Security＆Trust トレンド解説

脅威に対して自動的に防衛するネットワーク

鈴木淳也（Junya Suzuki）
2005/5/31

---

ウイルス／ワームを防御する「Cisco NAC」

　最後に、Cisco NACについて簡単に触れておこう。すでに上記フェイズ2の項でも触れているが、NACはウイルス／ワーム拡散防衛のためのソリューションである。

　ポイントの1つは、アンチウイルス／パーソナルファイアウォールとの連携による、ウイルス／ワームやポリシーの接続前チェックである。ウイルスチェックやOSに対するパッチ当て状況など、一連のチェック項目をポリシーとしてまとめ、接続前にチェックする。このチェックに合格した場合にのみ内部ネットワークへの接続を許可し、それ以外では検疫ネットワーク（Quarantine Network）などの別領域に隔離する。

　ウイルス対策／パーソナルファイアウォールとの連携のため、シスコではトレンドマイクロ、シマンテック、マカフィーといった国内大手のウイルス対策ベンダと提携し、各社製品のNACへの対応を進めている。提携が発表されたのが2003年で、現在では各社のエンタープライズ向け製品群を中心にNAC対応が完了している。

　NACでは、ウイルス対策ベンダのソフトウェアに加え「Cisco Trust Agent（CTA）」「Cisco Security Agent（CSA）」「Cisco Secure Access Control Server（ACS）」といったコンポーネントが必要となる。

　CTAとCSAはクライアントに導入されるコンポーネントであり、クライアント上で必要なデータを収集・通信の役割を担うなど、要となる存在だ。特にCTAが、クライアントPCの通信モジュールとして動作し、ウイルス対策製品やCSAなどから得たクライアントPCの情報をNACルータなどに伝えている。ACSは、この情報を受けて接続許可の判断を行うポリシーサーバの役割を担う。

　NACにも3段階のフェイズが用意されており、それぞれの役割は下記のようになる。

●フェイズ1（レイヤ3の制御）

　NACでカバーする範囲がルータまでとなる。TCP/IP層までのコントロールとなるため、基本的にはセグメント単位でのみネットワークを分割できる。基本的な認証機構が提供される。

●フェイズ2（レイヤ2の制御）

　対象範囲がスイッチ製品にまで拡大され、ここで初めてIEEE 802.1xによるVLANベースのアクセスコントロールが実現できる。NAC対応スイッチの導入度が高いほど、ポート単位でのネットワークの切り離しなど、より細かい制御が可能となる。また、CTAがサポートしないプリンタやIP電話機などの製品も、個々にポリシーを割り当てられる。

●フェイズ3（SSLや無線LANの制御）

　SSL経由でのモバイル機器からのアクセスや、無線LANにおけるネットワーク制御が可能になる。フェイズ2の適用範囲が有線LANだったのに対し、フェイズ3では無線やインターネットなど、さらに広い範囲のカバーを想定している。

　基本的にはSDNと同様、NACにおいてもフェイズ2以降でその真価を発揮する。前述のように導入のハードルは高いが、それだけの対価に見合った見返りがあるソリューションだといえるだろう。

3/3

Index
脅威に対して自動的に防衛するネットワーク
	Page1 なぜSDNが必要になるか？
	Page2 SDNの3つのフェイズ
	Page3 ウイルス／ワームを防御する「Cisco NAC」

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）