三井物産セキュアディレクションは12月1日,米Mirage Networksのセキュリティ・アプライアンス「CounterPoint」の新モデル「C-125」と,同アプライアンスのファームウエアの新版「Mirage NAC 2.3」の国内販売を開始した。CounterPointはLANでのワーム拡散などを防止する製品。C-125は50台以下のマシンで構成されるLANを対象とするエントリ・モデル。NAC 2.3を搭載したCounterPointでは,他社製品と組み合わせることで,クライアント・マシンにエージェントなどをインストールすることなく検疫ネットワーク(検疫システム)を実現できるという。
CounterPoint(旧名は「Mirage Inverted Firewall」)は,LANを流れるパケットを監視して,異常な振る舞いをするマシンを他のマシンと通信できないようにするセキュリティ製品(関連記事1,関連記事2)。
例えば,多数のパケットを手当たり次第に送信しているワーム感染マシンを検出すると,そのマシンのARPテーブルを書き換えてCounterPointとしか通信できないようにする。つまり,事実上そのマシンを隔離することができる。ワームなどの特徴を収めた「シグネチャ」ではなく,マシンの振る舞いで感染の有無を判断するので,「新しく出現したワームにも対応できる」(Mirage NetworksのWorldwide Channels担当副社長 Thomas Brand氏)。
CounterPointの現行モデルは,保護対象のクライアント数が2000までの「C-245」および500クライアントまでの「C-145」の2タイプ。今回,50クライアントまでを対象とするC-125を発売した。価格は,C-245が365万円,C-145が270万円,C-125が98万円(いずれも税抜き)。
併せて今回,機能を拡張したファームウエアNAC 2.3を発表。C-125や今後出荷されるC-245やC-145にはNAC 2.3が搭載されて販売される。既に販売されたC-245/C-145についても,保守契約を結んでいれば,無償でNAC 2.3にアップグレードできる。
NAC 2.3では,セキュリティ状態に問題があるマシンがLANに接続された際には,そのマシンを隔離できる機能を追加した。いわゆる検疫ネットワークを実現できるようになった。ただし,セキュリティ状態のチェックには他社製品を用いる必要がある。現時点でCounterPointと連携可能なのは,米McAfeeの「Foundstone Vulnerability Management System(以下,Foundstone)」。Foundstoneは,マシンに存在するセキュリティ・ホールをリモートからチェックできる製品。
同製品と連携することで,「新しく接続されたマシンを検出したCounterPointがFoundstoneに通知。そのマシンに対してFoundstoneがセキュリティ・ホールのチェックをおこない,その結果をCounterPointに通知する。問題がある場合には,CounterPointはそのマシンを隔離して,そのマシンのWebトラフィックを修正パッチなどを置いたパッチ管理サーバーへリダイレクトする」---といったことが可能になる。
CounterPointとFoundstoneを連携させて検疫ネットワークを実現する場合の利点は,「クライアント・マシンにエージェント・ソフトをインストールする必要がないこと」(Mirage NetworksのSupport Servicesディレクタ Grant Hartline氏)。「エージェントを使えば,各マシンのセキュリティ状態を詳細に調べることはできる。半面,管理は大変である。クライアントの台数が多い,あるいはクライアントの環境が統一されていない大企業や大学などでは,エージェント・ベースの検疫ネットは適さない」(同氏)
とはいえ,エージェントを使ってクライアントのセキュリティ状態をチェックするシステムと連携することも可能である。実際,その計画もあるという。「現時点では詳細について言えないが,近いうちに何らかの形で発表したいと考えている」(Thomas Brand氏)
◎参考資料
◆Mirage CounterPoint(旧称:Inverted Firewall) (三井物産セキュアディレクション)
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
