セキュリティ保護には「複数のテクノロジの組み合わせが重要」とCisco担当者

米Cisco Systemsのアレックス・サーバー氏は、基本的なネットワークテクノロジも含めた複数の技術を組み合わせてセキュリティを実現していくことが重要だと述べた。

[ITmedia]

　「ネットワーク上のすべての機器にパッチを当てたつもりでも、どれか1つでも忘れていれば、そこから攻撃を受けてネットワーク全体を破壊されかねない。1つの脆弱性からシステム全体が混乱してしまう恐れがある」（米Cisco Systemsのワールドワイド・チャンネル セキュリティ＆モビリティ戦略ディレクター、アレックス・サーバー氏）。

　サーバー氏によると、「脅威はいつ、どのように発生するか予測がつかない」。しかも、脆弱性が発見され、実証コードが公開されてからワームが登場し、拡散するまでの時間はどんどん短くなっている。結果として「たとえばウイルス対策ベンダーがシグネチャを用意するだけの時間的余裕がなくなっている」（同氏）。

　そうしたケースに備えたCiscoの製品が、エンドポイント（端末）セキュリティソフトの「Cisco Security Agent（CSA）」だという。CSAは、ビヘイビア（振る舞い）ベースの不正侵入検出機能を備えており、「パッチやシグネチャが用意できるまでの間、端末を守り、顧客が望むタイミングでパッチなどを適用できるようにする」という。

複数のテクノロジを組み合わせて全体のセキュリティを実現していくことが重要だと協調したサーバー氏

　Cisco Systemsでは現在、「Self Defending Network（自己防衛型ネットワーク：SDN）」および「Adaptive Threat Defense（適応型防御システム：ATD）」というセキュリティ戦略を推進している。ここで重要なのは、複数のテクノロジを組み合わせて「全体としてのセキュリティ」を実現することだ。

　具体的には、QoSやACLといった基本的なレベルのネットワークテクノロジに、セキュリティ機能を統合したルータ／スイッチ、CSAやセキュリティアプライアンスなど、複数のセキュリティ対策を組み合わせることで、ネットワーク全体を保護できるという。たとえば暗号化されたトラフィックをIDPなどで解析し、不審なものであればルータやスイッチと連動してポートを閉じるという具合だ。

　エンドポイントのセキュリティ状況を調べてアクセスの可否を制御するNetwork Admission Control（NAC）の考え方も、それに沿ったものだという。「モビリティが高まっている今、PCを持ち歩くことによってどんな問題を招くかも分からない。ユーザーだけでなく端末を認証し、ユーザーのポリシーに基づいて制御するNACによって、有線、無線、双方にまたがって同じようにセキュリティを実現できる」（サーバー氏）。

統合型アプライアンスを用意

　Ciscoはさらに、新しい統合型セキュリティ製品をリリースしている。米国のInteropに合わせて発表した「Cisco Adaptive Security Appliance（ASA） 5500 Series」がそれで、アプリケーションレベルのファイアウォールとIPSec VPN／SSL VPN、IDPといった機能を1つのきょう体にまとめた、中規模ネットワーク向けのアプライアンスだ。

　ASAではASICは採用していないが、「あらゆるサービスをフルスピードで提供できるよういちから設計した」（サーバー氏）。逆に、専用ハードウェアを用いないことで、「アップグレードによって容易に新機能を追加でき、投資保護につながる」というメリットが生まれるとした。なおこの製品は、日本のInteropでも紹介される予定だ。

　Ciscoは今後、ASA以外にもいくつかのセキュリティ機器のリリースを予定している。マルチベンダー機器の管理を行い、ログを一元的に集約して分析を加える「Cisco Security Monitoring, Analysis and Response System（CS-MARS）」、Cisco以外の製品を導入している場合にもNACを利用できるようにするアプライアンスの「Cisco Clean Access」などがロードマップ含まれている。

　最後にサーバー氏は、「今後はPCやモバイル端末、電話だけでなく、ありとあらゆるデバイスが1つのネットワークに統合される時代になる。ファシリティ管理を行う温度計や煙探知機なども、同一のIPネットワークにつながる時代になるだろう。そのときにどうやってセキュリティを確保していくかが課題だ」とも述べ、これまでのノウハウをベースにいろいろなメーカーと協力して解決に向けて動いていきたいとした。