シスコが検疫ネットワークを大幅拡張、パートナーも60社超える

2005/10/21

 シスコシステムズが10月19日、同社のネットワークアクセス管理フレームワーク「Cisco Network Access Control」(NAC)の拡張を発表した。

 NACはシスコによる検疫ネットワークソリューション。今回の発表は、同社のスイッチおよび無線LANアクセスポイントによるサポート、端末エージェントの改善、そして新たなアプライアンス製品の発売が骨子となっている。これにより、一般的な端末と接続環境を、事実上すべてサポートできることになった。

 これまでNACをサポートする同社のネットワーク製品は、「Cisco 830」から「Cisco 7200」までのルータと、リモートアクセスVPNゲートウェイの「VPN3000」に限定されていた。しかし今回、スイッチの「Cisco Catalyst」および無線LANアクセスポイントの「Aironet」が対応した。これでNACによる端末のヘルスチェック機能が、初めて一般的なLAN端末に適用できるようになった。

 シスコは、端末側のエージェントソフトウェア「Cisco Trust Agent」(CTA)で、バージョン2.0を提供開始した。新バージョンは、Windows 2000、XP、2003に加え、Red Hat Linuxに対応している。また、OSのセキュリティパッチのチェックには、これまで有償のエージェントソフトウェアである「Cisco Security Agent」を必要としていたが、この機能が無償のCTAに組み込まれた。

 CTAをインストールした端末の認証には、レイヤ3(UDP)に加え、レイヤ2(802.1x)も利用できることになった。前者は、端末がIP接続された瞬間に、DHCPパケットの傍受あるいはARPでこの端末のIPアドレスを把握し、いったんこのアドレスの接続をせき止めて、端末の健康状態の確認を行う。スイッチと端末の間にハブが介在している場合などに利用できる。

 NACでは、CTAをインストールしていない端末に対する、エージェント不要(エージェントレス)のヘルスチェックと認証の手段も提供している。これにも2つの方法が用意されている。1つは今回発表された「NACアプライアンス」で、ネットワーク上に配置することにより、接続しようとする端末のパケットを横取りし、遠隔的に端末をスキャンしてから接続を許すことができる。

 同製品は米国で「Cisco Clean Access」として販売されてきたソフトウェア製品をハードウェアに載せたもの。これ1台でヘルスチェックから認証まで、検疫ソリューションのすべての機能を提供するというターンキー製品で、中規模企業を対象としている。

 もう1つはNACのAPIをサポートするベンダが提供するエージェントレスのヘルスチェック製品を使う方法で、端末との通信がシスコのネットワーク製品からリダイレクトされ、NACアプライアンスと同様にネットワーク経由のスキャンが行われる。

 今回のNACの拡張は、米国では10月18日に発表された。NACを初めて発表した2003年当時から、シスコはAPIを通じたNACと他社製品の連携プログラムを推進してきたが、今回はこのプログラムにおけるパートナー企業が60社以上に拡大していることも明らかにした。

 シスコのセキュリティテクノロジーグループ、マーケティングディレクター、ラッセル・ライス(Russel Rice)氏は、「ネットワークセキュリティでは、人間の免疫システムと同様に、システムとしての対応が求められる。シスコは検知やネットワークの評価は得意だが、ポリシーの実行や監査はほかに得意なベンダがある。協力してやっていくのが最も効率がいい。NACは他社との技術統合という意味では、シスコにとって初めての大きな活動だ」と話す。提携ベンダの中には、HPやIBM Tivoliといった、PCの資産管理エージェントをすでに広く展開している企業もあり、これらとの協力関係は特に大きな発展の可能性があるとライス氏は期待する。

 米国で発表されたNAC提携ベンダの製品のすべてが国内で入手できるわけではないが、日本HPやNECなど、国内で端末用の管理機能やセキュリティ機能を提供しているベンダの間でも、NACへの対応が見られる。シスコでは、海外製品の国内版提供の働きかけを行う一方、こうした国内ベンダとの協力を進めていくという。

(@IT 三木泉)

[関連リンク]
シスコの発表資料

[関連記事]
ビジネスプロセスを語るシスコ (@ITNews)
シスコの下に集結したセキュリティベンダ3社のトップ (@ITNews)
ほかは要らない?マイクロソフトの検疫システム (@ITNews)
「知らなかった攻撃からも守る」、ノーテルのセキュリティ (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)