シスコ vs マイクロソフト--セキュリティを巡る巨人同士の対決 - (page 2)

　現在ネットワーク管理の分野ではセキュリティを包括的に取り扱おうとする新たな動きが起こっているが、これが成功するかどうかは両社の出方にかかっている。SobigやMyDoomウイルスなど悪質なウイルスやワームの攻撃による被害が増大するなかで、企業は従来のウイルススキャン技術をネットワーク監視機能と組み合わせ、ネットワークへの攻撃を未然に防ぐ解決策を求めている。

　ネットワーク、セキュリティおよびソフトウェア分野の各企業は、共同でよりプロアクティブなソリューションの開発に取り組んできている。CiscoとMicrosoftはこうした計画の先頭に立っており、両社の計画が成功するかどうかは、新手の攻撃に対する戦いにおいて重大な意味を持つことになる。

　Ciscoは昨年末に、Network Admission Control（NAC）アーキテクチャを発表した。また今年6月には、同社のIPルータにNACソフトウェアを導入し、同アーキテクチャの第1段階が完成したと発表している。同社製スイッチでのサポートが完了するのは2005年前半の予定だ。これに対し、Microsoftは今年7月にNetwork Access Protection（NAP）アーキテクチャを発表した。同社によると、NAPは2005年にリリースの予定だという。

　それぞれのアーキテクチャの背景にある概念は非常によく似ている。ユーザーはネットワークにログオンする前に、自分のコンピュータをネットワーク管理者が管理する第3のマシンにチェックインして、そのマシンがポリシーの要求する条件を満たしていることを保証しなければならない。マシンが条件を満たせば、ユーザーはネットワークへのアクセスを認められる。条件が満たされない場合は、ユーザーの接続はまず制限付きの仮想プライベートLAN接続となり、ポリシーに準拠するよう設定を手動もしくは自動で変更してから、メインのネットワークに転送される仕組みとなる。

　全体的な概念は似ているものの、両社はこの問題に対して異なるアプローチをとっている。CiscoはNACで、問題全体をエンドトゥーエンドで解決しようとしている。同社は主要ウイルス対策プロバイダ3社--McAfee、Symantec、Trend Micro--との技術提携と、Okena買収で得た技術を元に、独自のセキュリティソフトウェア・エージェントを開発した。Ciscoが「Trust Agent」と呼ぶこうしたエージェントは、クライアント上で稼動するだけでなく、EthernetスイッチやIPルータ、ファイアウォール製品などのCisco製ネットワーク機器上でも動く。各エージェントは、エンドポイントが最新の状態で、ポリシーに準拠していることをネットワーク接続前に保証するため、中央のポリシーサーバ経由で互いに通信を行う。

　「我々は、エンドトゥーエンドで機能するソリューションを提供することが重要だと感じた」とCiscoのセキュリティネットワークグループ最高技術責任者（CTO）、Bob Gleichaufは述べている。「我々がクライアント（マシン上）で動く小さなエージェントを構築しているのは、末端のクライアントまで含んだものをネットワークと捉えているからだ」（Gleichauf）

　一方、MicrosoftはNAPアーキテクチャで、中央の管理機能--つまりホストやサーバソフトウェアに焦点を当てる考え方を選んだ。Microsoftでは、セキュリティエージェントをOSに統合して、Windows XPやWindows Server 2003が動くすべてのデスクトップやサーバがNAPに接続するようにする計画だ。同社の現行アーキテクチャにはネットワークエレメント自体は含まれていないが、ネットワークエレメントが中央のサーバ経由でNAPに接続できるよう、同社はすでに複数のネットワーク機器メーカーと提携している。CiscoはまだNAPのパートナー契約を結んでいないが、Juniper NetworksやEnterasys、Extreme Networksなどのライバル数社はすでに契約を結んでいる。