シスコ自己防衛型ネットワーク - Cisco Systems

Skip to Main Content | Skip to Footer

シスコシステムズ

10分でわかる、シスコ自己防衛型ネットワーク


	シスコの自己防衛型ネットワーク戦略に基づく、新たな適合型防御システム(Adaptive Threat Defense:ATD)の中核製品となるのが、適応型セキュリティアプライアンス「Cisco ASA 5500シリーズ」です。豊富な導入実績で実証済みのファイアウォール、IPS(侵入防御システム)、ネットワーク・アンチウイルス、VPNなどのセキュリティ技術と、アプリケーションセキュリティ、Anti-X防御、ネットワーク制御といったATDの防御・制御機能を単一のプラットフォームに集約しています。パケット、フロー単位でのポリシー制御やネットワークサービスを適用するモジュラポリシーフレームワークを中核に、独自のAIM(Adaptive Identification and Mitigation: 環境に適応した脅威の認識と抑制)アーキテクチャに基づいて設計。攻撃の被害がネットワーク全体に広がるのを防止するとともに、アプリケーショントラフィック制御やVPN接続などのセキュリティサービスの効率的かつ柔軟な適用を可能にするなど、セキュリティの強化と優れたコストパフォーマンスを発揮しています。


	ネットワークには、単にパケットを運ぶだけではなく、多様化する環境に対応するためにさまざまな機能が求められています。これまでは、必要な機能ごとに「ロードバランサを入れよう」「ファイアウォールやウイルスソフトによる対策を施そう」といったポイントプロダクトによる対応がほとんどでした。このようなポイントソリューションに対して、ネットワーク自体がインフラとしてこうした機能を提供する構想を発表したのが2年前です。ネットワークサイドでセキュリティを包括的考えて対応するという自己防衛型ネットワークのコンセプトがそれです。自己防衛型ネットワークを実現するために、アドオンで対応してきたものを機能統合しようということで「統合化セキュリティ」を、統合化されたデバイスが相互に連携するセキュリティ機能を提供しようということで「コラボレーションセキュリティ」をそれぞれ打ち出してきました。そして第3段階として「適応型防御システム」を発表させていたのです。ネットワークにインテリジェンスなセキュリティ機能を持たせることによって、未知の脅威に対して自律的に対応できるようなソリューションを作っていく。このように情報通信インフラとしての機能をトータルで提供していくのが適応型防御の考え方です。


	Cisco ASA 5500シリーズは、適応型セキュリティアプライアンスの名称が示すように、ATDの中核となるコンポーネントです。シスコのファイアウォール、IPS、ネットワーク・アンチウイルス、IPSec VPN、SSL VPNなどの複数セキュリティ技術及び、アプリケーションセキュリティ、Anti-X防御、ネットワーク制御などATDの防御・制御機能に加え、ルーティングやQoS(Quality of Service)などのインテリジェントなネットワークサービスを1台のプラットフォームに集約。		これらの機能が相互に連携し、ネットワークからアプリケーションまでさまざまなセキュリティの脅威に対して効率的かつ柔軟な防御策をダイナミックに適用する「多機能一体型」のセキュリティソリューションとなっています。 ATDによるセキュリティシステムを実現するため、モジュラポリシーフレームワークに基づくAIMアーキテクチャをコア技術に採用。ファイアウォールの基本動作(パケット、フローの識別、ポリシーの選択、アクションの適用)を大幅に拡張することで、きめ細かなポリシー制御を可能にしました。

	Cisco ASA 5500シリーズは、適応型セキュリティアプライアンスの名称が示すように、ATDの中核となる通常のファイアウォールは、IPアドレスやTCP/UDPポート番号、プロトコル番号などの情報を元にパケットを識別するのに対し、モジュラポリシーフレームワークは、パケット出力優先制御のタイプや、どのIPSecトンネルからパケットが送られたのかを		VPNトンネルで識別、あるいはだれが送信したのかをユーザグループで識別するなど、パケット、フローの識別能力を強化。また、適用するアクションについても、許可、拒否、ロギングなどに加え、アプリケーション検査エンジンでの制御やQoSの適用などの拡張を図っています。


