「現在使われているファイアウォールやVPN装置のようなゲートウェイ型のセキュリティ・モデルでは企業を守れない」。通信機器大手、米エンテラシス・ネットワークスのマーク・アスレット社長(写真)はこう語る。「最近猛威をふるったワーム“ブラスター”では、正規のユーザーが外部から持ち込んだノート・パソコンが感染源になった。ゲートウェイは無力だ」(同)。

 そこでエンテラシスが打ち出したのが、「ユーザー・パーソナライズド・ネットワーク(UPN)」という新しいセキュリティ・モデルである。ユーザー単位、スイッチのポート単位にセキュリティ・ポリシーを細かく設定する。すべてのネットワーク機器を同社製の製品に代える必要はない。同社のUPN用のスイッチなどを端末側に配置すれば、中継部分や基幹部分のネットワークには他社の機器を使える。

 「ネットワークに接続すると、ユーザーに応じたアクセス権の設定、セキュリティに関する設定、通信帯域の制御、アプリケーションごとの優先制御などを自動的に行う。正規のユーザーであっても、ワームに感染して攻撃をしかけてきたり、権限外の行為をした場合には、ネットワークから切り離すか、権限を極端に制限した“ペナルティ・エリア”に閉じ込める」(同)。

 新しい攻撃が発見されたり、セキュリティ・ポリシーが変わった場合には、基幹スイッチの設定を変えると、端末側のスイッチに設定変更が反映される。アスレット社長は、「この機能もブラスター対策において有効だった」という。ブラスターは特定のTCPポートを使って攻撃をかける。「そのTCPポートを使う通信を端末側のスイッチでしゃ断すれば感染は防げる。UPNではいちいち設定する必要がなく、ブラスターの攻撃に素早く対処できた」(同)。

 また、アスレット社長はIDとパスワードだけを使ったゲートウェイ型の認証システムも危険だと訴える。「IDとパスワードは盗まれてしまうことがある。UPNでは、人事部のIDとパスワードでアクセスしたとしても、人事部にあるスイッチからでなければ人事部のサーバーにアクセスできない設定が可能だ」(同)。

(鈴木 孝知=日経コンピュータ)