ネットワーク接続時に端末の状態を検査し,治療する検疫ネットワーク。Interop Las Vegas 2007では,これまで問題とされてきた異種ベンダー間の相互接続性の確保への道筋と,新手の攻撃から身を守る技術の姿が見えてきた。現地レポートでお届けする。

 2007年5月20日~25日,米国ラスベガスでコンピュータ・ネットワーク関連のイベント「Interop Las Vegas 2007」が開かれた(写真1)。

写真1●Interop Las Vegasの会場になったMANDALAY BAY Hotel and Casino
写真1●Interop Las Vegasの会場になったMANDALAY BAY Hotel and Casino

 特に勢いがあったのが検疫ネットワーク関連の展示やセミナーである。検疫ネットワークとは,ネットワークにつながる端末を認証・検査・隔離・治療するシステムの総称。検査のフェーズでは,最新セキュリティ・パッチの適用の有無やウイルス対策ソフトの動作などを確認する。もし,最新パッチが当たっていないなどの問題があれば端末を隔離し,パッチを当てて治療した後,業務用ネットワークに接続を許可する。2003年に発生したワーム「Blaster」が,端末にパッチが当たっていなかったために被害が拡大したという教訓から生まれたセキュリティ・ソリューションである。

 展示会場のセキュリティ・ゾーンを見回すと,ほとんどが検疫ネットワーク関連製品で占められていた。また,セミナーではNAC Dayと題して丸1日,検疫ネットのチュートリアルが行われたほか,ベンダーや主催者による検疫ネット関連のワークショップが数多く開かれ,どれも立ち見が出るほど盛況だった。

 Interop Las Vegas 2007で見えてきた検疫ネットワークの新しい動きは二つある。一つは,これまでベンダーによってばらばらだった製品間の相互接続性を確保しようという動き。もう一つは,ウイルス対策ソフトの導入や最新セキュリティ・パッチの適用では防げない標的攻撃ルートキットの埋め込みなどへの対抗策の登場である。

MSとTCGが相互接続性確保で合意

 まず相互接続に関しては,5月21日,米マイクロソフトとコンピュータ・セキュリティの標準化団体であるTrusted Computing Group(TCG)が検疫ネットワークで相互接続性を確保していくことを発表した。TCGには,米インテル,米ヒューレット・パッカード,加ノーテルネットワークス,米ジュニパーネットワークスなど,米シスコシステムズを除く有力ネットワーク機器ベンダーが多く参加している。

 これまでマイクロソフトは「NAP」(network access protection),TCGは「TNC」(trusted network connect),米シスコシステムズは「NAC」(network admission control)という名称で,それぞれ検疫ネットワークを推進してきた。ところが,プロトコルが違うため,それぞれの準拠製品の間で相互接続性はなかった。もっとも,どの仕様も基本的な仕組みは同じである。ネットワークにアクセスしてきた端末に対して認証を要求。端末側でOSやアプリケーションの状態を収集させ,その結果を検証サーバーに送らせる。その検証結果を基に制御情報をスイッチやVPN装置に伝え,ネットワーク接続の制御を行うというものだ(図1)。

図1●検疫ネットワークのモデル
図1●検疫ネットワークのモデル
Trusted Computing Groupが定めたTNC(trusted network connect)を参考に作成した。今回,米マイクロソフトとTCGは,TNCクライアントとTNCサーバーの間でやり取りする新プロトコルを決めたことを明らかにした。
[画像のクリックで拡大表示]

 今回相互接続に向けた第1弾として,マイクロソフトとTCGの間で「IF-TNCCS-SOH」というプロトコルが新たに定められた。端末の状態を収集し,検証サーバーに通知するためのものである。これを共通化することで,NAPクライアントとTNC対応の検証サーバー,TNCクライアントとNAPサーバーの間で相互に情報をやり取りできるようになる。

写真2●米マイクロソフトと米ジュニパーネットワークスの検疫システム相互接続性デモ
写真2●米マイクロソフトと米ジュニパーネットワークスの検疫システム相互接続性デモ
マイクロソフトのNAPクライアント(ノート・パソコン)とジュニパーのインフラネット・コントローラ(モニター下の青いアプライアンス)が連携して動作していた。
[画像のクリックで拡大表示]

 マイクロソフトはWindows VistaでIF-TNCCS-SOHに対応する。また2007年末に登場すると見られるWindows XP Service Pack 3でも対応する見込み。検証サーバーの機能はWindows Server 2008でサポートする。

 一方,TNCに準拠した製品を投入しているネットワーク機器ベンダーやソフトウエア・ベンダーは,IF-TNCCS-SOHに準拠した製品を今後投入していくことで,マイクロソフトのNAP対応OSと連携動作できるようにする。例えば,ジュニパーネットワークスは「2008年後半には相互接続性を確保した製品を出荷できる」(マイクロソフト・グローバル・アライアンスのマーク・マディガン上級マネージャ)という。

 会場ではWindows Vista,Windows Server 2008,ヒューレット・パッカード,ジュニパーネットワークスなどの製品間で相互接続デモが行われ,試作製品が問題なくつながる様子をアピールしていた(写真2)。

今後の注目はシスコの動き

 TCGに参加していないシスコは,マイクロソフトのWindows Vista/Server 2008でNAPとNACの相互接続性を確保することを2006年9月に発表している。これが実現すれば,NAPクライアントはTNCのサーバーとNACのサーバー両方に接続できるようになる。NAPサーバーはNACクライアント,TNCクライアントともつながる。そう考えれば,TNCとNACも相互接続性の確保が約束されつつあるように見える。

 ところがTCGはリリースの中で,「今回の発表はシスコのNACとの相互接続性の話ではなく,NAPとTNCの相互接続性を保証するもの」とあえてコメントした。このため,TNCとNACの相互接続性の確保については,いまだ不透明な状況にある。