“REAL IT PLATFORM”を実現するNECのミドルウェア

協調型セキュリティを実現する NEC「InfoCage」

2007年8月29日

初出:ネットワークセキュリティ Expert 5(2006年12月8日発売)

この記事を読むのに必要な時間:およそ 4 分

協調型セキュリティとは

前述のように,現在の複雑なセキュリティリスクをコントロールするためには,守るべきポイントごとの静的な技術的対策では限界になってきています。そこで,守るべきポイントごとの対策と組織全体でのセキュリティレベルの維持を両立させるためのセキュリティ対策が協調型セキュリティです。

協調型セキュリティの特長は次のようなものです図2⁠。

図2 協調型セキュリティ
統一したポリシのもと,各ポイントでの対策が協調することにより,複雑化している脅威に(認証,アクセス権限,ログで)動的に対処する。ポイントごとの対策を追加していくとお互いが協調し,組織全体のセキュリティレベルが向上。

<strong>図2 協調型セキュリティ</strong><br />統一したポリシのもと,各ポイントでの対策が協調することにより,複雑化している脅威に(認証,アクセス権限,ログで)動的に対処する。ポイントごとの対策を追加していくとお互いが協調し,組織全体のセキュリティレベルが向上。

  • 統一されたポリシのもと,各対象での対策が協調することにより,複雑化している脅威に動的に対処する
  • 対象ごとの対策を追加していくとお互い協調し,組織全体のセキュリティレベルが向上する

協調型セキュリティは,既存の対策をすべて一新するものではありません。既存の対策にポイントごとの対策を順次追加していくだけでも効果を発揮し,さらにPDCA(Plan-Do-Check-Act)を回しながら対策製品を追加導入することで,セキュリティレベルを向上させるというしくみなのです。

協調型セキュリティの実現例

「協調型セキュリティ」の実現例をいくつか見ていきましょう。

PC検疫システム

PC検疫システムとは,PCが組織内ネットワークに接続される際にそのPCのセキュリティレベルをチェックし,組織内のポリシに適合していない場合,業務ネットワークから隔離された専用の検疫ネットワークに接続させるしくみです。組織外でインターネットに接続した結果セキュリティリスクを抱え,そのまま組織内に接続してウイルス/ワームを発生させる事件が頻発したため,急速にニーズが高まっているソリューションです。

PC検疫システムは,従来のクライアントセキュリティ対策とネットワークセキュリティ対策が別であれば実現しないソリューションであり,それぞれが協調することによって実現する対策です図3⁠。

図3 PC検疫システム
クライアントセキュリティとネットワークセキュリティが協調して構築される。

図3 PC検疫システム

検疫ツール市場No.1のCapsSuiteでは,PC検疫システムを実現するために動的にコントロールされる場所を,

  • クライアント側のファイアウォール
  • ネットワーク認証
  • サーバ側のファイアウォール

という3つの考え方で実現しています。それぞれについて簡単に解説します。

注)
「2006ネットワークセキュリティビジネス総覧」⁠富士キメラ総研)による
クライアントファイアウォール方式

PC側にユーザが操作できないファイアウォールを導入することにより,組織内のポリシを満たしていない場合は,治療するために必要なアプリケーションポート以外のポートを開けない方式です。組織のポリシサーバと協調することにより,PCのセキュリティリスクが高い場合に自動で組織内にそのリスクを持ち込ませないことが実現できるようになります。

この方式ではPCにファイアウォールを導入するので,PCの要塞化も同時に行えるメリットがあります。

認証VLAN方式,IEEE802.1X認証方式,ゲートウェイ方式

ネットワーク認証とクライアントセキュリティの協調によって実現する方式です。クライアントがネットワーク認証を行うときに,そのPCのセキュリティレベルをチェックし,ポリシを満たしているかどうかによってネットワークの接続先を変更する方式です。

従来のネットワーク認証では正規のクライアントであれば接続できてしまいますが,ネットワークセキュリティとクライアントセキュリティが協調することにより,認証時のポリシ適合状況に応じて動的にネットワークの接続先を変更させることができます。

サーバファイアウォール方式

サーバ側でのアクセスの認証時に,クライアントがセキュリティポリシを満たしているかによって接続許可を動的に変更するしくみです。これは,クライアントセキュリティとサーバセキュリティが協調することによって実現するものです。

現在のPC検疫システムは,協調型セキュリティの考え方の一部を実現しただけであり,セキュリティポリシの適用方法などによっては,今後もさまざまなソリューションを実現することが可能になります。

ウイルス発生事後対策への適用

イントラネットでウイルス感染が発生した場合,被害を局所化して最小限に食い止め復旧する必要があります。しかし,被害を局所化するために膨大な工数が発生することが多々あります。

この部分を自動化するためには,ネットワークセキュリティとクライアントセキュリティの協調が考えられます。まず,IDSがウイルス/ワームの発生を確認し,該当PCを検疫システムを使って隔離します。さらに,近辺に接続されたPCのアンチウイルスソフトウェアを起動させることによって,問題発見から被害の局所化までを自動でできるようになります。

このように,事後対策としても協調型セキュリティの考え方は適用できます。

コンテンツセキュリティへの適用

コンテンツセキュリティでは暗号化などの対策を採ることがありますが,組織内の情報共有においては,暗号化を意識することが業務効率を下げることにつながる可能性があります。

そこで,コンテンツセキュリティとクライアントセキュリティが協調することによって,コンテンツは自動暗号化を行い,組織内のセキュリティポリシを満たしたPCであれば自動復号を行い,それ以外は復号できないようにします。こうすることにより,組織内の情報共有の効率性とセキュリティレベルを両立させることができます。

他にも,クライアントのセキュリティレベルに応じてサーバの情報持ち出し権限を動的に変更することで,機密情報の漏えい対策を実現することも可能になります。

著者プロフィール

森野淳一(もりのじゅんいち)

日本電気株式会社。