米BlackRidge Technologyの「BlackRidge TAC(Transport Access Control)」は、TCPのネットワークセッションを確立するためにクライアントがサーバーに対して送信する最初のパケット(SYNパケット)を認証できるようにするセキュリティ製品である。アクセス権が無い攻撃者や第三者のアクセスから情報資産を守ることができる。
BlackRidge TACの概要。TCPヘッダーのシーケンス番号フィールドに独自のIDトークンを埋め込んで認証する
(出所:NTTアドバンステクノロジ)
[画像のクリックで拡大表示]
アクセス先のホストの手前にゲートウエイ型で設置して使う。アクセス元のコンピュータに専用のエンドポイントソフトを導入することで、SYNパケットに認証用のIDを埋め込み、これを認証する。これにより、ゲートウエイとエンドポイントを介してSYNパケットを認証できる。
この仕組みは、既存のネットワーク通信の仕組み上で実現している。TCPヘッダーのシーケンス番号フィールドに、ハッシュ関数で生成した独自のIDトークンを埋め込む。IDトークンは、アクセス元のユーザーIDまたはデバイスIDに関連付けて生成する。
これにより、既存の仕組みや使い勝手を変えることなく、業務アプリケーションへのアクセス可否をBlackRidgeで制御する「マイクロセグメンテーション」として使うことができる。部署ごと、端末ごと、ユーザーごとにセグメントを分離できる。マルウエアに端末が感染しても、アクセス権がない業務アプリケーションに影響を与えずに済む。
BlackRidge TAC(Transport Access Control)の概要
| 用途と機能 | ネットワークセッション(TCP)確立時の最初のパケット(SYN)を認証できるようにするセキュリティ製品。アクセス権が無い攻撃者や第三者のアクセスから情報資産を守ることができる |
|---|---|
| 仕組み | アクセス先のホストの手前にゲートウエイ型で設置して使う。アクセス元のコンピュータに専用のエンドポイントソフトを導入することで、SYNパケットに認証用のIDを埋め込み、これを認証する。 |
| 認証IDの 実装方法 | TCPヘッダーのシーケンス番号フィールドに、ハッシュ関数で生成した独自のIDトークンを埋め込む。IDトークンは、アクセス元のユーザーIDまたはデバイスIDに関連付けて生成する |
| 想定する用途 | 業務アプリケーションへのアクセス可否を制御する「マイクロセグメンテーション化」の使い方。部署ごと、端末ごと、ユーザーごとにセグメントを分離できる。マルウエアに端末が感染しても、アクセス権がない業務アプリケーションに対して影響を与えずに済む |
| ゲートウエイ 提供形態 | 物理アプライアンスまたは仮想アプライアンス |
| エンドポイント ソフトの稼働OS | Windows 7、Windows 10、Ubuntu。今後、LinuxとmacOS向けを追加 |
| 価格 | 個別見積もり |
| 発表日 | 2019年4月24日 |
| 提供開始日 | 2019年4月24日 |
| 備考 | 発表日/提供開始日と価格は、販売代理店であるNTTアドバンステクノロジのもの |