ネットワークのあらゆる機器が「実施ポイント」になる、とCisco

米Cisco Systemsのセキュリティ担当シニアマネージャ、スコット・ポープ氏に「インテリジェントなネットワーク」を通じたセキュリティの実現について聞いた。

[高橋睦美，ITmedia]

　「コネクションという側面だけでなく、セキュリティやアプリケーションを実現するものとして、ネットワーク上のあらゆるポイントが管理を行い、ポリシーを実施し、設定を行う。Ciscoの製品すべてがそうしたビジョンに沿って開発されている」――米Cisco Systemsのセキュリティ担当シニアマネージャ、スコット・ポープ氏はこのように語った。

　同社は先週開催されたRSA Conference 2006に合わせ、いくつかの新製品をリリースしている。統合セキュリティアプライアンスの「ASA 5500シリーズ」には、SSL VPN機能に加え、より深いレベルでさまざまな脅威を検出するコンテンツセキュリティ機能が搭載された。

　また、セキュリティ情報の相関分析を行う「CS-MARS」や管理ツール「Cisco Security Manager」（CSM）をアップデートし、ネットワーク全体のポリシー管理とイベント情報収集を行えるようにした（関連記事）。これにより「より多くの情報に基づいて、ずっと管理がしやすくなる」という。

　こうしたセキュリティ機能強化の背景には、インテリジェントな情報ネットワークを通じて情報を収集し、ネットワーク自身が適切な判断を下せるようにしていく、という目標があるとポープ氏は述べた。その意味で、同社が2005年6月に発表した「Application-Oriented Networking」（AON）ともつながるものだという。

米Cisco Systemsのセキュリティ担当シニアマネージャ、スコット・ポープ氏

　「Microsoftなど、エンドポイントのみにフォーカスしている他のベンダーとの違いはそこ。われわれはあくまでネットワークのインテリジェンスにフォーカスしている」（同氏）

　ネットワーク自身が状況を把握し、ポリシーに基づいて判断を下せるようになれば、ますます高度化する脅威へのプロアクティブな対応も可能になるとポープ氏は述べた。

　たとえば同社は、「Cisco Network Admission Control」（NAC）によって検疫ネットワークやエンドポイント保護の仕組みを提供するほか、トレンドマイクロと協力し、ウイルスやワームが発生した際に拡散を防ぐ緩和ポリシーをルータやスイッチに配布する「Cisco Incident Control System（Cisco ICS）」を発表している。

　「こうしたテクノロジは、シグネチャに頼る防御方式に比べれば大きな進歩だが、それでもまだリアクティブ。インテリジェンスを載せたCSMが、CiscoのルータやスイッチからSyslogやNetFlowを通じて情報を収集し、ビヘイビア分析を加えて適切な対応を取ることにより、いっそう複雑な脅威にもプロアクティブに対応できる」（ポープ氏）

　相関分析によって迅速に脅威を特定し、あらゆるポイントが「ポリシー実施ポイント」として動作するインテリジェントなネットワークを通じて、ビジネストランザクションの基盤として信頼するに足る「より高いセキュリティを実現し、トラフィック処理やコミュニケーションを現実のものにしていく」と同氏は述べている。