シスコシステムズは10月19日,同社が推進する「SDN(Self-Defending Network)」構想を強化すると発表した。セキュリティ・ポリシーを満たさないノードの社内ネットワーク接続を保留し,適切なセキュリティ対策を実施させる仕組み「NAC(Network Admission Control)」を拡張する。
従来のNAC Phase 1では,シスコのルーターやVPN装置(VPN3000)にアクセス制御機能を搭載していたが,今回拡張したNAC Phase 2ではシスコのスイッチや無線LAN機器もサポート。これらの機器に接続してきたパソコンに対してもセキュリティ・ポリシーをチェックして,不足しているセキュリティ対策を実行させられる。
NAC Phase 2で新たに対応する機器は,Catalyst2900/3500/3700/4000/4940/6500の各シリーズ,Catalyst6500シリーズワイヤレスLANサービスモジュール,Aironetアクセスポイント,Aironet Lightweightアクセスポイント,Wireless LAN Controllerプラットフォーム。これらの機器のOSと,クライアント・パソコンにインストールする「Cisco Trust Agent」,および「Access Control Server」のバージョン・アップが必要。
同社の「ミスターNAC」ことラッセル・ライス セキュリティ・テクノロジー・グループ担当マーケティング・ディレクタ(写真)に話を聞いた。
--企業のセキュリティ対策で必要なことは何か。
シスコは企業がキュリティへの考え方を変えてきているところに着目し,それに対応しようと考えている。どの企業でもセキュリティを強化するために,三つの技術を展開している。それはウイルス対策,ファイアウォール,VPN(仮想閉域網)だ。
だがこれらでは解決できない問題もある。ネットワーク・セキュリティにおける「脅威」のあり方が変わってきているからだ。例えばDoS(サービス妨害)攻撃が短時間で実行されるようになっていたり,ネットを使った不正なお金の引き出しなどが発生。情報漏えいのような問題も新たに浮上している。また企業は,スパイウエアやフィッシングに対しても何らかの対策が必要だと理解している。
法規制の体系も大きく変わってきた。米国ではSOX(サーベンス・オクスレー)法,そして日本では個人情報保護法が施行された。つまり規制上でもきちんと情報を守り,セキュリティを確保していくという要件も出てきたのだ。
--シスコはどういうセキュリティ・ソリューションを提供すべきだと考えるか。
こうした問題に対応するため,企業はセキュリティに関する考え方の本質を変えて対応する必要がある。シスコはこうした問題に対するソリューションを提供する。
我々はSDN(self-defending network)という考え方を展開している。主眼を置いているのは,脅威を特定し防御することだ。
SDNには三つのコアがある。その一つは,ネットワークのシステムに防衛機能を統合すること。つまり,ルーターやスイッチ,セキュリティ装置のシステムにアクセス制御やVPN,侵入検知の機能を組み込むわけだ。二番目は「コラボレーション」。様々なセキュリティ技術を一つのシステムにまとめ上げていくことだ。この分野ではNACが,今後のネットワークの防衛に関して大きな流れ作る仕組みである。
そして三つめは,脅威が発生したときにいかに迅速に対応するかということになる。
--NACのポイントを教えて欲しい。
NACが目指すところは制御のレベルを上げて,企業の管理下にあるすべてのデバイスがセキュリティ・ポリシーを満たすようにすることだ。法規制も変化してきたので,監査やガバナンスをきちんと行えることも含まれる。
NACでは,何らかのデバイスがネットワークに入ってくるときに,しかるべきセキュリティ・ポリシーを満たしていればアクセスを許可する。ポリシーを満たしていなければ,それをネットワークから隔離し,そのデバイスが問題を修正するまでアクセスを制限する。この要求は接続の形態にかかわらず,すべてのデバイスに対して適用されなくてはならない。
NACのような技術は過去数年間,最も注目され期待度が高い技術の一つだった。ますますその注目は高まっている。企業のネットワーク・セキュリティに対する興味が高まるのは確実だろう。シスコの見通しでは,今後3~4年で大企業はもちろん中小企業でもこうした技術を全面的に展開していくことになると見ている。
シスコがNACの「Phase 1」に相当するものを出したのは2004年6月。この時点ではルーターとVPN3000をサポートしていた。適用されたのはネットワークの境界部分だ。そして今回発表したのは「NAC Phase 2」,NACの第二段階だ。ネットワークの境界部分だけではなく,LANや無線の部分でも端末を調べられるようになった。
新しいデバイスをスイッチのポートに接続したとき,ポートに接続しているのがそのデバイスだけか,ハブを介しているか,あるいはIP電話を介しているのか。スイッチにインテリジェンスを持たせることで,こうした今までになかったケースも認識して管理の枠組みに入れられるようになった。無線を使ってアクセスしてくるデバイスに対しても,同じように制御できる。
そしてこうした制御の仕組みを展開していくには,四つのステップを踏むことになる。
--その4ステップとは。
一つは「発見」。つまりどんなアセット(IPアドレスを持つすべてのデバイス)がネットワークに接続してきたことをきちんと特定することだ。
二番目は「評価」。アクセスしてきたアセットがセキュリティ・ポリシーをきちんと満たしているかを確認する。そのアセットは管理下にあるのかどうか。最新バージョンのウイルス対策ソフトを導入してパターン・ファイルを更新しているか。OSの最新の修正版を適用しているかをチェックする。
三つ目は「執行」。アセットに対してどこまでアクセス権を与えるかを評価して実行する。きちんと認証され“健全性”が確認されたアセットであればアクセスを認める。ポリシーを満たしていなければ隔離する。
そして四つ目は「修正」だ。アセットに問題があれば修正して,ポリシーを満たす状態にする。ウイルス対策ソフトを適切な状態にしたり,OSにしかるべきパッチが適用したうえでアセットとして認め,アクセス権を与える。
この4ステップのうち発見と執行で,ネットワークが果たす役割は大きい。だからシスコはNACに深くかかわっている。