「セキュリティはネットワークから」、エクストリームが新たな枠組み

エクストリーム ネットワークスは、検疫システムやトラフィック分析に基づく脅威の検出といった要素からなる新たなセキュリティフレームワークを発表した。

[高橋睦美，ITmedia]

　エクストリーム ネットワークスは5月31日、同社のネットワーク製品群を核に、他社製パーソナルファイアウォールソフトやRADIUSサーバなどを組み合わせて実現する新たなセキュリティフレームワークについて発表した。

　ウイルスやワーム、DoS攻撃など、さまざまな脅威がネットワーク環境を取り巻いていることは周知のとおりだ。そしてこういった脅威の侵入を防ぐために、ファイアウォールやウイルス対策ソフトウェアなど、さまざまなセキュリティ製品が提供されている。しかしながら従来型のセキュリティ対策だけでは不十分であり、ネットワークベンダーにもセキュリティへの対応が求められるようになっている、というのが同社の見方だ。

　今回発表されたセキュリティフレームワークは、3つの柱から構成されている。インターネット越しの外部からの脅威だけでなく、社員が持ち込むPCなどに起因する内部からの脅威にも対処できる点が特徴といい、「Black Diamond 10K」「Summit i」シリーズをはじめとする同社レイヤ3スイッチに実装される形で順次提供される。

TCG仕様に基づく検疫システムを実現

　まず最初の柱は、端末およびネットワークエッジ部分でのセキュリティを確保する「Secure Unified Access」だ。これには、802.1xやWebブラウザ経由のユーザー認証と、VLANやACL（Access Control List）によるネットワークリソースの制限（Intelligent Network Access：INA）、それにBlaster（MSBlast）の蔓延以降急速に注目を集めるようになった「検疫システム」が含まれる。

　ここでいう検疫システムとは、ネットワークに接続を試みるデバイスの状況を検査し、パッチの適用状況やウイルス対策ソフトの更新状況が水準（ポリシー）を満たしていない場合は接続を拒否するか、リソースへのアクセスが制限されたVLANに振り分ける、といった運用を実現するアプローチだ。これが可能になれば、ワーム蔓延の原因となる脆弱性を残したままのPCをLANから隔離し、大発生を未然に防ぐことができる。

　このような検疫システムのニーズが高まっていることを踏まえ、エクストリーム以外のベンダーも同様なソリューションを提供しつつある。この点について同社は、米Sygateをはじめ数十社が参加する業界標準化団体、Trusted Computing Group（TCG）が開発を進めている「Trusted Network Connect」仕様に基づいており、ベンダーにとらわれずさまざまな種類の製品を組み合わせられることが特徴だと述べている。この試用は今年第4四半期にまとめられる予定だ。エクストリームはさらに、いわゆるイーサネットの世界だけでなく、ワイヤレスネットワークでも同様の枠組みを利用できるようにしていく方針という。

　2つめの柱は、ネットワークそのもの堅牢性を高める「Secure Network Infrastructure」だ。先日US-CERTが警告したTCPの脆弱性もそうだが、実はSNMPやSSH、BGPなど主要なプロトコルには脆弱性がつき物だ。そうした脆弱性を含まない最新のプロトコルを用いて攻撃に対する耐性を高めるという。またDoS攻撃については、QoSおよび帯域制御／キューイングを用いて対処し、ネットワークが機能不全に陥らないようにする。

　最後は「Next-Generation Network Instrumentation」で、これは既知の攻撃だけでなく未知の脅威についても検出、防御を行うという。具体的にはsFlowおよび同社独自技術のCLEAR-Flowを利用して、ネットワークの平常時の統計情報を収集。これとは異なるパターンのトラフィックを検出したときに「攻撃」と判断する仕組みだ。これを既存の不正侵入検知システム（IDS）と連携させれば、誤検出や多すぎるイベントログに悩まされることなく、より正確に侵入の兆候を見分け、警告することが可能という。

　一連のセキュリティ機能のうちTrusted Network ConnectやINAは今年夏に実装予定で、それ以外の機能は同日より利用可能だ。ただし、コアネットワークでのモニタリングを担うCLEAR-Flowだけは、基本的にBlack Diamond 10kシリーズのみでのサポートとなる。