クオリティとトップレイヤー、インベントリ情報を生かした検疫システムを開発

クオリティとトップレイヤーネットワークスジャパンは検疫ネットワークの実現に向けて提携し、7月より「Secure Profile Control ソリューション」を販売する。

[高橋睦美，ITmedia]

　クオリティとトップレイヤーネットワークスジャパンは6月17日、企業のセキュリティポリシーを満たしていない端末や不正な端末からの接続をブロックする、いわゆる検疫ネットワークの実現に向け、提携を結んだことを明らかにした。

　昨今のワーム被害を拡大させている原因の1つに、セキュリティパッチを適用していない端末やウイルスに感染した端末を、なんらチェックを行わず不用意に社内システムへ接続させてしまうことが挙げられる。この問題への対処として、社内LANへアクセスを試みる端末のMACアドレスやパッチ適用状況を検査し、適切でないものは接続を拒否するというシステムがいくつかリリースされ始めている。

　クオリティとトップレイヤーが共同で開発した「Secure Profile Control ソリューション」も、そうした検疫システムの一種と言えるだろう。既存のネットワーク機器を入れ替えることなく、追加する形で実現できるため、導入のハードルが低いことが特徴だという。

QNDとSecure Controllerの組み合わせによる「Secure Profile Control ソリューション」

　具体的には、国内で多くのインストールベースを持つクオリティの資産管理ツール、「QND Plus／QAW」が収集するインベントリ情報を利用して、適正なクライアントPCかどうかを判断する。実際の制御には、トップレイヤーが開発した、ユーザー認証ベースのアクセスコントロールアプライアンス「Secure Controller」を利用する。

　両社はこの連携を実現するため、新たに「Secure Controller連携キット」を開発した。このキットは、QND側で収集したインベントリプロファイルとポリシー制御プログラムとを付き合わせ、アクセスしてきた端末が企業の管理化にあるものかどうか、またパッチやウイルス対策ソフトの定義ファイルが適正値を満たしているかを確認する。

　将来のバージョンでは、外付けハードディスクの有無など、資産管理ソフトウェアならではのインベントリ情報を活用して制御を行えるようにする計画だ。P2PやSoftEtherなど特定のアプリケーションが稼動している場合（逆に管理者が指定するアプリケーションが搭載されていない場合）はアクセスを拒否する、といった機能の追加も予定されているという。

　QND／QNWに登録されている「認証キー」を持たない端末（つまり未知の端末）がネットワークに接続を試みても、アクセスを拒否される。また認証キーを持っていてもパッチを適用していないPCは、いったん「検疫ゾーン」に隔離され、強制的にパッチや定義ファイルのアップデートを受ける仕組みだ。

　このシステムはさらに、認証に成功したユーザーに対するアクセスコントロールも実現する。ユーザーとリソースをグループ化し、それらのアクセスポリシーを定義することで、一般的な権限を持つユーザーには、共有サーバへのアクセスは許可しても、機密情報を格納したサーバにはアクセスどころか存在すら知らせない、といった運用が可能という。また、一連のアクセス履歴をログとして保存することもできる。

　こういった仕組みを通じて情報漏洩を防ぐとともに、不正アクセスやワームの活動を社内の一定のエリアに封じ込めることができると両社は説明している。

　Secure Profile Control ソリューションは7月より発売される。価格は、Secure ControllerやQND／QAW、Secure Controller連携キットを合わせたものとなり、1000台規模で新規導入する場合、参考価格は890万円になるという。既にQND／QAWを導入している企業では、半数以上が同ソリューションに興味を抱いているといい、主に3000台以上のクライアント端末を抱える大規模システムを中心に販売していく方針だ。