検疫ソリューションのLockdown、「NACは日本でも定着する」

既存のインフラを変えずに容易に検疫ネットワークを実現するアプライアンスを開発する米Lockdown Networks。同社の副社長、ダン・クラーク氏は「コンプライアンスが重要なのではなく、それを順守させる仕組み作りが大事」という。

[井上猛雄，ITmedia]

　米Lockdown Networksの「Lockdown Enforcer」は、既存のインフラを変更せずに検疫ネットワークを実現できる統合型セキュリティアプライアンスだ。ネットワークに接続しようとする端末に対して認証を行ったうえで、その端末がセキュリティポリシーにのっとっているかを検査し、適切なネットワークへアクセスさせる「NAC（Network Access Control）」と呼ばれるソリューションを実現する。同製品は現在、京セラコミュニケーションズ（KCCS）が国内の販売代理店となっている。「Interop Tokyo 2006」で来日したLockdown Networks副社長のダン・クラーク氏に同製品の特徴について聞いた。

Lockdown Networks マーケティング担当副社長、ダン・クラーク氏

ITmedia　Lockdown Enforcerをアプライアンス製品にした理由について教えてください。

クラーク　アプライアンス製品は閉じられた1つのボックスの中に機能を凝縮することで、セキュリティの強度を高く保てるメリットがあります。OSもLinuxベースのセキュアなものを採用しています。また、わずらわしい設定をせずにすぐに導入できる点も理由の1つです。

ITmedia　競合他社の製品との違いは何でしょうか。

クラーク　Lockdown Enforcerは、既存のインフラを変更せずに設置できる点が他社製品との大きな違いです。インライン型ではないため、ネットワークを遮断することがなく、ネットワーク性能に対して影響を与えることもありません。また、検査対象となる端末に対して、エージェントを導入することなく検疫機能を実現することができます。もともとセキュリティ分野に関しては会社設立時から脆弱性診断ソリューションを中心に扱ってきたこともあり、ノウハウを持っているわけです。

Lockdown Enforcer

製品の連携範囲を広げてパッチ適用を可能に

ITmedia　マネージドスイッチや無線AP、認証サーバなど、さまざまな既存製品に対応していますが、これ以外に何か対応する予定はありますか？

クラーク　検査対象となる端末については、インテルのAMT（Active Management Technology）によるチップレベルでのエンフォースへの対応や、マイクロソフトのNAP（Network Access Protection）への対応があります。また、既存のインフラに関しては、「i-NAC」（intelligent-Network Access Control）の技術を利用することによって、ネットワーク上にあるセキュリティデバイスやアプリケーションとの情報交換が可能になるため、製品の連携範囲をさらに広げられるでしょう。例えば、Enterasys Networksの「Dragon Network Sensor IDS」との連携はその好例でしょう。

ITmedia　検疫後の治療プロセスも重要となりますが、パッチマネジメントとの連携は？

クラーク　現在のところ、治療プロセスにおけるパッチの適用は、ユーザーがマニュアルで処理するようになっています。これについても、i-NACの技術を使えばパッチマネジメントシステムとの連携が可能になります。まだ具体的な製品名を公表できる段階ではありませんが、すでに2社のパッチマネジメント製品との連携がとれるようになっており、検疫ネットワークで隔離されたクライアントPCに対して、自動的にパッチを当てることが可能です。

ITmedia　大規模LANやブランチオフィスへの対応は？

クラーク　Lockdown Enforcerを集中管理するために「Lockdown Commander」という製品も投入していく予定です。Enforcerでは32台までのインベントリ管理に対応できますが、これは導入規模が大きくなったときに必要となる製品です。配置されたEnforcerのコンフィグレーションを1つずつ設定するのではなく、Commander側で一括設定してその情報を各Enforcerに送ったり、ログやリポーティングをまとめて表示することが可能です。一方、「Lockdown Sentry」という製品を利用すれば、社内LANだけでなくVPNでつながれたブランチオフィスまで、検疫の対象範囲を広げることができます。

ITmedia　日本ではJ-SOX法の施行へ向けて、その対策が急務となっています。NACソリューションが果たす役割とはどのようなものでしょうか。

クラーク　NACソリューションは、J-SOX法においてかなり重要な役割を占めるようになると考えています。というのも、日本ではまだセキュリティポリシーの考え方がしっかりしていないことが多いからです。最も大事なことは、コンプライアンスがあることではなくて、それをしっかりと順守させるような仕組みを作ることです。J-SOX法対応のためにLockdown Enforcerを利用すれば、ユーザーがどのようなポリシーでアクセスしているのかをリスト化したり、ログとして残すこともできるので、J-SOX法対策で有効に働くと考えています。

Interop TokyoのKCCSブースでデモされていたLockdown Enforcerの管理画面。日本向けにローカライズされ使いやすくなっている

ITmedia　日本市場における今後の戦略と展開について教えてください。

クラーク　2年前はNACというキーワードはほとんど知られていませんでした。米国では、今年になってからFortune500のうちの300社以上がNACソリューションを導入、または検討しているというリポートも発表されました。日本においても、NACソリューションのマーケットは広がっていくでしょう。パートナーであるKCCSは、日本のセキュリティ／ネットワーク分野で豊富な経験と実績を持っています。KCCSからは、予定していたスケジュールよりも2カ月も早くEnforcerのローカライズ版がリリースされました。今後とも同社と協力してNAC技術による検疫ソリューションの拡販に力を入れていきたい。