	Cisco ASA 5500シリーズは、このモジュラポリシーフレームワークを中核に、革新的なAIMアーキテクチャに基づいて設計。トラフィックやアプリケーションのフロー毎に異なる要件に合わせたセキュリティポリシーの制御を行ない、多彩なセキュリティサービスを効率的に適用することが可能です。具体的には、拡張された識別機能によってパケットやフローを正確に識別し、そのパケット、フロー毎に適切なセキュリティサービスを適用する仕組みです。例えば、TCPの80番ポートを通過するHTTPパケットがRFCに準拠しているかどうかをアプリケーションレベルで詳細に解析し、不正利用を排除する、あるいはインターネット経由のパケットに対して、ウイルスが含まれていないかどうかIPSのシグニチャーマッチングを適用する、ミッションクリティカルなトラフィックに対してQoSを適用するなど、ネットワークニーズに応じた防御・制御機能を提供しています。これにより、企業のネットワーク管理者はフロー毎に適用するセキュリティサービスやネットワークサービスのポリシーを設定でき、きめ細かな制御、管理が可能となります。		アプリケーションセキュリティでは、ネットワークからアプリケーションまで複数レイヤのフローを検査する30種類以上のアプリケーション検査エンジンを搭載。フィルタリングやプロトコル異常検出、プロトコル状態の追跡などの各種技術を用いてアプリケーション及びプロトコルのきめ細かな制御を行なうことにより、アプリケーションレイヤに対する攻撃からネットワークを防御しています。例えば、管理者は80番ポートを使用するインスタントメッセージやピア・ツー・ピアのアプリケーションの利用を制限し、Webアクセスのみ許可するなど、企業のネットワーク環境に適合した形でのセキュリティポリシー設定が容易にでき、業務に必要なアプリケーションの適切な稼働のみならず、限りあるネットワーク帯域幅の有効利用が可能になっています。


	Anti-X防御では、プロトコル異常やポリシー違反、異常な振る舞いなどを検出。ウイルス/ワームやDDoS攻撃など、ネットワーク及びアプリケーションに対する攻撃やシステム破壊の脅威を防御します。そして、ネットワークでの制御と抑制にかかわる広範なサービスを提供していることも、Cisco ASA 5500シリーズの特徴です。ユーザアイデンティティ、ユーザグループ、ネットワークリソースのアドレス、アプリケーションのタイプなどのさまざまなパラメータを用いてポリシーを作成し、柔軟なアクセス制御を可能にしています。		Cisco ASA 5500シリーズは、ネットワークセキュリティの強化とともに、多彩なセキュリティサービスとVPNサービスの統合より、セキュリティシステムの導入、運用のコスト削減にも効果を発揮します。サイト間にIPSec VPN、リモートアクセスにSSL VPN機能を利用するなど、単一のプラットフォームで2つのVPNサービスに対応することもその一例です。
	ATDを実現するためには、ハードウエアに高いパフォーマンスが求められます。Cisco ASA 5500シリーズでは、拡張モジュールのSecurity Service Module(SSM)を用意し、高い処理性能が要求されるセキュリティサービスはSSMのCPUで動作させることにより、本体のパフォーマンス低下を軽減するほか、新たなセキュリティサービスの追加にも柔軟に対応することができます。
	Cisco ASA 5500シリーズは、豊富な機能を搭載するだけでなく、個々のセキュリティサービスそれぞれにおいて、極めて優れた価格性能比を実現しています。たとえばASA 5510は、568,000円～(参考価格)という低価格でありながら、最大300Mbpsのファイアウォールスループット、最大170MbpsのIPSec VPNによる暗号化通信(3DES/AES)を提供しています。また、スループットや接続数などに応じて3タイプが用意され、中小・中堅規模から大規模まで多様なニーズに対応。ネットワークセキュリティを革新する適応型防御システムの構築を支援しています。