ボーダレスにシームレスに常にセキュリティポリシーを適用

シスコ、新セキュリティ構想を支える技術をデモ

2010/04/15

　シスコシステムズは4月15日、新しいセキュリティアーキテクチャ「セキュアボーダレスネットワーク」に関する説明会を開催した。インターネットと企業ネットワークとを分かつ境界線があいまいになってきたという環境の変化を踏まえ、いつでも、どこでも、必要なセキュリティをシームレスに提供するためのアプローチだという。

　セキュアボーダレスネットワークは、3月に開催されたRSA Conferenceで発表されたアーキテクチャだ。エンドポイント端末の多様化やクラウドコンピューティング、SaaSの普及によって、従来型のセキュリティ対策には「自ずと限界が生じている」（同社プロダクトマネージメントシニアマネージャ大木聡氏）。

　これに対し新アーキテクチャでは、端末にインストールするVPNソフトウェアとゲートウェイに位置するセキュリティアプライアンス、企業ネットワーク内のLANスイッチが連携することによって、ユーザーがどこにいても、常に、企業内にいるときと同じセキュリティポリシーを適用できる環境を実現するという。今回の説明会では、この構想の中で重要な役割を果たす「Secure Mobility」と「Cisco TrustSec」の詳細を解説した。

Cisco TrustSecのデモ。SGTに基づいてアクセス制御を行う

　Secure Mobilityは、同社のVPNクライアントソフトウェア「Cisco AnyConnect VPN」によって、VPNを介した接続を確立。同時に、企業ネットワーク内にいるときと同じセキュリティポリシーを適用できるようにする。このとき、VPN認証と同社のゲートウェイセキュリティ製品「Cisco Web Security Appliance」などを連動させれば、不正なサイトへのアクセスをブロックしつつ、必要に応じて外部のSaaSへのログインをリダイレクトし、シングルサインオンを実現することも可能だ。

　Cisco TrustSecは、IPアドレスやVLANに基づくアクセス制御ではなく、802.1xをはじめとするユーザー認証に基づいてコントロールを行う技術だ。ネットワークを流れるイーサネットフレームに直接、SGT（セキュリティグループタグ）という情報を付与し、SGACL（セキュリティグループアクセスコントロールリスト）に基づいてコントロールを行う。この結果、たとえ同一のIPアドレスからのアクセスでも、ユーザーが異なれば許可するリソースを変えることができる。また運用管理者にとっては、管理単位をグループに集約できるため、組織変更などのたびに増加する一方だったVLANの管理から解放され、LANスイッチのテーブルあふれを心配する必要もなくなるという。

　さらに、802.1aeに基づいて、PCとスイッチの間の通信をイーサネットレベルで暗号化する「MACsec」機能も提供する。

　現在、この機能をサポートするスイッチは「Nexus 7000シリーズ」および「Catalyst 3560-X／3750-Xシリーズ」のみだが、大木氏によると、今後ほかのネットワークコア向けスイッチでも対応を拡大していく計画だ。また、今回の発表はセキュアボーダレスネットワークの第一歩に過ぎず、仮想環境も含めた形でアーキテクチャを拡充していく方針という。