「Cisco Live 2015」で新たなセキュリティ機能／サービスを複数発表

シスコ、IoT/IoE普及に備え「あらゆる場所にセキュリティを」戦略

2015年06月10日 06時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　米シスコシステムズは米国時間6月8日、開催中の「Cisco Live US 2015」において、複数の新たなセキュリティ機能とサービスを発表した。IoE/IoT時代に必要とされるセキュリティ機能を、ネットワーク上の「あらゆる場所」に拡張し、脅威の迅速な検出と影響範囲や被害の最小化を図る。

Cisco Liveで登壇した、シスコエンタープライズソリューションズ VPのインバー・ラッサー・ラーブ氏

同じく登壇した、シスコセキュリティビジネスグループVPのスコット・ハレル氏

　今回の発表は「Security Everywhere」をメインテーマに、分散的な組織ネットワークの末端に至るまで、あらゆるポイントにセキュリティ機能を埋め込み、脅威の可視化とコントロールを図るもの。これにより、脅威の検知や対応を迅速化することで被害を最小限に抑える狙い。具体的には、大きく4つの領域での取り組みが発表されている。

「Security Everywhere」をメインテーマとして、今回の発表は大きく4つの領域での取り組みとなる

　まず、あらゆる場所で高度な脅威保護を行うために、より広範な製品にセキュリティ機能が追加された。エンドポイント向けでは、マルウェア防御技術の「Advanced Malware Protection（AMP）」を、新たにVPNクライアント「Cisco AnyConnect 4.1」にも組み込んだ。またキャンパス／ブランチネットワーク向けに、次世代侵入防御システム（NGIPS）の「FirePOWER」やAMPの機能をISRルーターに組み込み、統合管理可能にした「Cisco FirePOWER Threat Defense for ISR」が発表された。

高度な脅威保護の対象範囲をすみずみまで拡大する“Advanced Threat Protection Everywhere”戦略で、セキュリティ機能を備える製品を拡充

　次に、サービスプロバイダー向けとして、キャリアクラスのパフォーマンスとスケーラビリティ、プログラマビリティを持つ、統合セキュリティアプライアンス「Cisco Firepower 9300プラットフォーム」が発表された。将来的には、シスコ製の次世代IPSやマルウェア防御だけでなく、サードパーティ製のセキュリティコンテナ（DDoS攻撃緩和など）も組み合わせ、柔軟にサービスを構成できるようになる。

テラビットクラスのバックプレーンを持つ「Cisco Firepower 9300プラットフォーム」

　ネットワークそのものに「センサー」および「エンフォーサ（執行者）」の役割を持たせる機能も発表されている。具体的には「Identity Services Engine（ISE）」や「Lancope StealthWatch」「ACIポリシー」「TrustSec」といった製品／技術を用いて、通信の詳細なコンテキストを把握し、危険のある（疑わしい）通信フローを特定し、SDNとセグメンテーションの技術ですばやく封じ込めるというもの。

「センサー」「エンフォーサ」としてのネットワークは、攻撃前／最中／後のいずれの段階にも有効な役割を持つ

「Network as a Sensor/Enforcer」のイメージ。PCに感染したマルウェアがオンラインバンキングの情報を盗み出そうとしたが、ネットワークが“センサー”として検知（左）。マイクロセグメンテーションによりブロックし、被害の最小化を図る（右）

　そのほか、コンテキストベースのネットワークアクセス制御技術であるISEをクラウド型で提供する「ホステッドISEサービス」も発表されている。

　Cisco エンタープライズソリューションズ VPのラーブ氏は、IoT/IoEのデプロイメントを計画している企業においては「『セキュリティとプライバシー』が最大の課題になっている」と指摘。IoT/IoEの発展に伴って攻撃対象となりうるデバイスやデータが増え、犯罪で得られる収益も高まるなど、喫緊の課題であることを強調した。

　「社会のデジタル化は、企業や個人に（良い）可能性を与えるが、一方でハッカーにも（犯罪の）可能性を与えてしまう。犯罪市場は巨大なものになっており、解決しなければならない課題だ」（ラーブ氏）