特集TOP 情報セキュリティ対策製品ガイド

個人情報保護特集

セキュリティ対策製品ガイド ガイドトップ

ネットワーク監視
エムオーテックス
シーア・インサイト・ セキュリティ

アクセスコントロール1
シスコシステムズ
トレンドマイクロ

アクセスコントロール2
ジュニパーネットワークス
 シマンテック

メールセキュリティ
マカフィー
シマンテック

 

 自己防衛型ネットワークSDNによるセキュリティの強化 ファイアウォール、CSA、認証(NAC)で情報漏えいをシャットアウト

シスコシステムズの根幹を成す“ネットワークセキュリティ”
久保統義氏

セキュリティ/ワイヤレス営業本部 本部長
久保統義氏

 シスコシステムズがネットワークのセキュリティ強化に本腰を入れている。新たなコンセプトを発表したり、テレビコマーシャルを積極的に流したりして、業界ではちょっとした話題となった。しかし、「当社は、創業当時からセキュアなネットワーク構築を目指してきています」と、セキュリティ/ワイヤレス営業本部 本部長 久保統義氏は強調する。 

 「1990年からネットワーク製品を提供してきましたが、同時に安心して使える安定したネットワーク環境の実現に取り組んできました。それがファイアウォール機能の実装であり、Cisco PIX Security Appliance シリーズなどです。ルーターそのものにセキュリティ機能を統合しながら、ワイヤースピードを実現してきました」。

 当初は個別の機能を提供するポイントソリューションであったが、ネットワークインフラを提供するベンダーとして、ネットワークとセキュリティの融合へと進化する。それがCatalyst6500シリーズのファイアウォール サービス モジュールの提供であり、マルチサービス統合型ルーター「Cisco ISR(Cisco Integrated Services Routers)」の開発であった。

 現在、シスコシステムズが取り組むセキュリティの考え方は、「SDN(Self-Defending Network)」に代表される。「セキュリティ機能をネットワークに個別にアドオンするのではなく、ネットワークに融合し、統合された形でセキュアなネットワークを実現します。これは当社ならではのアドバンテージでしょう」と、久保氏は自信を見せる。


自己防衛型ネットワーク「SDN」の必要性

 シスコシステムズは“インテリジェント インフォメーション ネットワーク”を志向してきた。単に接続するだけのネットワークから脱却し、企業の生産性を向上し、障害をも自ら解消してくれるような、インテリジェンスを持ったネットワークである。

 現在、企業ネットワークは“高速化”“複合化”された脅威にさらされている。被害拡大の速度は急激に上がっており、例えば、「W32.Blaster.Worm (Blasterワーム)」は、2003年8月11日に最初の感染が発見されたが、その後わずか3時間で12万8000件ものシステムに被害をもたらした。その後もワームは残存し、2〜3万ものシステムに、2週間以上にわたって継続的に感染し続けた。セキュリティ対策を“日単位”で行えば済んでいた時代はすでに過去のものとなり、今求められているのは、分単位で対処できる能力である。そして、まもなく秒単位の対応が求められる時代となるであろう。

 同時に、ウイルスやワームは、複数の攻撃手段を持つようになっている。かつてはファイル転送や電子メール経由が一般的であったが、最近では有線の社内LANから、またはワイヤレスLANから侵入してくる。さらにインターネット経由やリモートアクセスの利用者を介して攻撃してくるようにもなった。それぞれの攻撃経路を防御するのは当然として、この先も攻撃対象となる新たなセキュリティホールは存在するだろう。未知の攻撃に、いかに対処するかが避けられない課題となっている。

人体のような免疫能力を持つ自己防衛型ネットワーク

 シスコシステムズでは、人体のような免疫能力がネットワークにも求められると考えている。ウイルスや菌が入ろうとしても、それが有害なものであると判断すると人体は侵入を拒否する。また、たとえ入り込んだとしても、多少のダメージは受けるものの、致命的な状態までは至らないのが普通である。そして人体は抗体を作成し、被害の広がりを防止する。再びそのウイルスに影響を受けることは、まずないといってよい。

 この仕組みをネットワークに応用したものが、SDNである。端末をネットワークに接続する際、接続に値するセキュリティレベルかどうかを判断し、それに達していない場合は接続を拒否する。または隔離し、検疫を行う。

 例えばウイルスやワームへの対応を考えてみたい。現在ではほとんどの端末にウイルス対策ソフトが導入されており、ウイルスやワームへの感染を未然に防げるようになっている。しかし、ウイルスやワームの検知は、ベンダーが提供するパターンファイル情報に基づいており、それを頻繁に更新しなければ、十分な効果は期待できない。新種のウイルスやワームに関しては、対応するパターンファイルがリリースされるまでは対処できないのが現実である。しかしネットワークシステムが免疫メカニズムを持っていれば、ウイルスやワームに感染しても、これを撃退することが可能になる。たとえ感染しても、被害や感染の拡大を最小限に抑えることができるのである。

 新種や亜種のウイルスやワームが猛スピードで続々と登場する時代には、もはや感染しないための取り組みだけでは不十分で、“感染する可能性がある”ことを前提に、プロアクティブな対策を講じる姿勢が不可欠なのである。

自己防衛型ネットワークを構成する3つの要素

 自己防衛型ネットワークSDNは、「統合化セキュリティ」「アライアンス」「システムソリューション」の3つから構成される。

 統合化セキュリティとは、ネットワークとセキュリティは個別に切り離して考えず、統合させるべきものであるという考え方である。セキュリティを脅かすものには、外部からのクラッキングや、接続が許可されていない侵入者がある。また内部ネットワークでも、故意または不注意による情報漏えいがあり、複合的なウイルスやワームも存在する。これらの対策をネットワークに個々にアドオンするのではなく、ネットワークインフラに融合するという考え方だ。

 次にアライアンスだが、これはシスコシステムズだけの守備範囲では不可能なソリューションを、業界を横断した協業によって提供するものである。現在主流となっている複合的な攻撃経路を持つウイルスやワームを防ぐには、ネットワークの利用者に対し、同一のポリシーを適用し、そのポリシーが守られているかを確認するための仕組みが必要となる。これは、ネットワークやアプリケーションの仕組みだけでも不十分で、業界を横断するアライアンスがあって、初めて可能となる。このアライアンスの代表的なものには、後述するNAC(Network Admission Control)がある。


図1 自己防衛型ネットワークを構成する3つの要素
 最後に、それぞれの企業に最適なネットワークセキュリティを提供するのがシステムソリューションである。シスコシステムズは大企業から中堅・中小企業まで、極めて幅広い企業のネットワークインフラを提供している。これら企業ごとのセキュリティニーズに応える形でソリューションを提供する。例えば、既存のネットワークに手を加えたくない場合は、アプライアンスを、コスト優先の企業にはCisco IOS(ソフトウェア上で稼働するアプリケーション)を提供する。

 


  つづきを読む>

シスコシステムズ株式会社