必要なトラフィックに必要なセキュリティを――エクストリームがセキュリティ新製品

エクストリーム ネットワークスは、同社のCLEAR-Flow技術を生かした2種類のセキュリティ製品を提供する。

[高橋睦美，ITmedia]

　エクストリーム ネットワークスは6月1日、新たに2種類のセキュリティ製品を提供することを発表した。

　同社の主力製品は「BlackDiamond」「Summit」といったスイッチ製品だが、セキュリティについてもネットワークベンダーならではの強みを生かしたアプローチを取っていく方針だ。そこで中心的な役割を担うのが、セキュリティルールエンジン「CLEAR-Flow」を実装した専用OS「ExtremeXOS」である。

　エクストリームが描くアーキテクチャでは、まずネットワークを流れるトラフィックをCLEAR-Flowによって「可視化」し、「制御」する。その上で、何らかの対処が必要な通信に対し、ウイルス／ワームやDoS攻撃からネットワークを防御するセキュリティリソースを仮想化によって適材適所で提供する。同社はこれを「バーチャルセキュリティリソース」（VSR）と表現している。

　VSRの利点の1つは、コアスイッチ側で集約したトラフィックの中から必要な部分を抜き出してセキュリティ機能を提供することで、集中管理を実現し、高い投資効果を得られること。また、多くのセキュリティ機器ではマルチギガビットがパフォーマンスの壁となっているが、VSRでは物理的なワイヤーのパフォーマンスに影響を与えることなく、動的にセキュリティを提供できるという。

　「ネットワークの挙動を監視し、それに基づいてネットワーク全体のセキュリティ対策を提供していくことがわれわれの理想」（同社代表取締役社長の井戸直樹氏）。既存のスイッチとExtremeXOSというソフトウェア、さらにセキュリティアプライアンスを結びつけることで、それを実現していくという。

　エクストリームは2005年5月に、このアーキテクチャを生かしてIDS／IPS機能を提供する最初のセキュリティアプライアンス「Sentriant」をリリースした。今回の発表はそれに続くもので、新たに検疫ネットワークを実現するソフトウェア製品「Sentriant AG Network Access Control」（Sentriant AG）と、ネットワークを転送されるデータを暗号化するアプライアンス「Sentriant CE150」が追加される。

　Sentriant AGは、エクストリームのスイッチが備える認証機能と連動し、ネットワークに接続される端末がセキュリティポリシーを満たしているかどうかをチェックする検疫ネットワーク機能を提供する。特徴は、さまざまなネットワーク構成に柔軟に対応できることだ。端末検査には専用エージェントソフトも提供されるが、ActiveXやエージェントレスでの検査も可能だ。また、認証VLAN、DHCPの両方式に加え、インラインでの動作もサポートする。

　一方Sentriant CE150は、IPSecによる暗号化を行うアプライアンス製品だ。これも、流れるトラフィックすべてを暗号化するのではなく、ポリシーに応じて「特定のアプリケーションのみ」「特定の拠点間のみ」といった具合に、選択的に暗号化を行うことができる。アプライアンス単体で動作させることも可能だが、BlackDiamondなどのスイッチと連携させることにより、ネットワークのトラフィックに影響を与えることなく暗号化が可能になるという。

　両製品の価格はいずれも未定だが、7月初旬より出荷を開始する計画という。