SGスイッチの機能

2010年12月10日(金)
新納 辰見

MDS(Multi Dimension Security)セキュリティ・エンジン

SGスイッチのセキュリティの中核をなす要素がMDSである。ASICベースのセキュリティ・チップとセキュリティ・ソフトで構成する。図3に示した通り、MDSはスイッチング・ファブリックとは独立しているため、通信速度そのものには影響を与えない。スイッチング・ファブリックからパケットのコピーを取得し、統計を取ることによって、正しい通信かどうかを分析する。

もちろん、ウイルス定義ファイルやシグネチャなどは使用していない。このため、社外へ通信してファイルを取得する、といったことも必要ない。異常を検知した場合は、自動的にセキュリティ・フィルタを生成し、有害トラフィックに限って遮断する。

ここで、ポート自体を遮断した場合には、ポート配下に別のL2スイッチが接続されているとすれば、そのスイッチにつながっている機器がすべて遮断されてしまう。また、特定のIPやMACアドレスでフィルタリングを行った場合には、該当の端末がブロックされてしまい、業務に支障が出る可能性がある。

SGスイッチの場合、有害トラフィックに限って遮断するため、ユーザー自身は何も気づくことなく業務を継続できる。もちろん、ウイルス対策やセキュリティ・パッチの適用などを行って有害トラフィックが検出されなくなれば、自動的にセキュリティ・フィルタも解除される。

図3: MDS(Multi Dimension Security)セキュリティ・エンジン(クリックで拡大)


SGスイッチによる内部ネットワークのセキュリティ実現イメージ

図4: SGスイッチによる内部ネットワークのセキュリティ実現イメージ(クリックで拡大)


SGスイッチは、なるべくユーザーに近い場所に設置することを推奨する。理由は単純で、すべてのPCがSGスイッチに直接収容されていれば、たとえそのうちの1台がワームに感染したとしても安全だからだ。ネットワーク経由でほかのPCに対して感染活動をする際に、SGスイッチで攻撃パケットをブロックすれば、ほかのPCに被害を及ぼさなくなる。

もちろん、エッジではなくフロアー・スイッチとして使用して、その配下に別途エッジ用途のL2スイッチを置いた場合は、下段のエッジ・スイッチに接続したPC間では感染してしまう。ただし、この場合でも、SGスイッチとは別のスイッチ配下のPCには感染しない。

株式会社ネットワールド

1990年 ネットワールド創立当初からのメンバー
自社製ハードウェアのサポート、Lotus Dominoのインストラクターを経て2001年よりセキュリティ関連製品のサポートに従事

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています