Tweet

検疫ネットワークの未来

なぜ検疫ネットワークが普及しないのか

検疫ネットワークの今後―TNCとSDN

　検疫ネットワークが注目される中、現状ではベンダに依存した独自規格のシステムが多いと述べました。しかし、マルチベンダ環境において検疫ネットワークを標準化しようとする動きも活発です。その1つが、Trusted Computing Group（TCG）により発表されたTrusted Network Connect（TNC）です。

　TCGは、HP、インテル、IBM、マイクロソフト、サン・マイクロシステムズなどが中心となって設立された業界団体です。その目的は、セキュアなコンピューティング環境を実現するためのハードウェアやソフトウェアの業界標準仕様の開発・策定とその推進です。

　TNCはマルチベンダのネットワークに接続されるクライアントPCの健全性とセキュリティ状態を判断し、あらかじめ定義されたセキュリティポリシーに基づきネットワークへのアクセスを制御するアーキテクチャとして、60社以上のTCGメンバー企業が参加しているTNCのサブグループにより開発されました。

　TNCの策定にかかわったファンク・ソフトウェアやチェック・ポイント・ソフトウェア・テクノローズなどでは、TNCに対応した製品のリリースを表明しています。またマイクロソフトが2007年にリリース予定のWindows Longhorn Serverの検疫機能であるNAP（Network Access Protection）もTNCと互換性が保たれる予定です。

　最近、TNCを実装するための2つのAPI「IF-IMC」と「IF-IMV」が発表されました。IF-IMCはTNCクライアントと、パッチやウイルス定義ファイルなどのセキュリティ対策状況のチェックを行うクライアントPCが連携するためのAPIです。また、IF-IMVはTNCサーバとウイルス定義ファイルやパッチを管理するサーバが連携するためのAPIです。

TNCの概念図

　検疫ネットワークの構成は、認証スイッチ方式やゲートウェイ方式となります。例えば802.1x認証を使った認証スイッチ方式の場合、隔離デバイスはL2スイッチ、TNCクライアントが802.1xサプリカント（クライアント）、TNCサーバがRADIUSサーバになります。TNCクライアントは連携しているウイルス定義ファイルやパッチ管理クライアントPCの情報を取得してTNCサーバに送り、TNCサーバは連携しているウイルス対策サーバやパッチ管理サーバにクライアントPC情報がセキュリティポリシーに適合しているか問い合わせ、その結果に基づいて隔離デバイスに対してネットワークのアクセス制御を行います。

●SDN

　もう1つの標準化の動きがシスコシステムズの自己防衛型ネットワークSelf-Defensive Network（SDN）戦略に基づく検疫ネットワークソリューションのNetwork Admission Control（NAC）です。NACでも40社を超えるパートナーが対応製品をリリース、または対応を表明しています。

　NACで利用するネットワーク機器はシスコシステムズのルータやスイッチで、クライアントPCのウイルス対策ソフトとの連携は専用クライアントであるCTA（Cisco Trust Agent）をインストールすることで実現します。ネットワークへのアクセス制御の仕組みはTNCとほぼ同じです。

　このようにウイルス対策ベンダをはじめ、エンドポイントセキュリティの多くのベンダがTNCおよびNACの両方のアライアンスに参加しています。今後は、この2つの規格を軸に標準化が進められ、検疫ネットワークの導入が進んでいくと思われます。

3/3

Index
なぜ検疫ネットワークが普及しないのか
	Page1 4種類の検疫ネットワーク 　-DHCP方式 　-認証スイッチ方式 　-クライアント（パーソナル）ファイアウォール方式 　-ゲートウェイ方式
	Page2 なぜ検疫ネットワークが普及しないのか マネージドサービスという選択肢
	Page3 検疫ネットワークの今後―TNCとSDN

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード