logo

ネットワークとセキュリティはもう切り離せない

  • このエントリーをはてなブックマークに追加

 君はもう、気がついただろうか?

 最初は、Cisco Systemsがスーパーボウルで放映したテレビコマーシャルだった。ある会社の最高財務責任者(CFO)の娘がゲームをダウンロードしたら、ネットワーク全体がウイルスに感染してしまうというものだ。その2週間後には--今度は本当に--Juniper NetworksがNetScreen Technologiesを40億ドル近い額で買収している。これらは特に顕著な例だが、3ComやEnterasys Networks、Extreme Networks、Nortel Networksなど他のネットワーク機器メーカーの戦略を見れば、ネットワークとセキュリティが一体となりつつあるというはっきりとしたトレンドが見て取れるだろう。

 ネットワーキングとセキュリティは何年も前から親和性の高い技術分野だったが、最近の一体化の傾向はますます加速しているように見える。なぜだろうか? まず、どちらの技術もネットワーク内を移動するビットを監視するものだ。ネットワーク機器はトラフィックを監視して、ルーティングやスイッチ、QoSなどの判断を行っている。セキュリティ機器は、同じトラフィックを監視して、プロトコル異常や既知の攻撃パターン、ウイルス、ワームなどを探している。

 ネットワーク機器には以前からパケットフィルタリングなどの基本的なセキュリティ機能が備わっていたものの、この2つの世界を統合するという発想はいままで真剣に検討されなかった。両者とも、単独でも大量のCPUパワーを消費するため、ネットワークとセキュリティを一体化させると高価になりすぎるうえに運営コストも高くなり、動作が重くなってしまうと考えられていたのだ。

 さらに、ネットワークエンジニアたちは、いつも性能だけに着目して機器を購入してきた。ネットワーク技術にとっては、セキュリティは後から付け加えられたものであり、1人か2人の献身的なスタッフメンバーが、ネットワークのスピードを落とさないよう十分に注意を払いながらセキュリティ機能を運営する、という状態だった。

 しかし、時代は変わり、今日の多層化された企業ネットワークの帯域には十分な余裕がある。ネットワークエンジニアは、ビジネス上の目的を果たすのに適切なサービスレベルを提供することを目標に、アプリケーションのトラフィックフローに関心を寄せている。セキュリティはもはやITの意地悪な異母姉妹的存在ではなく、システムの可用性や性能を保証するうえで重要なプロセスとなっているのだ。「ネットワークの境界」(ファイアウォールを設置するネットワーク上の場所)という概念が廃れたことを考えると、この話は実に真実味を帯びてくる。

 最近では、従業員もビジネスパートナーも、顧客も、そしてたまにしか利用しないユーザーも、仮想プライベートネットワークやワイヤレスネットワーク、エクストラネット、リモートアクセスサーバ、ウェブなどを経て、さまざまな空間が広がるネットワークへと接続している。こうした状況によって、セキュリティ上の複雑さが生まれているのではないだろうか? Webサービスがブームになって、インターネット上で内部アプリケーションが公開されるようになれば、もうとんでもないことになるに違いない!

 セキュアなネットワーク構築の必要性というプレッシャーがかつてないほど高まっているのは間違いない。幸い、CPUやメモリ、クロスバーバックプレーンなどは高速化し、価格も下がっていることから、新たなハードウェアにはこうした需要に応じる用意がある。NortelのPassportルーティングスイッチやCiscoのCatalyst、3Comのセキュリティスイッチ6200といったハードウェアプラットフォームは、最小のネットワークレイテンシーでビットを処理・伝送しながら、同時に数々のセキュリティタスクやネットワークタスクを処理できる。侵入検知や内部ファイアウォールも必要なら、スイッチに1台ブレードを足せばいい。アプリケーションパケットインスペクションも、次のソフトウェア更新で対応されるはずだ。

 こうしたネットワークとセキュリティの統合のトレンドは、厄介なおんぼろパソコンにまで及んでいる。超一流のセキュリティを導入しても、多くのインターネットワームは、感染したノートパソコンやセキュリティの甘い家庭用コンピュータから企業ネットワークに持ち込まれる。1台のマシンが感染すればネットワーク全体に被害が及ぶ。次世代ネットワークスイッチでは、IEEE 802.1xプロトコルを使用するパソコンを認証し、ウイルス対策シグネチャやパッチの適用状況、パーソナルファイアウォールの設定、既知の悪質コードなどを直ちにスキャンするので、こうした問題が緩和されるだろう。企業のセキュリティポリシーに準拠しないPCは、ネットワークリソースへのアクセスを拒否され、避難用サブネットに隔離されるか、自動更新や自動修正を施される。こうしたネットワークオートメーションならば、どの企業の最高情報責任者(CIO)だって歓迎するだろう。

 ネットワークとセキュリティの融合の究極的な目標は、ネットワークのユビキタス性を利用して保護の必要な資産を守ることだ。この計画を進めていけば、エージェント技術や管理ツールを含むシステムに発展するかもしれないが、ネットワークとソフトウェアの性能が向上することでこの計画は実現するだろう。勝者はネットワークの中軸を支配し、関連マージンからも利益を得るだろう。敗者は、大量生産でマージンの少ないイーサネットスイッチの分野で、DellやHuawei Technologiesなどとわずかなシェアを争うことになるだろう。

 このネットワークとセキュリティの融合は、業界にとってはどういう意味を持つのだろうか。基本的に、Check Point Software Technologiesなどの市場リーダーからMazu NetworksやMirage Networksなどの革新的ポイントソリューション企業に至るまで、あらゆる企業がこの分野に参入している。ベンチャーキャピタルも、契約がし尽くされる前にリターンを得ようと、必死に企業に投資している。

 それから、Microsoftを忘れてはいけない。Microsoftは現在、オペレーティングシステムエージェントと、Internet Security and Acceleration ServerなどのセキュリティソフトウェアやActive Directory、System Management Service、Microsoft Operations Managerといった既存の管理ツールとを組み合わせたセキュリティ方策を準備中だ。

 今後数年にわたり、システムの監視や管理、効果的なポリシー適用を進めるために奮闘しているITマネージャーのネットワークやセキュリティのニーズに応えるフィルタリングマシンインターフェースが追加されるだろう。最終的には管理ソフトウェアがこの混迷を解く答えとなるだろう。管理ソフトウェアの分野では、皆に勝利のチャンスがある。Computer Associates InternationalやSymantecは早くから市場に参入しリードしているが、ネットワーク大手のCiscoや、ネットワーク管理ソフトメーカーのSystem Management ArtsやMicromuse、ArcSightやIntellitactics、Network Intelligenceなどの新興企業など、さまざまな企業が競争に参加することになるだろう。

 ゲームは進行中だ。そして、ウォール街からカリフォルニア州サンノゼまで、さまざまな企業が勝者、敗者となることだろう。これは、企業のIT部門にとっては素晴らしいことだ。ネットワーク企業は製品にセキュリティ機能をバンドルするようになるし、生き残ったセキュリティ会社は、より革新的な製品と低価格化で競争していかねばならなくなる。CIOたちはネットワークチームとセキュリティチームの連携を進め、革新的な製品やバンドル製品などに柔軟な態度をとっていくべきだろう。あらゆることが起こりうるのだから。

筆者略歴
Jon Oltsik
Enterprise Strategy Groupのシニアアナリスト

-PR-企画特集