|
|
|
|
 |
ワイヤレスネットワークは、世界各地の顧客に画期的なモビリティと柔軟性および生産性の向上をもたらした。しかし残念ながら、セキュリティの観点からみると、ユーザー自身がネットワークの放送局役となってセキュリティの新しい脅威のベクトルを自分のネットワークに招き入れてしまう可能性を生み出したことは否めない。事実、様々な新しいワイヤレスアクセスに特有の侵入検知やサービス拒否攻撃 (DoS : Denial-of-Service) が登場し、WLAN ベンダーはワイヤレス LAN (WLAN : Wireless LAN) 侵入検知システム (IDS : Intrusion Detection System) を提供するために、新しいレベルの検知や防衛サービスを創り出さなければならないという挑戦課題に直面しているのである。
「空中にデータをブロードキャストする」という無線固有の問題を考え併せると、Windows 2000 や XP ベースのワイヤレス対応ノート PC は、デフォルトとしてそのアクセスポイントが認可されているか否かにかかわらず、Wi-Fi 接続が可能なあらゆるアクセスポイントを探し回っているのが実情だ。したがって、ここにおける課題は安全な“空間 (air space) ”を確保することだけではなく、コンピュータからの安全で安心できる接続を確保することでもあるのだ。
シスコは、ネットワーク管理者が不正な機器を通じたセキュリティ侵害や侵入を防ぐためのアドバイスとして、このような現状下でセキュリティの低下を防ぐためにはどのように侵入の検知や防衛装置を設置すればよいかというベストプラクティスを提供している。
「ただ、多くの警報やアラートを次々と鳴らし続けるようなシステムを作るわけにはいきません。私たちは 10年前から固定回線のネットワーク上でみられたそんなシステムを『ベル・アンド・ホイッスル (開発者の趣味的な“お遊びの追加プログラム”)』の IDS アプローチと呼んできました。我々の WLAN ユーザーは、もっと役に立つワイヤレスの侵入検知を、そしてワイヤレスへの侵入防衛や保護能力を求めているのです」とシスコのワイヤレス・ネットワーキング事業部の製品マーケティング・マネージャであるブルース・マクマード (Bruce McMurdo) は語る。
検知と緩和のための対策が分散型および階層型双方の防御モデルで実行されている現在では、クライアントからデータセンターに至る各レイヤで、ネットワークの脅威に対する防衛の役割が果たされている (図を参照)。シスコのワイヤレスアーキテクチャが、侵入を防ぐために以下の機能を提供しているのである。
シスコのアーキテクチャでは、Cisco Aironet シリーズのアクセスポイントとシスコの Lightweight アクセスポイント、さらにシスコのクライアントおよび Cisco Compatible Extensions (CCX) のクライアントが、ネットワーク侵入防衛システム (IPS : Intrusion Prevention System) のセンサーとして働いている。すべての WLAN IDS ベンダーが不正な機器の検知をアクセスポイントに頼っている中で、シスコは不正検知をクライアントにまで拡大する独自の能力を有し、クライアントが WLAN 環境全体を駆け回るのにつれてさらに高度な検知機能を提供できるのである。
