「入る前も入った後も」――MBSDがフルタイムで挙動を監視する検疫アプライアンス

MBSDは、ネットワーク接続前だけでなく、接続後も端末の状況を監視し、適切にネットワークゾーンを振り分けるネットワーク検疫システム「Mirage NAC」をリリースする。

» 2006年10月24日 23時27分 公開
[高橋睦美,ITmedia]

 三井物産セキュアディレクション(MBSD)は10月24日、企業向けのネットワーク検疫システム「Mirage NAC」を発表した。接続前に端末を検査するだけでなく、接続後の不審な挙動も検知し、「フルタイム」でネットワークを監視し続ける点が特徴だ。

 Mirage NACは、米Mirage Networksが開発したセキュリティアプライアンスだ。ノートPCなどのエンドポイント(端末)のセキュリティ状況を検査し、企業が定めたポリシーに合致しない限り接続を許可させない、いわゆるネットワーク検疫システムをエージェントレスで実現する。仮想インライン方式を採用しているため、既存ネットワークへの変更が不要な点も特徴だ。

 最大の特徴は「ネットワークに接続する前だけでなく、エントリ後も監視し、端末のセキュリティレベルが変わったらそれに応じて適切なゾーンに割り振ることで、フルタイムでセキュアなネットワーク環境を実現する」(Mirage Networksのアジア太平洋セールスオペレーション担当副社長、森下恭介氏)ことだ。

 Mirage NACの基本的な機能は、「Mirage CounterPoint」という名称で提供されてきた従来製品と同じだ。

 企業ネットワークに接続される端末のセキュリティ状況を検査するとともに、接続が許可された後も常にネットワークの挙動を監視。ワーム感染などにより不審なパケットを吐き出すような状況を振る舞い検知によって検出すると、端末のARPテーブルを書き換えて実質的に隔離する。VLANやDHCPを使うのではなく、ARPテーブルの書き換えによって各「ゾーン」へのマッピングを行う仕組みだ。

名称を改めたMirage NACアプライアンス本体

 また、未使用のIPアドレスを「ハニーネットワーク」というおとりとして活用し、それらに向けて不審なアクセスがあると同じように隔離する機能、APIを通じてサードパーティ製のパッチ管理システムと連動する機能なども引き続き提供する。

 名称を改め、バージョンアップした新製品では、ネットワーク接続時の管理(アドミッション)の部分を強化した。また、これまではネットワークレベルでの検査に注力していたが、オプションの「Mirage ACS」を組み合わせることで、ウイルス対策ソフトのシグネチャ更新状況やOSのパッチ適用情報、スパイウェア対策ソフトのインストール状況など、アプリケーションレベルのセキュリティ状況もチェック可能になるという。

 さらに、複数のMirage NACを管理する専用アプライアンス「M-2060」をラインアップに追加し、より大規模な運用に対応できるようにした。

 Mirage NACには、管理対象となるエンドポイントの数に応じて「N-125」「N-145」「N-245」の3種類があり、価格はオープンプライスだが、N-125が100万円前後となる見込みだ。2007年1月より出荷を開始する。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