かなり昔の話になるが,パソコンLAN黎明期の1980年代後半から90年代初め,NIC(Network Interface Card,[用語解説])の世界にはインテリジェント型とノンインテリジェント型(ダム型)という分類があった。MS-DOS全盛の当時は,TCP/IPのようなプロトコルを主記憶メモリーに常駐させると,ほかのアプリケーションが起動しなくなるため,TCP/IPソフトをLANボード上のメモリーに読み込ませて専用CPUが処理した。これがインテリジェント型である。
それから10数年を経た2002年5月末,このインテリジェント型LANボードを彷彿させるNICが発売された。スリーコム ジャパンの「3Com Embedded Firewall」である(関連記事)。管理ソフトなどがセットになったシステム売りの製品だが,核になるのは10BASE-T/100BASE-TX対応のNIC「3CR990-TX-97」だ。CPUとフラッシュROMをイーサネット制御チップ内に内蔵している。
昔のLANボードとはちょっと違い,内蔵CPUはNICを出入りするパケットのIPアドレスやポート番号などを調べてフィルタリングするのに使う。「パーソナル・ファイアウオールとほぼ同等のフィルタリング機能だ」(スリーコム ジャパン)という。内蔵するCPUは,最近の高速なブロードバンド・ルーターにも搭載されているARM9であり,かなり高性能なものだ。
なぜ今さら,こんな“きわもの”が?――と一瞬考えてしまったが,スリーコムに想定する使い方を聞いてみたら,納得できる面もあった。
パーソナル・ファイアウオールのようなソフトを企業が導入する場合,個々のパソコンや部門で使うサーバーなどにソフトをインストールし,個別に設定しなければならない。
ところが,Embedded Firewallは,専用のNICを装着し,管理ソフトをインストールしたサーバー(ポリシー・サーバー)を管理者が用意し,パケット・フィルタリングの条件をこのサーバーから各クライアントへネットワークを介して配布する。ポリシー・サーバーで集中管理するので,フィルタリング設定は管理者が一括管理でき,一般ユーザーは勝手にフィルタリング設定を変えることができなくなる。
もし,クライアントのパソコンや部門サーバーなどをワームやウイルスに乗っ取っられても,ポリシー・サーバーとNICが独自に通信し合っているので,フィルタリング設定を変更できない。
ユーザーからすると,管理者から配られたNICを装着するだけでフィルタリングされ,通信ログなども記録される。勝手に通信ログまで記録されるのは少し怖い面もあるが,管理者からすれば各クライアントの管理が楽になるはず。そのうえ,ポリシー・サーバーはフィルタリング設定だけでなく,ファイアウオールのソフトもNICへ配布する。配布するソフトウエアを変えれば,NICのCPUでなんでもできてしまうのだ。
“きわもの”で終わるか,新しい使い方が企業ユーザーに受け入れられるか,もう少し見守っていきたい。
(三輪 芳久=日経NETWORK副編集長)
