「入れたらすぐ使える」、Lockdownの検疫アプライアンス

米Lockdown NetworksはKCCSと代理店契約を結び、アプライアンス型のネットワーク・アクセス・コントロール製品「Lockdown Enforcer」の国内販売を開始する。

[高橋睦美，ITmedia]

　「端末だけでなく、ネットワーク全体をセキュアにしていくことが重要だ」――1月26日に京セラコミュニケーションシステム（KCCS）と日本における販売代理店契約を結んだ米Lockdown NetworksのCEO、ブレット・ヘルセル氏はこのように語った。

　Lockdown Networksは、いわゆる検疫ネットワーク――より正確には「ネットワーク・アクセス・コントロール」（NAC）を実現するためのアプライアンス製品「Lockdown Enforcer」を開発、提供している。認証を行ったうえで、端末の脆弱性やレジストリ、インストールされているソフトウェアなどの「健康状態」を検査し、ポリシーに沿って適切なネットワークへアクセスさせるアプライアンスだ。

　もしポリシーに反する場合は、あらかじめ指定したWebページにリダイレクトさせ、隔離された理由と対処方法などを示す。これにより、IT部門の負荷を増やすことなく、ポリシーに基づく検疫とその後の治療を実現する仕組みだ。今後、パッチ配布システムとの連携によって、治療作業のさらなる自動化を図る予定という。

　他にも検疫ネットワーク製品は多数存在するが、「実際に導入し、運用するにはさまざまな準備が必要だし、コストもかかる」（KCCSの取締役IPサービス事業本部長、黒瀬善仁氏は）。これに対しLockdown Enforcerの特徴は「今ある環境に手を加える必要がなく、導入してすぐに動かせること」（同氏）だという。

Lockdown Enforcer本体

　まず、エージェントによる検査だけでなく、エージェントレスの状態でも動作する。社員が利用しているPCだけでなく、さまざまなネットワークデバイスやサーバについても同じようにポリシーへの適合状況を検査することができるし、「同じ企業であっても、業務上重要な場所と、来客スペースなど比較的オープンな場所とでは環境が異なる。そのどちらにも対応できる」（KCCS、IPサービス事業本部セキュリティ事業部技術部長の郷間佳市郎氏）

　スイッチについても、Ciscoのほか、Extreme Networks、3ComやEnterasys Networksなど、主だったベンダーの機器が利用でき、新たにデバイスを導入する必要はない。さらに「Cisco Aironetシリーズ」をサポートしており、他の無線LANアクセスポイントも順次対応していく計画という。KCCSでは今後、NECやアライドテレシス、日立電線といった国産ベンダーのスイッチについても対応、検証を行う計画だ。

　なお、802.1x認証やVLANに対応していないダムハブ配下のデバイスについては、MACアドレスを元にアクセスコントロールを実施できる。認証情報については、RADIUSやActive Directoryのほか、いまだに多くの企業で利用されているNTドメインとの連携が可能だ。また、PC側が802.1xサプリカントを備えていないときのために、Web経由でログインする仕組みも備えている。

　「アプライアンスであるためすぐに導入でき、しかも追加のネットワーク機器やサーバなどを導入する必要がない」（郷間氏）。結果として、コストを抑えることにもつながるという。

　もう1つの特徴は、インライン型アーキテクチャを採用していないこと。このため、Lockdown Enforcerがネットワークのボトルネックを引き起こさないという。「ポリシーに適合していると認められたものについては、不要な遅延を起こさない」（郷間氏）

　いったん認証を行った後の継続的な検査も可能だ。たとえば「最初の接続時は必要最低限の項目を検査するクイックチェックを行い、ユーザーにストレスを与えることなくネットワーク接続を行う。その後、バックグラウンドでより深いレベルのチェックを行い、重要なネットワークへのアクセスの可否を判断する、といったことが可能だ」（ヘルセル氏）

「Enforcerは金融機関や医療機関、大学などで導入されている」と述べた米Lockdown NetworksのCEO、ブレット・ヘルセル氏

　今後は、米SOX法／日本版SOX法に代表されるさまざまな法規制に準拠した形でのセキュリティ対策も求められるようになる。コンプライアンス対応という意味合いでは、「レポーティング機能が充実しているため、セキュリティ状況を容易に把握でき、監査および改善に活用できる」（ヘルセル氏）。KCCSでも、日本版SOX法の法制化動向をにらみつつ、システム構成／変更管理ツールの「Ecora」などを組み合わせ、対応を支援していくという。

　Lockdown Enforcerは1台で約4000端末まで検査／制御を行うことができ、米国での価格は2万4995ドル。国内での価格は検討中だが、3月1日より販売を開始する。また、複数のLockdown Enforcerを管理する「Lockdown Commander」、地方拠点向けの「Lockdown Whip」といった製品も用意しており、2006年上半期中にリリースする方針という。