いよいよ動き出したシスコの検疫ネットワーク構想「NAC」

自己防衛型ネットワーク構想に基づくシスコシステムズのセキュリティ技術「Cisco NACプログラム」が日本でもスタートした。

[ITmedia]

　シスコシステムズが昨年打ち出した、自己防衛型ネットワーク構想に基づくセキュリティ技術「Cisco Network Admission Control（NAC）プログラム」がようやく現実のものになった。

　シスコは8月24日、NACプログラムに対応したCisco IOSソフトウェア／コンポーネントの提供を開始した。同時にシマンテック、トレンドマイクロ、マカフィーの各社も、各々のウイルス対策製品が同プログラムに対応したことを明らかにし、提供を開始している。

　昨年夏のBlasterの蔓延は、セキュリティを考える上でさまざまな教訓を残した。中でも最大の反省点は、パッチなどが適用されておらず、ウイルスに感染したPCが直接社内LANに接続されることで、内部の被害が拡大してしまったという事実だろう。これを踏まえ、まず端末のOSのパッチ適用状況やウイルス対策ソフトの更新状況をチェックし、一定のセキュリティポリシーを満たさない限り企業ネットワークへの接続を許可しないという検疫ネットワークの必要性が謳われるようになってきた。

　Cisco NACも、そうした検疫ネットワーク構想の一種だ。同社のルータ／スイッチ製品と認証サーバ「Cisco Secure Access Control Server」、それにウイルス対策ソフトウェアに組み込まれる「Cisco Trust Agent」の連携によって端末のセキュリティ状態を収集し、ポリシーと照らし合わせてアクセスコントロールを実現する。この仕組みによって、対策が不十分な端末のアクセスを許さず、ウイルス／ワームなどの侵入を水際で防ぐというわけだ。

　検疫ネットワークソリューションは他にもいくつか存在しており、中にはCisco NACプログラムは「プロプライエタリな技術に過ぎない」という指摘もあるが、同社側は「業界アライアンスに基づく枠組みであり、標準化にも配慮している」と反論する。何より、ネットワーキング分野で大きなシェアを持つシスコが、こうした仕組みを実現したことは大きいと言えるだろう。

発表会にはシスコ黒澤社長のほか、シマンテック、トレンドマイクロ、マカフィー各社のトップがそろった

　もっとも、今回実現されたのは、NACプログラムの第一段階に過ぎない。現時点でこの機能が利用できるのは、ネットワーク機器側では「IOS Software Release12.3（8）T」およびAdvanced Securityイメージを搭載した、Cisco 800シリーズからCisco 7200シリーズまでのルータ製品。Catalyst 6500をはじめとするスイッチ製品やVPN機器は、2005年第1四半期に予定されているフェーズ2で対応する計画だ。また、OSのパッチ情報を収集し、ポリシーと付き合わせる機能も今後の課題といえるだろう。

　一方、端末に導入するクライアントソフト側では、シマンテックの「Symantec Client Security 2.0」「Symantec AntiVirus Corporate Edition 9.0」、トレンドマイクロの「ウイルスバスター コーポレートエディション 6.5」、マカフィーの「McAfee VirusScan Enterprise8.0i」「同 7.0／7.1」が、NACに対応し、Cisco Trust Agentをサポートする。ウイルスバスター コーポレートエディション6.5は9月14日の発売（ベータテスト中）だが、それ以外の製品ではサポートセンターもしくはダウンロードサイトを通じて、NAC対応コンポーネントの提供を開始した。また、シスコ自身が提供するエンドポイント向けセキュリティソフト「Cisco Security Agent（CSA）」も、もちろんCisco Trust Agentを統合している。

　シスコは今後も、NAC対応ソフトウェアの拡大に努める方針だ。「セキュリティを実現するには、全体を見たシステマティックなアプローチが必要だが、それは1社だけでできることではない」（同社代表取締役社長の黒澤保樹氏）。今回のウイルス対策ベンダー3社に加え、パッチ管理ソフトウェアなど、より多くの製品にNACプログラムのサポートを広げるべく、APIの提供やテスト／認定プログラムの提供も行う計画だ。

　ちなみに黒澤氏によると、Cisco全体における日本法人の貢献度は平均すると8％前後というが、「セキュリティの分野だけ見ると、それに満たない。（対策を）やらなければいけないのは分かっているけれど、手が回っていない状態ではないか」（同氏）。今後は、「ルータ／スイッチのみならず、無線LAN製品やIPテレフォニー、ストレージなど、ありとあらゆるラインナップにセキュリティを付加していく」ことで、対策を後押しする考えだ。