状況に合わせた動的な「ポリシー適用」を実現、ジュニパー

ジュニパーネットワークスは、同社のファイアウォール／VPN機器を活用してネットワーク接続時の検疫やアクセス制御を実現するシステムを発表した。

[ITmedia]

　ジュニパーネットワークスは10月25日、同社のファイアウォール／VPN機器を活用してネットワーク接続時の検疫やアクセス制御を実現するための新製品「Infranet Controller 4000」「同6000」を発表した。

　同社が提供する検疫／アクセス管理システムは、セキュリティポリシーを管理するInfranet Controllerのほか、そのポリシーをネットワークエッジなどで実行する「Enforcement Point」、Infranet Controllerから端末にダウンロードできる「エージェントソフト」という3つの要素から構成されている。このうちEnforcement Pointとしては、現時点では最新の専用OS「ScreenOS 5.3」を搭載したNetScreenシリーズが利用できる。

Infranet Controller 6000の本体

　PCがネットワークに接続する際には、まずユーザー認証を経た上で、エージェントソフトがウイルス対策ソフトの定義ファイル交信状況や動作しているプロセスなど、端末のセキュリティ対策状況をチェックする。その結果はInfranet Controllerに送信され、企業が定めたセキュリティポリシーと合致しない場合は、Enforcement Pointの設定を変更して特定の隔離ネットワークに接続させたり、重要なリソースへのアクセスを制限するといったことが可能だ。

　特徴は、ネットワークへの接続時だけでなく、端末が接続した後もエージェントを通じてセキュリティ対策状況をチェックし、ダイナミックにアクセスを制御できる点だ。たとえば、端末がLANに接続した後にポリシーに違反するものをダウンロードしたりワームに感染した場合、それを検出してアクセスを制限し、被害の拡大を防ぐことが可能という。

　また、「既存のネットワーク機器をそのまま利用でき、移行やアップグレードの必要がないことも特徴。さらに、アンチスパイウェアやアンチスパムなど、レイヤ7のセキュリティもLAN内で実現できる」（米Juniper Networksのセキュリティプロダクトグループ、プロダクトマネージャのカルスイック・クリシュナ氏）。

　ジュニパーではこの仕組みを「エンタープライズ・インフラネット」と名づけているが、クリシュナ氏によると、認証やエンドポイントセキュリティ、セキュリティ管理などの製品を提供するパートナー、20社以上と同構想に関してアライアンスを結んでいるという。こうしたサードパーティ製品を組み合わせることにより、「アクセス制御だけでなく、監視やレポート／監査といった幅広いセキュリティ機能を提供できる」（同氏）。

　また将来的には、Infranet Controllerと連動してセキュリティポリシーを実施するEnforcement Pointとして、NetScreenシリーズだけでなくIDS／IDP製品やネットワークスイッチなども利用できるようにしていく計画だ。

　中規模向けのInfranet Controller 4000では最大3000台までの端末に、より大規模な環境をターゲットとしたInfranet Controller 6000は最大2万5000台までに対応している。価格はいずれもオープンプライスで、同日より提供が開始されている。