ニュース
2004/02/28 11:57:00 更新
「ネットワーク機器がセキュリティをコントロールする」とCisco
米Cisco SystemsはRSA Conference 2004の会場で、先日発表したIBMとの協業やIBNS、NACといった同社のセキュリティに対する取り組みを紹介した。
米Cisco SystemsはRSA Conference 2004の会場で、先日発表したIBMとの協業に基づくセキュリティ管理システムをはじめとする同社のセキュリティに対する取り組みを紹介。「ネットワーク機器が企業のセキュリティ戦略を支える」点を強調している。
同社はこれまで、自己防御型のネットワークを実現させるという「Self Defending Networking」構想を打ち出し、それに沿っていくつかのセキュリティフレームワークを発表していきた。同時に、有線、無線を問わず同社のネットワーク機器に、それを実現するための機能を組み込んでいる。
その1つが「Identity Based Networking Services」(IBNS)だ。IEEE802.1x標準を利用して認証とネットワークへのアクセスを制御する仕組みである。
802.1xというと無線LAN環境での適用が真っ先に連想されるが、これは無線環境だけに限らず、既存の有線ネットワークインフラでも同様に利用できる。無線と有線、双方の環境にまたがって単一のポリシーの下でコントロールを行うことができる。しかも、誰が、いつ、どの機器にアクセスしたか、記録を詳細に取ることが可能であり、安全なネットワーク管理を実現できるという。
これとともにCiscoが打ち出しているセキュリティ上の枠組みが「Cisco Network Admission Control(NAC)」である。これは、クライアント側に導入された「Cisco Security Agent」(CSA)とポリシーサーバ(認証サーバ)、その間に立つネットワーク機器が連携して動作するもので、セキュリティポリシーに違反した端末やサーバからのアクセスを拒否することができる。
昨年、Blasterワームがあれほど増殖した理由の1つとして、社員が持ち歩くノートPCの存在が挙げられる。IT部門の管理下にあり、ファイアウォールで守られているデスクトップPCとは異なり、社員、あるいは非社員が持ち込むPCのセキュリティ対策状況はばらばらだ。Blasterまん延の際には、脆弱性が残ったままのPCが自宅などでワームに感染し、それが社内ネットワークに直接持ち込まれたことが被害を拡大したと指摘されている。
この苦い経験を踏まえ、多くのセキュリティベンダーが、クライアントの環境やパッチ適用状況、ウイルス対策ソフトの導入・更新状況などをチェックして、基準に適合しないものはアクセスを拒否するという仕組みを提供し始めている。CiscoのNACも、考え方は同じだ。ただ、「アクセスの許可や拒否といった判断を下し、あらゆるコントロールを行うのはネットワーク機器」である点に同社ならではの特徴がある。
ネットワーク機器でコントロールを行うゆえに、NACでは、認証・検査を行った結果「不適合」とされた端末を、異なるVLANやサブネットに強制的に振り分けることができる。一種の「隔離」だ。ここでパッチの適用など適切な修復作業を行わせたのちにはじめて、メインの社内ネットワークへのアクセスを許可する、という運用が可能になる。
NACの枠組みでは、Network Associates、Symantec、Trend Microというアライアンス企業3社にCSAの持つCisco Trust Agent機能を提供することも発表されている。これらの企業が提供するウイルス対策ソフトがインストールされていれば、同じようにCiscoのネットワーク機器と協調してのコントロールを行えるようになる。
このNACが実現されるのは2004年半ばの予定だ。その次のステップではIDS(不正侵入検知システム)やファイアウォールとの統合が予定されている。
Ciscoは、IBNSやNACといったセキュリティフレームワークを活用することで、「部外者をきっちり締め出すとともに、内部ユーザーに対しても、アクセス制御のほか監査による抑止効果を通じて正当なアクセスだけを行えるようにする」と説明している。
関連記事
CiscoとIBM、セキュリティ/管理技術統合へシスコ、有線・無線LAN環境のシームレスなアクセスセキュリティを提供するIBNSを発表関連リンク
Cisco SystemsRSA Conference 2004[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
