[新製品・サービス]
ソフトクリエイト、既存のネットワークに設置可能な社内ファイアウォール「Fire Logic」
2022年4月8日(金)日川 佳三(IT Leaders編集部)
ソフトクリエイトは2022年4月4日、社内ファイアウォール機器「Fire Logic」の販売を開始した。ネットワークのセグメントごとに配置するセキュリティ機器であり、不正な端末をネットワークから排除する機能や、社内の各サーバーへのアクセス可否をユーザー単位で細かく制御する機能、マルウェア感染の疑いのある端末を明示的にネットワークから遮断する機能、などを備える。これらの制御をクラウド上のGUI画面から容易に行える。既設のネットワークに手を加えることなく導入可能である。価格(税別)は、センサーはセグメントごとに必要で1台あたり月額1万円、クラウド上の管理マネージャは月額6万円。
Fire Logicは、既設の社内ネットワークに手を加えることなく導入できる社内ファイアウォール機器である。不正PCをネットワークから遮断する機能や、社内の各サーバーへのアクセス可否をユーザー単位で細かく制御する機能、マルウェア感染の疑いのある端末などを明示的にネットワークから遮断する機能、などを備える。これらの制御を、ネットワークに詳しくないユーザーでも、クラウド上のGUI画面から簡単に行える(図1)。
拡大画像表示
中核技術として、同社の既存製品「L2Blocker」と同様、端末からのARP要求の一斉通知に対して偽りのARP応答を返す、という仕組みを採用した。ARPは、同一ネットワーク上の通信相手のMACアドレスを調べるプロトコル。偽りのARP応答を受け取った端末は、通信相手のMACアドレスを誤って記憶することになるため、本来の通信相手と接続できなくなる。この仕組みを使うことから、Fire Logicは個々のネットワーク(セグメント)ごとに設置して使う。
管理外端末のネットワーク接続を検知・ブロック
まず、機能の1つとして、L2Blocker同様に、不正PC(管理外端末)を遮断可能である。エンドユーザーが不正に持ち込んだ、許可していない端末をネットワークに接続した際、これを端末のARP要求から検知して、偽りのARP応答によってネットワークから遮断する。登録済みの管理端末は社内LANを使えるが、管理外端末は社内LANを使えない、という状態を実現する。PCだけでなく、スマートフォンなども検知・ブロックする。
Fire Logicの特徴は、セグメント内の不正PCの排除だけでなく、セグメントを越えた社内の各サーバーに対するアクセス制御を、アドオン型で、かつGUIベースで簡単に実現することである。「どの端末から、どのサーバーにアクセスしてもいいのか、アクセスしてはいけないのか」といった制御を、クラウド上のGUI画面で簡単に設定可能である。既設のネットワーク機器(ルーター)のACL(アクセス制御リスト)に触ることなく、Fire Logicのみでアクセス制御を実現する。
セグメント同士をつないでいる本来のルーター(デフォルトゲートウェイ)の代わりに、Fire Logicがルーター越えの通信を拾い、これをセグメントの外に中継する。この中継時に、Fire Logic内部のACLを使って、アクセスを細かく制御する。送信元IPアドレス/ポート番号とあて先IPアドレス/ポート番号の組み合わせごとに、アクセスの許可や拒否を設定する。送信元の設定には、Active Directory(AD)の管理情報(ユーザー名や組織名)も利用できる。送信元を人の名前や組織名で設定することで、より簡単に分かりやすくACLを設定可能である。
マルウェア感染が疑われる端末を指定して切り離せる
マルウェアの感染が疑われる端末など、任意の端末を手動でネットワークから切り離す機能も備える。不正ではない管理端末は、同一ネットワーク内の他の端末と通信が可能な状態になっている。この状態から、マルウェアに感染した疑いのある端末などを明示的に切り離す。同機能では、例外的に接続を許可する端末やサーバーも設定可能である。
Fire Logicでは、ログデータをクラウドで収集していることから、企業ネットワークの状態を可視化可能である。例えば、ネットワークに新たに接続された端末数、ACL設定に基づいて通信をブロックした通信の件数、有効期限付きで登録したACL設定の期限切れの注意喚起、IPアドレスが変更された端末数、接続するネットワーク(セグメント)を移動した端末数、ホスト名を変更した端末数、などを可視化する。
ネットワークに配置するセンサー機器の大きさは、幅220×奥行200×高さ44mm(ゴム足を含む)である。物理ネットワークポートは1000BASE-T。