HOME セキュリティ監視サービス 分散オフィスのネットワーク構築 セキュリティ監視サービス

 イントラネットのセキュリティーを向上させるには、外部からの攻撃、内部からの攻撃の両方を防ぐ必要があります。これまでイントラネットでは主としてホスト主導型、ネットワーク主導型のセキュリティー・ソリューションが開発されてきました。しかし、これらにはそれぞれ利点と欠点があり、片方だけでは安心できないものでした。



 ホスト主導型のソリューションとは、各端末にアンチウィルスソフトやパーソナルファイアーウォールを導入し、端末を守ることによりネットワークの安全性を確保するソリューションです。したがって非常に強固なソリューションを各端末に提供でき、かつ分散処理のためにネットワーク性能に影響を及ぼしません。
しかし全ての端末を常にセキュアに保つためには、使用するユーザーにある程度の知識が必要であるか、システム管理者が定期的に全端末メンテナンスをする必要があり、専門知識や人件費などが必要となります。
また持ち込みPCなどシステム管理者の管理できない端末が存在する場合にはネットワークのセキュリティーを提供できないなどの未解決の問題が存在します。



 ネットワーク主導型のソリューションは、重要なサーバや外部インターネットからの入り口にファイアウォールや侵入検知・防御(IDS/IPS)などのセキュリティーアプライアンスを設置して、攻撃を受け付けないようにするものです。しかし、ファイアウォール・IDS/IPSの処理能力のボトルネックにより全体的なネットワークの速度低下などが発生します。また、一般にファイアウォール・IDS/IPSは高価な装置なので、ネットワークが大規模になればコスト増加の要因となります。さらに端末数の増加は、これらの処理負担を指数級数的に増大させるものです。

 

有名なものとしてはシスコ・システムズのNAC(Network Admission Control)、マイクロソフトのNAP(Network Access Protection)及びIETFワーキング・グループのTNC(Trusted Network Connect)があります。



アメリカではネットワーク攻撃の70%が内部ユーザーからのものという調査結果があります。意図的にせよ、不用意にせよネットワークを安全に保つにはユーザーの不審な行動を検知し、行動によりユーザーの権限を変更するなどして対処しなければいけないのですが、その対処にかかる時間はネットワークの複雑化に応じて指数級数的に増大します。

 



VLANとはユーザーを端末グループ単位で管理するためのシステムです。端末単位に各ユーザーの権限を管理することで、部外秘の書類などの安全なやりとりを実現しますが、手動でユーザー管理をするには手間がかかり、VLANの柔軟な構造を最大限に生かすことは難しいのが現状です。

 



SMCではセキュリティー機能を階層化して管理・機能分担することでそれぞれの機能を最大限に利用する手法を提供します。

 



SMCではホスト主導型、ネットワーク主導型の欠点を完全に補う形での階層化セキュリティーソリューションを提供します。ホスト主導のソリューションでは、ユーザー認証情報からそのユーザーを自動的にVLANに移動させ、ユーザーがネットワークにアクセスする以前にセキュリティーのチェックを行います。これはいわば「事前対策」とよべるものです。
しかし、たとえ事前対策でチェックをおこなっても、なおかつネットワークは危険にさらされる可能性があります。たとえばユーザー自身も知らないうちに未知のウイルスにユーザーの端末が汚染されていることはありえます。このような端末からなんらかの攻撃が起きた場合、ファイアウォールやIDS/IPSによるネットワーク主導のソリューションはこれらを検出するためのものです。これはいわば「事後対策」とよべるものです。
SMCの階層化セキュリティー・アーキテクチャではこの検出された情報を再びネットワーク機器にフィードバックすることにより、システム管理者への攻撃情報の報告、攻撃を行った端末の特定、ユーザーのVLANからの一時的な隔離の一連の作業を迅速に行うシステムを低コストで実現できるようになります。SMCのソリューションの大きな特徴は、これらの作業が完全にマルチベンダー・マルチプラットフォームの環境でサポートされることです。