買収を繰り返しながらセキュリティ・ソリューションの充実を図るシスコ。今年6月にはSDN 3.0(SDNは自己防衛型ネットワーク)を発表した。シスコのセキュリティ・ソリューションはどこまで来たのか。セキュリティ・マーケティング担当のマイケル・ジョーンズ シニア・プロダクトライン・マネージャに聞いた。
セキュリティに関してシスコが注力するポイントは何か。
 米シスコ セキュリティ・マーケティング担当 シニア・プロダクトライン・マネージャのマイケル・ジョーンズ氏 [画像のクリックで拡大表示] |
目指しているのは,適応型(アダプティブ)の統合セキュリティを提供すること。ネットワーク機器,各種端末,サーバーとあらゆる部分で守りを固める。そして,それぞれの個所で,トラフィックのパターンやソフトウエアの動作から攻撃を検知して自動的に防御する。
最近は,ベンダーが対策を講じられていないぜい弱性を悪用する攻撃もあるが。
そういう攻撃についても,予測して先手を打つ仕組みを実装してある。当社の専任者たちが新しいぜい弱性を常にウォッチし,そのぜい弱性を悪用する攻撃のパターンを予測してシグニチャ(バルナラビリティ・ベース・シグニチャと呼ぶ)を作る。
こうすることで,ユーザーは実際に攻撃が発生するよりも前に対策を打てる。我々は「デイ・マイナス15(攻撃が発生する15日前)」と呼んでいる。ほかにも,ネットワーク上のどこかで不審な通信を見つけた場合に,ネットワーク機器を協調させて攻撃を妨げるような仕組みもある。SDNには,こうした様々な仕組みを実装してきた。
今年6月にSDN 3.0を発表した。従来との違いは何か。
主な強化点は二つ。コンテンツ・セキュリティとアプリケーション・セキュリティの強化だ。どちらもこの12カ月の間に買収した企業の技術を取り込んで実現した。買収したのは米アイアンポート・システムズと米リアクティビティの2社で,両社の技術を取り込むことで,今までよりも幅広い対策が可能になった。
アイアンポートの技術は,例えばメールやWebのデータに含まれる悪意あるコードを見つけ出すもの。マルウエアなどからクライアント・アプリケーションを守ることができる。ボットのリアルタイム検知も可能だ。
もう一方のリアクティビティの技術はサーバー・アプリケーションを守るためのもので,一言で言えばXMLファイアウォール。最近は,企業間をはじめシステムを連携させる際に,XML形式でメッセージをやり取りすることが多くなった。そのメッセージの内容まで解析する「ディープ・インスペクション」技術をSDNに取り込んだ。SQLインジェクションなどの攻撃を検知し,防御できる。
セキュリティ・ソリューションとして,ほかに強化している点はあるか。
セキュアなモビリティの実現に注力している。具体的には,ファイアウォールやVPNゲートウエイのアプライアンス製品「ASAシリーズ」に実装したSSL-VPN機能を中核として,いつでもどこからでも安全にネットワークを利用できる環境を実現する。最近は,Web 2.0に総称される技術の台頭により,どこからでもいろいろなアプリケーションを利用できる。実際シスコでは,Web 2.0技術を活用してモビリティを高めることで,年に数百万ドルのコストを節約できた。
ただ,こうした環境では,VPNを介してマルウエアなどが社内ネットワークに入り込んでくる可能性を否定できない。そこで外部からの入り口にASAシリーズが効果を発揮する。ユーザーの利用環境を含めて認証し,コンテンツ・チェックやアクセス制御を実施することで社内ネットワークを守る。
VoIP(voice over IP),ビデオ会議など遅延にセンシティブなアプリケーションの利用に支障が出ないように,UDP版のSSLに相当するDTLS(datagram transport layer security)という技術も実装した。
セキュリティ・ソリューションとしてまだ機能的に足りない部分はあるか。
今後の製品計画にかかわる話で,細かいことは言えない。ユーザーが困っている問題点を探り,一つずつ対処していくつもりだ。
