米ConSentry Networks社長兼CEO(最高経営責任者)のTom Barsi氏
米ConSentry Networks社長兼CEO(最高経営責任者)のTom Barsi氏
[画像のクリックで拡大表示]
日商エレクトロニクスがInterop Tokyo 2006の会場で展示したLANShieldシリーズ2機種。CS2400(写真下)と,国内初展示となるCS4048(写真上)
日商エレクトロニクスがInterop Tokyo 2006の会場で展示したLANShieldシリーズ2機種。CS2400(写真下)と,国内初展示となるCS4048(写真上)
[画像のクリックで拡大表示]

 企業ユーザーによる社内LANへのアクセス状況を,クライアントPCをネットワークに収容するエッジ(境界)部分で監視する---。米ConSentry NetworksのLANShieldシリーズは,個々のユーザーごとの内部統制セキュリティに注目した新たなネットワーク機器である。Interop Tokyo 2006に合わせて来日した社長兼CEO(最高経営責任者)のTom Barsi氏に,内部統制の市場動向と同社製品の意義について聞いた。

---従来,ファイアウォールに代表されるセキュリティ・ゲートウエイ機器は,社外からのアクセスに対処したり,サーバー機のフロントエンドに設置するものだった。一方,社内のセキュリティ対策は,エッジ・スイッチのVLANを用いたウイルスの検疫などが一般的だった。

Barsi氏: 米ConSentry Networksの創立メンバーで会長兼CTO(最高技術責任者)のJeff Princeは,米Foundry Networks創設者だ。米ConSentry Networksを始めた2003年は,時代の転換期にあたる。ネットワーク機器は,接続性を提供していた時代から,コントロールする時代になりつつあった。パケットを転送する時代からパケットを制御する時代になったということだ。

 現在,多くのベンダーがセキュリティ機器を出荷しているが,セキュリティ・ポートの単価は,平均して1ポートあたり2500ドルもするのが現状だ。一方でエッジ・スイッチ用のギガビット・ポートはわずか200ドルに過ぎない。我々は,エッジ・スイッチの価格でセキュリティ・ポートを実現できないかと考えた。

 だが,レイヤー7までのステートフル・パケット・インスペクションを実現するためには,ASIC(特定用途向けIC)では不十分だ。そこで,マルチスレッドCPUを採用したカスタム・シリコンとソフトウエアの組み合わせにより,性能と低価格を実現した。シリコンは一般的なネットワーク機器同様,コモディティ化された技術を用いた。中国のODM(Original Design Manufacturer)ベンダーが生産している。

---LANShieldシリーズはどこに設置するのか。例えば,エッジ・スイッチとして使わない以上,同じエッジ・スイッチに収容している従業員間の通信は,ミラー・ポートに接続しない限り監視できない。

Barsi氏: まずはエッジ・スイッチの背後,コア・スイッチの手前にインラインで設置する「LANShield Controller」を出荷した。既存のエッジ・スイッチをそのまま利用可能であり,ネットワークの設定に手を加える必要がない。主に,SOX対応などのコンプライアンス需要で人気を呼んだ。どの情報システムに誰がどのくらいアクセスしているのか,といったことが分かる。

 ところが,LANShield Controllerでは,同じエッジ・スイッチに収容しているユーザー同士の間の通信を監視・制御できない。また,エッジ・スイッチを買い換えるタイミングであれば,LANShieldシリーズがそのままエッジ・スイッチを兼ねると便利だ。2006年5月に米国で開催されたInterop LasVegas 2006では,新製品としてエッジ・スイッチ型の「LANShield Switch」を出展した。

 LANShield Controllerは,インライン設置用にファイバ・ポートを10ポート持つ「CS1000」と,24ポート持つ「CS2400」の2機種で構成する。一方のLANShield Switchは,クライアントPCを収容するカッパー(銅線)ポートを48ポート持つ「CS4048」だ。CS4048では,当然だが,PoE(Power over Ethernet)が使える。現在はまだインライン型のLANShield Controllerしか市場に出ていないが,2006年後半のLANShield Switch出荷を経て,2007年から2008年くらいには,主流はインライン設置型からエッジ・スイッチ型に移行していくだろう。

---監視や統計という使い方をしない場合,つまり,ユーザーごとのVLANの割り当てといった検疫ネットワークとしての使い方だけに限定しても,LANShieldシリーズはメリットがあるのか。逆に,ユーザーを監視する需要はどのくらい大きいのか。

Barsi氏: 現状のネットワーク・セグメント(個々のVLAN)は粗い。本来は,ユーザーごと,アプリケーションごとにセグメントが分かれていなければならない。しかし,高いレイヤーを意識したポリシー・ベースのアクセス制御は,ASICベースでは無理な相談だ。しかも,既存のVLAN機器では,論理的な部分でネットワークがスパゲッティ状態になる。LANShieldシリーズはソフトウエア・ベースでありインテリジェンスを持っている。

 コンプライアンスの観点から,ユーザーを監視する需要も大きい。事例を示すと,例えば,航空会社の米Continental Airlinesは,社内でポリシー違反を発見するためにLANShieldシリーズを使っている。米Omneon Video Networksは,LANShieldシリーズを導入して数時間でワームを送信しているクライアントPCを発見した。同社では,ネットワークの性能改善にもなった。ビデオ映像のストリーミング量の多いユーザーが分かったからだ。

---日本市場をどのくらい重視しているのか。

Barsi氏: 前四半期の売上のうち,実に30%が日本市場での売上だった。2006年の売上目標は2500万ドルだ。3~4週間後には日本にオフィスを作り,カントリー・マネージャを配備する。私自身も2カ月に1回は日本に来る予定だ。日商エレクトロニクス,ノックス,マクニカネットワークスという販売パートナと協力して売上を伸ばす。NECや富士通などのハードウエア・ベンダーへのOEM供給も積極的に狙う。システム構築を担うSIベンダーにも働きかける。