SGスイッチの機能

MDS（Multi Dimension Security）セキュリティ・エンジン

SGスイッチのセキュリティの中核をなす要素がMDSである。ASICベースのセキュリティ・チップとセキュリティ・ソフトで構成する。図3に示した通り、MDSはスイッチング・ファブリックとは独立しているため、通信速度そのものには影響を与えない。スイッチング・ファブリックからパケットのコピーを取得し、統計を取ることによって、正しい通信かどうかを分析する。

もちろん、ウイルス定義ファイルやシグネチャなどは使用していない。このため、社外へ通信してファイルを取得する、といったことも必要ない。異常を検知した場合は、自動的にセキュリティ・フィルタを生成し、有害トラフィックに限って遮断する。

ここで、ポート自体を遮断した場合には、ポート配下に別のL2スイッチが接続されているとすれば、そのスイッチにつながっている機器がすべて遮断されてしまう。また、特定のIPやMACアドレスでフィルタリングを行った場合には、該当の端末がブロックされてしまい、業務に支障が出る可能性がある。

SGスイッチの場合、有害トラフィックに限って遮断するため、ユーザー自身は何も気づくことなく業務を継続できる。もちろん、ウイルス対策やセキュリティ・パッチの適用などを行って有害トラフィックが検出されなくなれば、自動的にセキュリティ・フィルタも解除される。

SGスイッチによる内部ネットワークのセキュリティ実現イメージ

SGスイッチは、なるべくユーザーに近い場所に設置することを推奨する。理由は単純で、すべてのPCがSGスイッチに直接収容されていれば、たとえそのうちの1台がワームに感染したとしても安全だからだ。ネットワーク経由でほかのPCに対して感染活動をする際に、SGスイッチで攻撃パケットをブロックすれば、ほかのPCに被害を及ぼさなくなる。

もちろん、エッジではなくフロアー・スイッチとして使用して、その配下に別途エッジ用途のL2スイッチを置いた場合は、下段のエッジ・スイッチに接続したPC間では感染してしまう。ただし、この場合でも、SGスイッチとは別のスイッチ配下のPCには感染しない。