NTTアドバンステクノロジ(NTT-AT)は2019年4月24日、ネットワークを安全に使うための製品の1つとして、ネットワークセッション(TCP)の最初のパケット(SYN)に対して破棄などのセキュリティポリシーを実施できるセキュリティ製品「BlackRidge TAC(Transport Access Control)」を発表した。2019年4月から販売を開始した。価格は個別見積もり。開発会社は、米BlackRidge Technology。
BlackRidge TACは、TCPのネットワークセッションを確立するためにクライアントがサーバーに対して送信する最初のパケット(SYNパケット)に対してセキュリティポリシーを実施する製品である(図1)。SYNパケットに認証用のIDを埋め込んでおくことで、パケットを送信したユーザーやデバイスをセッション確立前に認証する。本来アクセス権が無い攻撃者や第三者のアクセスから情報資産を守る。
図1:BlackRidge TACの概要。TCPヘッダーのシーケンス番号フィールドに独自のIDトークンを埋め込んで認証する(出典:NTTアドバンステクノロジ)拡大画像表示
アクセス先の情報資産の手前にBlackRidgeのゲートウェイを設置し、アクセス元のコンピュータにはBlackRidgeのエンドポイントソフトを導入する。これにより、ゲートウェイとエンドポイントを介して、アクセス透過的にBlackRidgeのセキュリティ機能を利用できる。ユーザーは、BlackRidgeを使っていることを意識することはなく、既存のネットワークに変更を加えることなく利用できる。
パケットを認証するための仕掛けとして、TCPヘッダーのシーケンス番号フィールドに、ハッシュ関数で生成した独自のIDトークンを埋め込む。IDトークンは、アクセス元のユーザーIDまたはデバイスIDに関連付けて生成する。このように、既存のネットワーク通信の仕組みの上でセキュリティ機能を実現している。
NTT-ATは、想定する用途として、個々の業務アプリケーションへのアクセス可否をBlackRidgeで制御する「マイクロセグメンテーション化」の使い方をアピールしている。部署ごと、端末ごと、ユーザーごとにセグメントを分離できる。万が一感染端末が発生した際も、アクセス権がない業務アプリケーションに対して影響を与えない環境を実現できる。
稼働環境は、以下の通り。ゲートウェイは、物理アプライアンスと仮想アプライアンスがある。2019年4月現在、NTT-ATは物理アプライアンスを販売する予定はなく、仮想アプライアンスのみを販売する。BlackRidgeのエンドポイントソフトは、Windows7、Windows10、Ubuntuで動作する。今後、LinuxとmacOS向けも登場する予定である。仮想クライアントと呼ぶクライアント製品も用意している。この他に、BlackRidge環境を統合管理する管理サーバーが存在する。
