日立電線はセキュリティ機能をレイヤー3/4対応とした企業向けレイヤー2(L2)スイッチを投入した。狙いは,IPアドレスやTCPのポート番号など多彩な情報を基にアクセス制御を実施できるようにすること。安価なスイッチを使いつつ,IP電話機の識別やWAN越しの認証を実現したいというユーザーのニーズに応える。
日立電線は,オフィスの“島ハブ”を束ねるLANスイッチ用のセキュリティ機構「AccessDefender」を開発した。1月末には,同機構を初めて搭載したL2スイッチ製品「Apresia4328GT」を発表した。
特徴は,IPアドレスやポート番号といったレイヤー3スイッチ並みの情報を認証情報として使える点。日本では一般的な,ハブやIP電話機を介して複数の端末がスイッチにつながる“島文化”の環境でも,個々の端末を識別・認証できるようになる(図1)。出荷開始は2月。価格は52万5000円である。
 |
| 図1●日立電線のLANスイッチ向けセキュリティ機能「AccessDefender」 認証を中心にLANのセキュリティ維持に必要な機能を統合したほか,それらの機能で利用可能な識別子をレイヤー4にまで拡張した。 |
ポート番号などで認証を制御
レイヤー3/4の情報を扱えるようにした目的は,LANの利用実態に合った認証ルールを設定できるようにすること。「パソコンなら認証を要求するが,IP電話は無条件にフレームを通す」,「島ハブ越しでも端末を識別して認証する」といったニーズに応える。通常のL2スイッチではMACアドレス程度しか識別できないため,こうした使い方は難しい。
AccessDefenderは,アプリケーション・レベルまでの情報を基にパケットを制御するセキュリティ装置向けのソフトから,ルーティングなどの機能を削ぎ落としたものである。企業のLANで必要なセキュリティ機能を統合するという同社の「iUTM」(internal UTM)構想に基づいて実装した。
例えば,IPアドレスやプロトコル種別といったレイヤー3/4の情報に応じて認証機能のオン/オフを自動的に切り替える「認証Bypass」,ポートやスイッチごとに接続端末数の上限を設定する「接続端末数制御」といった機能を持つ。認証Bypassでは,VoIP関連のプロトコルを使う場合には認証をスルーさせるといったルールを設定できる。こうすれば,不審なパソコンを排除しつつ,同じスイッチを使ってIP電話機を簡単に利用できるようになる。
同社は今後,AccessDefenderをほかのラインアップにも搭載する計画。2008年4月末をめどに,現行機のApresia4348GT,同13000-48Xを無償でアップグレードする。
2008年秋以降には,主に処理能力に余裕のある上位機向けとして,AccessDefenderの機能強化を図る。具体的には,レイヤー3/4の情報だけを認証に使う「ゲートウェイ認証」機能を追加する。IPアドレスやポート番号を識別子として使うことで,WANを介した通信でも端末を認証できる。ポート番号ごとに別のバーチャルLANに振り分けるような制御も可能になる。
日立電線は同時に,従来製品で認証機能の利用料として課金してきた1台当たり10万5000円のライセンスを撤廃。実質的に値下げした。
