注目の「検疫LAN」、エンテラシスが自信満々の理由

2004/9/7

　コンピュータ・ウイルスなどの脅威をブロックする新しい手法として、セキュリティ・パッチなどが当たっていないクライアントPCをネットワーク上で隔離する検疫LANのソリューションが注目を集めている。シスコシステムズは大手アンチウイルスベンダと組み、検疫LANの導入に動き出した。ヒューレット・パッカードも検疫LANのソリューションを発表し、セキュリティ対策、個人情報保護の効果をアピールしている。エンテラシス・ネットワークスも検疫LAN製品を売り出し中のネットワークベンダ。同社日本法人の代表取締役社長土本良司氏は「エンテラシスは最初からセキュアなネットワーク構築を目指してきた。われわれは2年先を行っている」として検疫LANに自信を見せている。

エンテラシス・ネットワークス代表取締役社長土本良司氏

　土本社長がいうようにエンテラシス製品の特徴は、標準でネットワークをセキュアに保つ機能を備えていること。LANで利用できるネットワークサービスを定義し、ユーザーのロールに応じてネットワークサービスを割り当てる「Secure Networks」の機能を備えている。エンテラシスのスイッチを使うことで、利用可能なネットワークサービスをスイッチのポート単位で割り当てることが可能となっている。これによりユーザーが利用できるサービスを限定し、またゲストの持ち込みPCの無制限なLANへのアクセスをブロックする「仮想分散ファイアウォール」を構築するという。同社のIDS製品「Dragon侵入検知システム」と連動し、ワームに感染したクライアントPCからLANへの攻撃をブロック、ネットワーク上で隔離する機能もある。

　このSecure Networksに、クライアントPCのセキュリティチェックの機能を組み合わせたのが検疫LANソリューションの「Trusted End-System」（TES）。クライアントPCにインストールしてあるエージェントソフトが、クライアントPCのOSのバージョンやセキュリティパッチ、アンチウイルスソフトのパターンファイル、バージョン、そして必須アプリケーションの有無などをチェックして、エンテラシスのスイッチ、アクセスポイント経由でRadiusサーバに通知する。Radiusサーバはユーザー認証を行うとともに、クライアントPCのセキュリティの状況を確認して、セキュリティポリシーに合致しているかを確認する。ユーザー認証を通過してもセキュリティレベルが低い場合は、クライアントPCはLANから隔離され、VLAN上の検疫サーバに接続される。検疫サーバからセキュリティパッチの適用などを促されて、パッチ適用後に再び、チェックを受けてLANに接続される。

　エンテラシスがTESに自身を持つ根拠は、Secure Networksをベースにすることで、スイッチのポート単位でセキュリティポリシーを適用できるからだ。土本氏は「他社の検疫LANソリューションは、認証VLANに近く、VLAN単位でしかポリシーを適用できない。そのためワームに感染したクライアントPCを接続すると、LAN全体に感染が広がることはなくても、VLAN内の別のPCに感染する危険がある」と指摘する。

　現在、TESが対応しているエージェントソフトはZone LabsのIntegrityと、SygateのSecure Enterprise。このエージェントソフトを通じて、主要アンチウイルスソフトの情報を吸い上げることができる。
　
　また、土本氏によると、エンテラシスはエージェントをPCにインストールせずに、PCのセキュリティ状態をチェックする「ネットワークベース Trusted End-System」も近く導入する計画だ。ネットワークベース TESでは、LAN上に設置したスキャニングサーバはPCをMACアドレス認証し、そのPCのOSやアンチウイルスソフト、起動アプリケーションをネットワーク経由でチェックする。問題があるPCからのLANへの接続は拒否し、隔離VLANに接続する仕組み。エージェントに対応していない古いOSを使ったPCなどでもLANに接続できるようになる。エンテラシスはネットワークベース TESを今秋にも発表する予定で、「どこにも負けない」と自信を見せている。

（編集局垣内郁栄）

[関連リンク]
エンテラシス・ネットワークス

情報をお寄せください：

注目の「検疫LAN」、エンテラシスが自信満々の理由

最新記事

転職／派遣情報を探す

年収６００万円！エンジニア向けの求人満載。転職希望者必見

エンジニアの転職なら【転職サーチ】