ワールドニュース

米国ニュース


セキュリティ:シスコシステムズが提供するネットワーク インテリジェンス

2004年3月18日

ジェイソン デイン、News@Cisco

シスコシステムズ®がついていれば、ネットワーク管理者は、もはやたった1人でこの大きな課題に取り組む必要はありません。ネットワークが、自分で自己防衛の方法を学んでくれます。

シスコは、ドイツのハノーバーで開催される世界最大のIT・電子通信見本市「CeBIT 2004」において、Self-Defending Network(自己防衛ネットワーク)構想の一部を紹介する予定です。その一環として、Cisco Security Agent(CSA)テクノロジーを備えたシステムが、ハッカーによる不正侵入を撃退するデモンストレーションを行います。

CSAは、シスコのセキュリティおよび政府関連担当ビジネス開発マネージャ、クラウス レンセンによるところの「パラダイムの変化」を象徴するもので、それはこの場合、まさにぴったりの形容だと言えます。

セキュリティに対する攻撃を阻止するには、最近まで、ウィルスをはじめとする脅威の特徴として知られているコードやプロセス、動作を検知するプログラムを使用するほかありませんでした。

しかし、攻撃がより複雑化し強力になってくると、このような方法では、十分な効果が得られなくなってきました。

昨今では、悪意を持って作られたウィルスが、たった数分のうちに、さまざまな攻撃メソッドを組み合わせて、企業ネットワークを制圧できるようになっています。そうなると、ネットワークの所有者はおろか、アンチウィルス ソフトウェア ベンダーでさえ、何らかの防衛プログラムを作成して配布するという対策をとる時間的余裕がありません。

その結果、最近のネットワーク セキュリティ対策は、「脆弱性」に重点が置かれるようになりました。脆弱性とは、理論上、ウィルスやハッカーが抜け穴として悪用する可能性のある、システム上の弱点を指します。

ところが、脆弱性を修復するには非常にコストがかかります。セキュリティ パッチ1個が、サーバ用でおよそ300ドル、デスクトップ用で約50ドルします。それが、年間80~90個必要になるのです。

その上、脆弱性は、発見されたとたんに悪用される可能性があるため、パッチの適用が遅れることは、企業にとって命取りになります。

「自己防衛ネットワーク」というシスコのコンセプトは、ITシステムに押し寄せる攻撃の波を食い止めるには、もはや人間が介入するだけでは不十分だという考えに基づいています。したがって、ネットワークは、自分自身で脅威に対処するためのツールや機能を備えておく必要があります。

CSAは、実際の脅威や理論上の脅威を示す何らかのサインを探すのではなく(そのためには、脅威の特徴についての知識が前もって必要になります)、単純に、正常な操作プロセスとしてあらかじめ定義されていないものすべてを遮断し、報告するようプログラムされています。

「オペレーティング システムに対する脅威の約9割を、CSAでカバーできます」と、レンセンは述べています。「未知のものに対して防衛機能が働くので、脆弱性が発見されても慌てて修復する必要がなく、安心して累積パッチのリリースを待つことができます」

「CSAには大きな関心が集まっています。CSAは、Windows NT、2000、XP、またはSun Solaris 8を搭載しているPCまたはサーバにインストールすることが可能です。LinuxやWindows 2003についても、まもなくサポートされる予定です」

世界各地の数多くの企業がCSAの導入を始めており、これまでで最も大規模な導入が行われたケースでは、100,000台のクライアント コンピュータにCSAを導入した企業もありました。

しかし、増えつづけるネットワークの防衛機能に追加された最新機能は、CSAだけではありません。事実、CSAは、完璧な自己防衛ネットワークに必要不可欠だとシスコが考える、3つの防衛機能の1つにしか過ぎないのです。

残る2つのうちの1つである「安全な接続性」は、試行錯誤が繰り返されたVPNテクノロジーのおかげで、ITにしっかりと根づいています。ただ、最後の1つである「信頼性とユーザ識別情報管理」は、企業のIT管理者にとって、依然として大きな課題として残されています。

しかし、2003年11月、Cisco Network Admission Control(NAC)が発表され、事態は大きく前進しました。そして、このたびのCeBITにおいて、この新しいテクノロジーのデモンストレーションが初めて行われます。

シスコによって開発され、さらなる共同開発を目的としてさまざまな企業にライセンス供与されているNACは、企業ネットワークに接続されたノート型パソコンやその他の機器が持ち込んだウィルスから、ネットワークを保護することを狙いとしています。

機器がネットワークに接続されると、Cisco Trust Agentによって、その機器が企業のITセキュリティ ポリシーに準拠しているかどうかが確認されます。

その機器がウィルスに感染していたり、アンチウィルス ソフトウェアが更新されていなかった場合には自動的に隔離され、例えば、アンチウィルスの更新を行ったり、感染を修復したりする専門のサーバに再接続されます。

そのほか、シスコのテクノロジーは、NACやCSA以外にも数多く存在します。また、「SAFE」と呼ばれる、ベストプラクティスの指針となるブループリントは、ネットワークのあらゆる部分を安全に保つことを狙いとしたものです。

以上のことを踏まえた上で、レンセンは次のように述べています。「100パーセント安全なシステムを手に入れることは、決してできないでしょう。しかし、少なくとも脅威の数を大きく減らすことは可能です」

ジェイソン デイン:スペイン バルセロナを拠点に活動するフリー ジャーナリスト

▲Return to Top

お問い合わせ