PR
米コンセントリー・ネットワークスのトム・バージ社長兼CEO
米コンセントリー・ネットワークスのトム・バージ社長兼CEO
[画像のクリックで拡大表示]

 ウイルスや社内犯行に起因する情報漏えい事件が相次いでいる。社内LANを積極的に監視・管理する必要が出てきた。そんな中,社内LANの安全をコンセプトとした製品が米国のベンチャー企業,コンセントリー・ネットワークスから登場した。同社のトム・バージ社長兼CEOに話を聞いた。(聞き手は中道 理=日経コミュニケーション
 
――製品の特徴やタイプについて聞きたい。

 LAN内に設置するだけで,さまざまなセキュリティ機能を実現できる。製品形態には二つある。一つは各端末からの回線を束ねた個所に設置する「LANシールドコントローラ」。もう一つはLANのエッジ・スイッチを置き換える「LANシールドスイッチ」である。どちらもブリッジとして働くので,既存のネットワークにつなぐだけで利用できる。IPアドレスの設定やLANの構成の変更などは必要ない。

 両製品の違いは,セキュリティの強固さ。前者のコントローラでは機能を提供する場所が束ねた部分になるので,その配下の端末同士が直接通信できるような構成になっている場合に危険が残る。スイッチの場合は,各端末の通信を個別に監視できるので,より安全と言える。

 導入のシナリオとしてはLANシールドコントローラを導入して,セキュリティをある程度強化した後,各エッジのスイッチの更新時期にLANシールドスイッチに交換する流れを想定している。
 
――実現できるセキュリティ機能には何があるのか。

 大きく四つの機能を提供する。第1は検疫ネットワーク機能。ユーザーが正当であることを確認してからLANに接続できるようにする。ユーザーの正当性は,各端末とActive Directoryとがやり取りする認証パケットを監視して判断する。

 第2は通信の可視化。誰がいつ,どこにアクセスしたかをロギングできる。例えば,Aというユーザー名の人物がどのファイル・サーバーのどのファイルにアクセスしたかが分かる。Windowsのファイル共有プロトコルのほか,HTTP, FTP, DNS,SIPなどを可視化できる。

 第3が,ユーザーごとのアクセス・コントロール。第2の可視化機能を利用することで例えば,Marketingというファイル・サーバーのConfidentioalフォルダには部長以上しかアクセスできないといったことが指定できる。また,アプリケーション,ユーザーごとにQoS(quality of service)を設定することが可能だ。

 第4が脅威の抑止。ネットワーク上での異常な挙動の端末を見つけ,ネットワークから切り離す。

――盛りだくさんな機能だが,パフォーマンスはどうか。

 OSI参照モデルのレイヤー7までをチェックしているが,パフォーマンスは落ちない。ほぼワイヤー・スピードだ。その秘密は,プログラムによって構成を変更可能な128コアのCPUにある。

 信頼性も高い。冗長構成が可能で,セッションを途切れさせることなく,バックアップに切り替わる。
 
――最近,非常に限定した組織に対して,未知のウイルスを送りつけ,情報漏えいを狙うスピア型攻撃が増えている。こういった脅威にどこまで対抗できるのか。

 入り込んだものが,独自の通信プロトコルを使って情報を漏えいさせるのであれば,LANコントローラやスイッチで検知することができる。しかし,HTTPやFTPなどの一般的なプロトコルを使って通信する場合は検知するのは難しい。現在,イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズのクライアント保護ソフトウエア「Integrity」と連携できるので,こちらで不正プログラムを見つけて,通信をブロックすることができるかもしれない。とはいえ,万全の対策にはならない。こういった問題に対抗するシステムを開発中であり,年内には明らかにできるのではないか。