SGスイッチの機能

セキュリティ・スイッチと呼ばれるL2スイッチがある。一般に、認証機能を持つスイッチを指している。しかし、この種のスイッチは多数存在する。セキュリティ・スイッチと言っても、実態はさまざまだ。筆者もよく、社内から「SGスイッチは、○○○社の△△△と比較して、どう違うのか」という問い合わせや「比較表を作ってほしい」という依頼を受ける。

こうした際、単に「SGスイッチは△△△とは全く違うスイッチだ」と答えるわけにはいかない。かといって、細かく説明すると、余計に分からなくなってしまう。このため、一言で説明する場合は「ネットワークからの攻撃を防ぐことができて、管理が簡単なスイッチだ」と言うことが多い。今回は、この「攻撃を防ぐ」という部分を中心に、SGスイッチの機能を解説していく。

SGスイッチの概要

前回も軽く説明したが、SGスイッチは、韓国Handreamnetの製品である。韓国Samsung Electronics（サムスン電子）や韓国LG-Ericssonといった世界規模の企業にOEM（相手先ブランドによる生産）供給しており、韓国国内ではL2スイッチ市場の30%以上のシェアを占めている。

現在日本国内で販売されている主要な製品は、図1に示した4種類。間もなく、エントリ機種として8ポートのGigaスイッチがラインアップに加わる。

今回は説明を割愛するが、SGスイッチは、セキュリティ面だけでなく、ほかの機能も高い。一般的なインテリジェント・スイッチに搭載されている機能は、ほぼすべて備えている。ネットワーク技術者が慣れ親しんだコマンド体系（米Cisco SystemsのIOSに似たCLI）に準じた操作ができるため、スイッチの設定に戸惑うこともない。

なお、SGスイッチの「SG」は、"Sub GATE"の略である。これは、韓国Handreamnetが日本以外の国で販売しているUTM（統合脅威管理）製品の名称である。

SGスイッチが提供するセキュリティ機能

以下では、SGスイッチのセキュリティ機能を詳しく説明する。図2に示した通り、SGスイッチのセキュリティ機能は、大きく分けて3層になっている。

認証

一般的なセキュリティ・スイッチに搭載されているのは、この機能。L2のレベルで認証を行う。SGスイッチも、IEEE 802.1X認証、Web認証、MAC認証が可能。特徴は、RADIUSサーバーを内蔵していること。これにより、SGスイッチ単体で最大512端末まで、外部RADIUSサーバー使用時は、ポートあたり32端末まで認証できる。

内部ハッキング遮断

ARP Spoofingを検出し、盗聴や改ざんを防止する。ほかの一部のL2スイッチでも、ブロック可能なものがあるようだが、通常はスイッチ自身への攻撃に限って有効である。一方、SGスイッチでは、自身を通過する任意のパケットに対して検出や遮断が可能である。

有害トラフィック遮断

L2～L4までのトラフィックを分析して、DoS/DDoSなどの有害トラフィックを遮断する。また、ワームの拡散動作（IPスキャン・ポートスキャン）を遮断して2次感染を最小限に抑える。

「セキュリティ機能を有効にすると、L2スイッチとしてのパフォーマンスの低下や遅延が発生するのではないか」という質問をよく受ける。答えは否だ。SGスイッチは、ほかの機器とは異なるアプローチ（後述するセキュリティ・エンジン）でセキュリティ機能を実現しているため、ワイヤー・スピードでの通信を維持している。