ITmedia エンタープライズ

ニュース
2004/05/31 01:45 更新

セキュリティにフォーカスを広げるエクストリーム

いわゆるネットワーク機器ベンダーがセキュリティについて言及するケースが増えてきた。エクストリームネットワークスもその一社だ。

　最近では、いわゆるネットワーク機器ベンダーがセキュリティについて言及するケースが増えてきた。エクストリームネットワークスもその一社だ。

　同社は4月に行われたセミナー「Winning Solution 2004」において大まかな製品戦略を明らかにしたが、この中で米Extreme Networksのプロダクト・マネジメント担当上級副社長、バルーン・ナガラジ氏は、今後無線LANとセキュリティに注力していく方針を明らかにしている。特にセキュリティ分野での取り組みについては、5月31日から開催されるRSA Conferenceで具体的に明らかにされる見込みだ。

　エクストリームは、昨年出荷を開始したフラグシップモデル「BlackDiamond 10Kシリーズ」に第4世代のASICを搭載したほか、独自OSのExtremeWareをUNIXベースの「ExtremeWare X-OS」に刷新し、柔軟性を高めた。こうした方策を通じて、高密度での10GbEポート収容を実現し、アベイラビリティを高めるのはもちろん、セキュリティ機能の強化を進めていく方針だ。

3種類の取り組みを

　「いわゆる境界部分のセキュリティについてはNetScreenをはじめとするパートナーに任せ、われわれはファイアウォール内部のセキュリティにフォーカスしていく」（ナガラジ氏）。同氏によると、主に3種類の取り組みが検討されているという。

　1つは、ネットワークエッジ部分で802.1x認証を利用し、きちんと認証を経たユーザー以外には接続を許可しないことによって、不審な端末からの攻撃やウイルス感染を防ぐというもの。同社では現在、端末のパッチ適用状況を確認したうえでアクセスを制御する仕組みに向けて、パートナー企業とともに作業を進めているという。この仕組みが実現されれば、セキュリティホールが放置されたままのPCをネットワークから排除し、パッチ適用ポリシーをすべての端末に強制することができる。

　2つめは、スイッチ自体の耐性を高めることだ。最近になって、端末のみならず、ネットワーク機器そのものが攻撃のターゲットになるケースがちらほら報告されているが、エクストリームではスイッチ自体が攻撃を受けたとしても、ネットワークインフラに影響を与えることなく動作し続けるような仕組みを実現していくという。

　最後は、アクセスコントロールリスト（ACL）と、BlackDiamond 10Kシリーズで実装された「CLEAR-Flow」機能を組み合わせての、ネットワークインフラ全体の防御である。CLEAR-Flowを利用すれば、スイッチを通るトラフィックすべてを検査し、統計的な傾向を把握することができる。こうして平常時の傾向を蓄積しておけば、「普段とは異なる兆候が見える」「あらかじめ定めた閾値以上のトラフィックがある」といった状況を検出し、ポリシーに基づいて当該トラフィックをシャットダウンすることができるという。

　エクストリームはまた、他社製IDS（不正侵入検知）アプライアンスとの連携も視野に入れている。ExtremeWare X-OSがUNIXおよびXMLベースになっているのもそれが理由の1つとなっており、たとえばCLEAR-Flowで統計を取り、それを基に決めたベースラインをIDSに反映させ、逆にIDS側が検出したアラートをネットワークコアスイッチのACLポリシーに反映させるといった運用が可能になるという。

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.