Intel、新「vPro」にNAC技術を統合へ――NAC業界は「普及を後押しする」と歓迎
新vProのCPUとなる「Core 2 Duo」には、新たなセキュリティ機能が搭載されている。中でも特筆すべきは、NAC技術と米国Cisco SystemsのNAC(Network Admission Control)ガイドラインとの相互運用性に関する802.1x規格のサポート(同プロセッサの「Intel Embedded Trust Agent」で提供)である。
NACとは、PCのシステム構成情報にアクセスし、構成設定やセキュリティ・ポリシーへの適合状況を識別して、自動的に各PCのネットワーク・アクセス・レベルを決定する、ネットワーク・アーキテクチャ技術である。
またNACは、企業がパートナー企業とITシステムを共有する場合など、部分的なアクセス制御の有効手段としても注目されている。
Intelによると、Trust Agentを使うことで、デバイスのアイデンティティ情報をプロセッサから直接収集するNACシステムを提供でき、PCのOSとやり取りする必要はなくなるという。
セキュリティ研究者らによると、悪意のある攻撃者は、アクセスするデバイスの情報を偽造し、アクセス許可されているデバイスになりすますことで、NACを回避しているという。Intelは、新vProに統合されるNAC機能を利用し、PCのアイデンティティ・データをプロセッサに記録することで、そうした攻撃の大半は排除できるとしている。
Intelは今回、Trust AgentとMicrosoft版NAC(Network Access Protection[NAP]と呼ばれている)との関係について言及していない。ただし、CiscoとMicrosoftは以前、お互いのネットワーク認証システムに互換性を持たせることで合意している。
8月27日の新vProの発表会に参加したCiscoの幹部は、新vProにNAC技術が統合されることで、企業は積極的に新vProを採用するだろうと語った。
Ciscoのセキュリティ・テクノロジー・グループでシニア・プロダクト・マネジャーを務めるブレンダン・オニール氏は、「NACの強みは、ポリシーに適合した信頼できるデバイスのみが、ネットワークへアクセスできることだ。NACがハードウェア(新vPro)に直接アクセスできれば、OSやソフトウェアとのやり取りだけでは不可能だった機能も実現できる」とコメントした。
実は、CPUベースのセキュリティ・ツールを販売していたベンダーは、過去に存在した。最も有名なベンダーは、米国フェニックス・テクノロジーズだろう。しかし、同社がリリースした、 CPUベースのセキュリティ・ツールはユーザーからまったく評価されず、同社はほとんどのセキュリティ・ツールを廃棄処分としている。
NAC製品を販売しているサード・ベンダーは、新vProがNACを統合することについて、「NACへの関心を喚起できるとともに、Intelがサポートする規格が中心となり、業界がまとまるのではないか」と期待している。
NACソフトウェアのベンダー、米国スティルセキュアでCSO(最高戦略責任者)を務めるアラン・シメル氏は、「新vProがNACを統合することを歓迎する。さらに米国AMDがIntelと同様の802.1x規格でNACを統合すれば、NAC業界全体によい影響をもたらすはずだ」としつつも、以下のように指摘する。
「ほとんどのNACシステムは、デバイスのOS上で稼働するソフトウェアを利用してユーザー識別データをやり取りしないかぎり、完全な認証機能を実現することはできないだろう」(シメル氏)
また、一部のIT業界関係者は、CPUレベルでNACが統合されても、企業ユーザーが本格的にNACを導入するまでには、かなりの時間がかかると見ているようだ。
米国Forrester Researchでアナリストを務めるポール・スタンプ氏は、「NACは、クレジットカード業界のデータ・セキュリティ基準『Payment Card Industry(PCI)』などの政府規制に直接対応できない。そのためNAC製品に予算を割り当てている企業は、まだ少数派だ」と指摘する。
「NACの問題点は、NAC製品を導入したからといって、(NAC単体では)法令順守にならず、特定の攻撃には対処できないことだ。NACが真価を発揮するのは、企業が現在のセキュリティ技術では対応できないほど多くのモバイル・デバイスを、企業ネットワーク上で利用したときだ。本格的に需要が発生するには、あと5年はかかるだろう」(スタンプ氏)
(マット・ハインズ/InfoWorld米国版)
米国Intel
http://www.intel.com/
米国Cisco Systems
http://www.cisco.com/
提供:Computerworld.jp