シマンテックは8月28日,今年10月に出荷する検疫ネットワーク構築ソフト「Symantec Network Access Control 11.0」について,機能の詳細を公表した。「従来の検疫ネットワーク製品は,スイッチの入れ替えやネットワークの再構築をユーザーに強いるものが多かった。Endpoint Protectionは,そういった“弱点”を補っている」と,プロダクトマーケティング部の山中 幸代氏は説明する。
Symantec Network Access Control(SNAC)は,クライアントPCに導入するエージェント・ソフトと,それらを制御する管理者用ソフトから成る。各エージェント・ソフトは,管理者用ソフトで作成したポリシーを基に,クライアントのセキュリティ対策状況をチェックする。具体的には,ウイルス対策ソフトの定義ファイルのバージョン,OSのパッチ適用状況,レジストリの値,特定ファイルの有無,特定プロセスの稼働状況などが対象である。ポリシーに合致しないクライアントは,社内ネットワークから閉め出す(写真)。
その手法には4つの方式があり,ユーザーは既存システムの状況やセキュリティ・ポリシーに応じて,いずれかを選択できる。「導入のハードルを下げるため,柔軟性を高めた」(山中氏)。
1つめは,「セルフエンフォースメント」である。シマンテックがやはり今年10月に出荷するクライアント用ウイルス対策ソフトの新版「Symantec Endpoint Protection 11.0」のパーソナル・ファイアウォール機能を使って,通信を制限する機能である。クライアントのセキュリティ対策状況がポリシーに合わない場合に,パッチ配布サーバーなどとしか通信できないようにする。Endpoint Protectionを導入していることが前提の機能だが,既存のネットワークや機器を変更する必要がない。
2つめは,「LANエンフォースメント」。ルーターやスイッチの通信ポート単位で接続端末を認証する仕組みであるIEEE802.1xを利用して,通信を制御する。SNACのエージェントと管理ソフトのほかに,「LANエンフォーサ」と呼ばれるアプライアンスを別途用意する必要がある。すでに802.1x対応のスイッチを導入済みの企業に向いている。
その仕組みはこうだ。802.1x対応のスイッチが,ネットに接続しようとするクライアントの通信を受け付けると,SNACエージェントに対しセキュリティ対策状況に関するデータを要求する。スイッチはそのデータをLANエンフォーサに転送し,社内LANに接続してよいかを確認する。もし対策状況がポリシーに合致していなければ,検疫用ネットワークにしか接続できないようにする。シスコやノーテルネットワークスなど,主要なメーカーの802.1x対応スイッチであれば,SNACと連携可能である。
3つめは「DHCPエンフォースメント」。DHCPサーバーが割り当てるIPアドレスを変更することで,通信先を制限する。ユーザーは既存のDHCPサーバーとクライアントPCの間に,「DHCPエンフォーサ」と呼ばれるアプライアンスを設置する。DHCPエンフォーサはSNACエージェントと連携し,DHCPサーバーにIPアドレスを要求するクライアントのセキュリティ対策状況を調べる。ポリシーを満たせば社内LAN用のIPアドレスを,満たさなければ検疫用ネットワークのIPアドレスを,それぞれ付与する。
マイクロソフトのDHCPサーバーを利用している場合は,DHCPエンフォーサは不要である。サーバーに組み込むプラグイン・ソフト「DHCP plug-in」が,DHCPエンフォーサとして動作するためだ。
4つめは,「ゲートウェイエンフォースメント」。インターネットからVPNを介して社内LANに接続する場合のように,特定の入り口に対するセキュリティ強化に向く。クライアントと社内LANの間に「ゲートウェイエンフォーサ」を設置。ゲートウエイエンフォーサが,社内に接続しようとするクライアント上のSNACエージェントと通信し,セキュリティ対策状況をチェックする。
SNACのほかにシマンテックは,DHCPエンフォースメントとゲートウェイエンフォースメントを利用するユーザー向けに,「SNACスキャナ」と呼ぶオプション・ソフトウエアも提供する。ネットワーク経由でクライアントの通信ポートをスキャンし,セキュリティ対策状況をチェックする。個人所有のパソコンや業務委託先の社員が使うパソコンのように,SNACエージェントをインストールしていないクライアントを社内LANに接続するためのソフトである。ただし,あくまで外部からのチェックだけで,ハードディスクやメモリー内の状況までは確認できない。
SNACの価格はオープン(参考価格は,エンフォーサ1台とクライアント1000台の場合で650万円程度)。廉価版として,セルフエンフォースメントとゲートウェイエンフォースメントだけが利用可能なStarter Editionも提供する。5から24クライアントの場合,1クライアントあたり2780円である。SNACスキャナの価格は未定。
なおSNACの機能は,同時出荷する「Symantec Endpoint Protection 11.0」にもあらかじめ組み込まれている。同ソフトを利用している場合は,ライセンスを購入するだけSNACの機能を利用できるようになる。別途SNACのパッケージを購入したり,インストールしたりする必要はない。
