高速・詳細なパケット解析でセキュリティ確保、コンセントリー

2006/7/25

米コンセントリーネットワークス会長兼CTO ジェフ・プリンス氏

 2006年6月に日本市場への本格参入を発表した米コンセントリーネットワークス会長兼CTO ジェフ・プリンス(Jeff Prince)氏は7月20日、同社のセキュリティ製品シリーズについて説明した。

 2006年6月上旬に開催されたInterop Tokyo 2006(主催:CMPジャパン)においてセキュリティ部門のグランプリを獲得したコンセントリーの「LANShieldシリーズ」は、社内ネットワークのトラフィック制御を目的としている。社内バックボーンと外部接続の境界にブリッジとして(インラインで)設置する「LANShieldコントローラ」が発売されているほか、エッジスイッチとして設置して社内ユーザー同士の通信を含めたきめ細かな制御を実現する「LANShieldスイッチ」が9〜10月に国内発売の予定。

 これらの製品は検疫ネットワーク機能を持ち、シマンテックやマカフィーなどのクライアントセキュリティ製品と連携して、クライアントが最新ウイルスパターンを搭載しているかなどをチェックしてから社内LANへの接続を許可することができる。また、コントローラあるいはスイッチから、その場でチェックプログラムをプッシュするクライアントレス構成も実現可能。

 ユーザー認証機能は、同製品シリーズのパケット監視機能を生かしたユニークな機能だ。例えばActive DirectoryやRADIUSの認証を受けたユーザーや、DHCPサーバによって割り当てられたIPアドレスを使うユーザーのみのパケットを通し、それ以外はブロックする設定ができる。スイッチが搭載する認証ポータル機能を使って社内ネットワークの利用を制御することもできる。

 同様にパケット監視機能を生かし、ユーザーやユーザーグループを単位として設定するポリシーに基づいて、トラフィック制御を行うこともできる。例えばゲストユーザーにはインターネットへの接続のみを許可する、営業スタッフについてはFTPやtelnetを使うことを禁止するなどの設定が可能。ユーザー単位でトラフィックを制御するには、どのユーザーがどのMACアドレス/IPアドレスを利用しているかが分からなければならないが、これはユーザー認証におけるプロトコルを見て、MACアドレス/IPアドレスとユーザー名をひも付けし、管理することによって実現されている。

 コンセントリーでは、従来のセキュリティスイッチとの違いとして、パケットをレイヤ7まで解析し制御する高速処理機能を挙げる。同社のセキュリティ製品では、一般的なスイッチと同様、ASICでTCP/UDPのパケット転送を高速化しているが、さらに128のプロセッサを搭載、上位レイヤの識別や制御を実現している。

 上位レイヤの処理負荷をこれらのプロセッサにどう分担させるかについてプリンス氏は、「コンセントリーの製品はすべてユーザー単位で動作する。当社の製品では各ユーザーのためのデータベースを作成し、各ユーザーが動作させているアプリケーションや、各アプリケーションからの応答を記録している。そこで、各ユーザーを32個のCPUから成るクラスターのいずれかに割り当てて処理を行う」としている。

 これらプロセッサによる上位レイヤの処理はソフトウェアベースだが、すべてのパケットをソフトウェア処理するわけではない。各トラフィックフローの最初のいくつかのパケットだけを上位レイヤまで見ればいいので、10Gbpsクラスのパフォーマンスを維持することができるという。

 各トラフィックフローに関する記録は、ユーザー名と結び付けられた形でデータベースに記録し、後で閲覧することができる。この機能は内部統制の観点から注目されているとプリンス氏は話す。

 プリンス氏はコンセントリーの共同創設者だが、それ以前にはセンティリオンネットワークスやファウンドリーネットワークスを創設している。コンセントリー設立の経緯について同氏は、「ファウンドリーの負荷分散製品では、他社のASICを調達して製品に組み込んでいたが、パフォーマンスの限界を感じていた。そこで多数の汎用CPUを使って力ずくで処理することなく、ASICで解決する方法を見出したかったこと、そしてこれまでネットワークの利用を促進する企業を次々につくってきたが、ネットワークの便利さがセキュリティの問題も引き起こしていることに関して責任を果たしたいと思ったこと」を挙げている。

(@IT 三木泉)

[関連リンク]
米コンセントリーネットワークス

[関連記事]
エクストリーム、スイッチと連携した検疫と暗号化製品発売へ (@ITNews)
懐かしい技術で次世代企業データセンタを救うスイッチ (@ITNews)
「知らなかった攻撃からも守る」、ノーテルのセキュリティ (@ITNews)

情報をお寄せください:



最新記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
@IT