LANは第二のDMZと呼ばれ、常に危険にさらされている。外部のみならず、内部からの脅威にも注意を払う必要がある。安全性のために万全のセキュリティ対策が求められるとともに、コンプライアンスへの対応も行わなければならない状況にあるが、多くの企業はインフラの変更やスイッチのリプレースには消極的だ。企業の要望を満たしながらセキュリティとコンプライアンスを実現するアプライアンス「LANShieldシリーズ」について、ConSentry NetworksのCTOであるJeff Prince氏は、3月6日に開催されたZDNet Japan 情報セキュリティフォーラム「内部統制におけるIT活用」において、「ConSentryで実現するLANセキュリティ」と題して講演を行った。
企業LANのセキュリティ確保が求められている現状
ConSentry NetworksCTO
Jeff Prince 氏
現在、企業におけるLANに対するセキュリティの必要性が高まっている。企業のLANは、ゲストや契約社員など多くのユーザーがアクセスするオープンな環境であり、持ち込みパソコンなどによるワームやマルウェアなど悪意あるプログラムによって狙われている。一昔前とは違い、単純な売名行為などではなく、企業の資産である情報を盗み出す営利目的の場合が多い。そのため、企業は否応なくデータを保護する義務を課されている状態だ。
一般的にLANのセキュリティを確保しようとした場合、既存のインフラやネットワーク機器の変更が必要になることが多い。ネットワークアクセスコントロール(NAC)製品を導入するベンダーがユーザー企業に最初に求めるのはスイッチのリプレース、ホストやエンドポイントへのソフトウェア導入がほとんどだ。その際に生じるネットワークの再構成や、ユーザー教育の有無、追加機器の導入などの選択を迫られる。
「ユーザーは多くのことを一度に求められることで圧倒され、どこから手をつけていいのかわからなくなってしまう。これに対応するために、ConSentryでは非常にシンプルな形で利用できるセキュリティアプライアンスを提供している」(Prince氏)
LANセキュリティに求められていること
セキュアなLANを構築するために必要なものは3つある。1つ目はアクセスコントロールだ。アクセスするユーザーとマシンへの適切なコントロールは欠かせない。次に、脅威管理が必要だ。これはLANの可用性やオペレーションに関する保護だけではなく、企業のデータの保護も含めて考えなければならない。そして最後に、アクセスログをベースとしたドキュメント化の実行である。業務工程がどうなっているのか、どのようなリソースに誰がアクセスしているのかを可視化しておくことが必要となる。
これらを実行するために必要なのが、ユーザーの認証、デバイスの認証、インターナルIPSといった機器である。さらにゲストアクセスや、LANのセグメンテーション、NACといった機能も求められる。
ConSentryはこれらのニーズに対応する製品として「LANShieldコントローラ」と「LANShieldスイッチ」を提供している。「LANShieldコントローラ」は、既存のシステムをそのまま利用することのできるアプライアンスだ。ネットワークに透過的に導入するだけで利用できるため、既存のインフラに手を加えたり、スイッチのリプレースを行う必要がないのが大きな特徴となっている。また「LANShieldスイッチ」は「LANShieldコントローラ」と同等の機能を持っており、スイッチにセキュリティ機能を組み込んだアプライアンスとなっている。
「長期的な視野で見た場合、セキュリティ機能はスイッチに統合されるだろう。既存のインフラに手をつけたくない、スイッチを変更したくないというユーザーは、まずそのままの環境で利用できるLANShieldコントローラを導入してほしい。その上で、いずれLANShieldスイッチに移行するというのが自然な流れとなるだろう」(Prince氏)
