【 ここから本文 】

ネットワーク機器

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[米国]
「NACソリューションの安全性に疑問あり」──セキュリティ専門家が警告

【Black Hat USA 2006 リポート】

(2006年08月03日)

 NAC(Network Access Control)技術は、これまで多くの問題を抱える企業ネットワークの救い主として祭り上げられてきた。しかし、インサイティックスのセキュリティ専門家、オファー・アーキン氏は、「クライアントのアクセスを制御するだけで満足している企業IT管理者は、その考えを見直すべきだ」と警告を発している。

 米国ネバダ州のラスベガスで開催された「Black Hat Briefings」コンファレンス(8月2日・3日)でプレゼンテーションに立ったアーキン氏は、シスコシステムズやマイクロソフト、シマンテックなどのベンダーが提供しているNAC技術の有効性に疑問を呈し、「今日のNACソリューションは、クラッカーが保護システムを回避するのに悪用できる穴でいっぱいだ」と指摘した。

 また、シスコの幹部も、同コンファレンスの中で、「現状のNAC技術は包括的な保護を実現するものとは言い難い」と、アーキン氏の指摘を認めている。

 特定の製品を名指しすることは避けたものの、アーキン氏はプレゼンテーションの全般にわたって、ほとんどのNACソリューションが提供する保護対策は脆弱であり、そうした穴が悪質なクラッカーに悪用され、NAC対応ネットワークへの不正アクセスを招いていると強調した。

 例えば、セキュリティ・ポリシーを実施するためにDHCP(Dynamic Host Configuration Protocol)プロキシ・サーバを用いているNACソリューションは、静的IPアドレスを取得してネットワークに接続しようとするマシンを阻止することができない。そのため、企業ネットワークの多くの部分がNAC製品から見えなくなってしまうと、アーキン氏は指摘する。

 また、シスコの「Network Admission Control」のような、ネットワーク・スイッチを介してアクセスを行うNACソリューションにも弱点が存在するという。

 シスコのNAC技術はスイッチおよびルータを利用するという点に特徴があるが、多くの企業はスイッチング機能とルーティング機能を併せ持つ機器を使用している。クラッカーはそうしたネットワークで管理下に置かれていないスイッチを見つけ、接続を試みるだけで、企業ネットワークに侵入することができると、アーキン氏は警告している。

 同氏はさらに、クラッカーはMACアドレスやIPアドレスを偽装することにより、アクセスが許可されている「既知の」システムに入り込むことができるとも述べている。

 一方、システムにIPアドレスが割り振られる前に802.1xプロトコルを用いてアクセス・ポリシーを実施するタイプのNACソリューションは、綿密な制御が可能という点では優れているが、旧型のハードウェアやプリンタといった802.1xプロトコルをサポートしていないデバイスは保護の対象外になってしまう。

 アーキン氏だけではなく、Black Hatに参加したそのほかのセキュリティ専門家たちも、NAC技術の基盤となる理論に懐疑的な見方をしている。

 イーアイ・デジタル・セキュリティのマーク・メイフレット氏は、シマンテックやマカフィーなどのベンダーの製品にセキュリティ・ホールが発見された場合、ウイルス対策ソフトウェアを使用してシステムが安全かどうかをリポートするNACシステム自体が問題の根源になるおそれがあると指摘した。

 イーアイ・デジタルは、シスコやその他のベンダーのNACソリューションと連携して脆弱性を特定するツールを提供している企業である。

 メイフレット氏によると、悪質なクラッカーはウイルス対策ソフトウェアやWebブラウザ、その他のデスクトップ・ソフトウェアを使って、ウイルスに感染したクライアントであるにもかかわらず、まるで適切なパッチが適用され、ウイルス定義が最新のものに更新されているように見せかけることが可能だという。

 アーキン氏の主張に関してコメントを求められたシスコのCSO(最高セキュリティ責任者)、ジョン・スチュワート氏も、NAC技術はまだ十分に成熟しておらず、完璧なセキュリティを実現するにはほど遠いと認めている。

 「NAC技術はまだ成熟していないが、いずれは、ネットワークを健全な状態に保つのに役立つものに進化するだろう。しかし、虚偽のデータを生成するのに悪用される危険があるかと問われれば、そうだと答えるしかない。とは言え、ネットワーク上のすべてのデバイスが虚偽のデータを生成するようになるとは考えにくい」(スチュワート氏)

 その一方で、スチュワート氏は、「欠点に目がいくのは自然なことかもしれないが、そうした傾向は必ずしも正しくないと思う。われわれは問題の解決を目指して努力を続けており、NACソリューションの長所も語るに値するものだと考えている」と述べている。

(ポール・ロバーツ/InfoWorld オンライン米国版)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

「UTM」実践導入ガイド

「UTM」実践導入ガイド

巧妙化するあらゆる攻撃からネットワークを守る

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:11/29〜12/05

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国