへの取り組みを続け、「ネットワークの中に、各々のポリシーと結びついたセキュリティを融合させていく」と同氏は宣言している。