セキュリティポリシーを空文化させず徹底、日商エレがLAN向けアプライアンス

日商エレクトロニクスは、内部統制支援の一環として、米ConSentry Networksが開発したセキュリティアプライアンス「CSシリーズ」の販売を開始する。

[高橋睦美，ITmedia]

　日商エレクトロニクスは2月7日、米ConSentry Networksが開発したセキュリティアプライアンス「CSシリーズ」の販売を開始することを発表した。SOX法および日本版SOX法の観点から求められる内部統制の中でも、ITインフラ統制の部分を実現する製品として販売していく。

　CSシリーズは「セキュアLANコントローラ」という名称のとおり、企業内LANでのセキュリティを強化し、ポリシーを徹底させるための製品だ。インライン型のアプライアンスとして動作し、ネットワークを流れるトラフィックを検査してアクセスコントロールを実施する。

　まず、既存のRADIUSサーバやActive Directoryと連携してユーザー情報とMACアドレス、IPアドレスといった情報を紐付け、あらかじめ定めたポリシーと照らし合わせてネットワークレベルでのアクセス制御を実施する。ユーザーごとに、どのサーバ、どのアプリケーションを利用できるかのコントロールが可能だ。またポリシーに反する行為を記録し、どんな違反行為があったかを把握することもできる。

　ユーザーID／グループに基づいて利用アプリケーションを制御するだけでなく、「仮に別人のIDを盗用して成りすましを試みたとしても、普段とは異なるMACアドレスからのアクセスの場合はアクセスをブロックできる」（日商エレクトロニクスのセキュリティ事業部営業グループチープ、榎本瑞樹氏）ため、厳密にポリシーを徹底できるという。

CSシリーズでは、LANShieldという独自のアーキテクチャによって、アプリケーションレベルの精査とパフォーマンスを両立させているという

　榎本氏は「ISMS認証取得などの一環で立派なポリシーを作成した企業は多いが、それが守られていないケースも多い。それ以前に、そもそもLANの利用状況すらわからず、ポリシーを立てようにも立てられない場合もある」と指摘。CSシリーズで収集したデータをグラフィカルに表示する集中管理ツール「Insight Manager」を組み合わせることで、LANやユーザーの状況を可視化できるとした。

　CSシリーズはまた、トラフィックの動向を学習し、ウイルスやワームによる異常なトラフィックが発生した際はそれをブロックして、ネットワーク全体が麻痺する事態を避ける機能も備えている。シグネチャに頼ることなく、新種のワームによって膨大なパケットが送り出されるような事態を検出し、正当なネットワーク利用を継続させる仕組みだ。

　他の製品と比較した場合の特徴は、既存のネットワークインフラや端末に手を加えることなく導入できること。

米ConSentryの会長兼CTO、ジェフ・プリンス氏

　「LANをセキュアにしようとすると、802.1x対応のスイッチやIDSなどさまざまな機器を導入する必要があるが、そうなると運用の手間がかかるし、ネットワーク上のボトルネックにもなる」と米ConSentryの会長兼CTO、ジェフ・プリンス氏。これに対しCSシリーズは透過的に導入できるうえ、すべての機能を1つのアプライアンスにまとめている点にメリットがあるとした。

　CSシリーズには同時200ユーザーまで対応の「CS1000」と、1000ユーザー対応の「CS2400」の2モデルがある。価格はそれぞれ400万円から、600万円から。2月中にも発表予定の次バージョンでは、ネットワークアクセスコントロール、いわゆる検疫ネットワークの機能もサポートする計画である。