[新製品・サービス]

2022年4月8日(金)日川 佳三（IT Leaders編集部）

リスト

　Fire Logicは、既設の社内ネットワークに手を加えることなく導入できる社内ファイアウォール機器である。不正PCをネットワークから遮断する機能や、社内の各サーバーへのアクセス可否をユーザー単位で細かく制御する機能、マルウェア感染の疑いのある端末などを明示的にネットワークから遮断する機能、などを備える。これらの制御を、ネットワークに詳しくないユーザーでも、クラウド上のGUI画面から簡単に行える（図1）。

図1：社内ファイアウォール機器「Fire Logic」の概要（出典：ソフトクリエイト）
拡大画像表示

　中核技術として、同社の既存製品「L2Blocker」と同様、端末からのARP要求の一斉通知に対して偽りのARP応答を返す、という仕組みを採用した。ARPは、同一ネットワーク上の通信相手のMACアドレスを調べるプロトコル。偽りのARP応答を受け取った端末は、通信相手のMACアドレスを誤って記憶することになるため、本来の通信相手と接続できなくなる。この仕組みを使うことから、Fire Logicは個々のネットワーク（セグメント）ごとに設置して使う。

管理外端末のネットワーク接続を検知・ブロック

　まず、機能の1つとして、L2Blocker同様に、不正PC（管理外端末）を遮断可能である。エンドユーザーが不正に持ち込んだ、許可していない端末をネットワークに接続した際、これを端末のARP要求から検知して、偽りのARP応答によってネットワークから遮断する。登録済みの管理端末は社内LANを使えるが、管理外端末は社内LANを使えない、という状態を実現する。PCだけでなく、スマートフォンなども検知・ブロックする。

　Fire Logicの特徴は、セグメント内の不正PCの排除だけでなく、セグメントを越えた社内の各サーバーに対するアクセス制御を、アドオン型で、かつGUIベースで簡単に実現することである。「どの端末から、どのサーバーにアクセスしてもいいのか、アクセスしてはいけないのか」といった制御を、クラウド上のGUI画面で簡単に設定可能である。既設のネットワーク機器（ルーター）のACL（アクセス制御リスト）に触ることなく、Fire Logicのみでアクセス制御を実現する。

　セグメント同士をつないでいる本来のルーター（デフォルトゲートウェイ）の代わりに、Fire Logicがルーター越えの通信を拾い、これをセグメントの外に中継する。この中継時に、Fire Logic内部のACLを使って、アクセスを細かく制御する。送信元IPアドレス/ポート番号とあて先IPアドレス/ポート番号の組み合わせごとに、アクセスの許可や拒否を設定する。送信元の設定には、Active Directory（AD）の管理情報（ユーザー名や組織名）も利用できる。送信元を人の名前や組織名で設定することで、より簡単に分かりやすくACLを設定可能である。

マルウェア感染が疑われる端末を指定して切り離せる

　マルウェアの感染が疑われる端末など、任意の端末を手動でネットワークから切り離す機能も備える。不正ではない管理端末は、同一ネットワーク内の他の端末と通信が可能な状態になっている。この状態から、マルウェアに感染した疑いのある端末などを明示的に切り離す。同機能では、例外的に接続を許可する端末やサーバーも設定可能である。

　Fire Logicでは、ログデータをクラウドで収集していることから、企業ネットワークの状態を可視化可能である。例えば、ネットワークに新たに接続された端末数、ACL設定に基づいて通信をブロックした通信の件数、有効期限付きで登録したACL設定の期限切れの注意喚起、IPアドレスが変更された端末数、接続するネットワーク（セグメント）を移動した端末数、ホスト名を変更した端末数、などを可視化する。

　ネットワークに配置するセンサー機器の大きさは、幅220×奥行200×高さ44mm（ゴム足を含む）である。物理ネットワークポートは1000BASE-T。