SubGateとは?
SubGateとは簡単に説明すると、社内ネットワークのセキュリティ対策機器である。一般的にはネットワークを防御する装置として、ファイアウォールやUTMが用いられるが、これらの機器がLANとWAN間の通信を監視しているのに対して、SubGateは社内ネットワークの一部を監視する。
すなわち、従来のUTMでは、例えば社内のPC1台が不正なプログラム(ワームなど)に感染した場合、社外にウィルスを拡散するリスクは防ぐことができるが、社内の同一ネットワーク内のPCは不正なプログラムが拡散してしまうリスクが発生する。
これを防ぐのがSubGateである。以下の図をご覧いただきたい。
左側のSubGateが導入されていない環境下であれば、1台のPCが不正なプログラムに感染した場合、UTMを経由しない通信は監視できないため、社内に不正なプログラムが拡散されるリスクが存在する。
一方で右側のSubGateが導入された環境下であれば、1台のPCが不正なプログラムに感染した場合でも、他のPCへの拡散を防ぐことができるのだ。しかも、SubGateの優位点として、特定のPCを完全に遮断するのではなく、あくまでも不正な通信だけをブロックし、正常な通信はそのまま通すことができるという点である。有害なトラフィックだけを遮断することが出来るのだ。
少し技術的な話になってしまうが、SubGateはウィルス対策ソフトのように、定義ファイルを更新し、辞書を参照することでブロックをかけているわけではない。『通信の振る舞い』を見て、ブロックすべきかどうかを判断している。
パケットの量や時間を分析し、『これは不正な通信の可能性が高いぞ!?』とエンジンが考えた場合にのみ、ブロックするのだ。
通信速度が重たくなると感じることはない。ユーザーはいつも通り、通常のL2スイッチ(HUB)を設置した場合と同じような感覚でネットワークを利用することができる。
導入時に注意すべき点として
SubGateを通過する端末だけがチェック対象
SubGateを導入する場合に注意しておくべき点があるので説明しよう。基本的には、ただのHUBであるめ、それほど難しいことはなにもない。SubGateを各PCやネットワークデバイスに接続させればよいだけなので、設置自体は簡単だ。
ただし、SubGateの守備範囲はあくまでもSubGateを通過した通信である。例えば、以下のようなネットワーク構成があったと仮定しよう。
このようにSubGateをネットワークの上位に設置したとする。この場合、端末Aから端末C、Dの通信については、SubGateを通過するため、理論上、端末C、Dが不正なプログラムに感染するリスクは少ない。
一方で、端末Aから端末Bの通信については、SubGateを通過しないため、理論上は端末Bは不正なプログラムに感染するリスクが残ってしまうのだ。
あくまでもSubGateのチェック対象は、SubGateを通過した通信に限る。そのため、全ての端末をチェック対象にしたい場合、理論上はエッジスイッチをすべてSubGateに変更しなければならない。
よって、顧客予算に従って導入エリアを決めていく必要がある。例えば、すべてのセグメントに設置することを諦めて、機密性の高い情報を取り扱う部署に優先的にSubGateを設置するケースも考えられる。
アップリスクとダウンリンクの通信はチェック対象ではない
SubGateを設置する場合に、さらに注意すべき点が、検閲する対象はHUBのダウンリンクポートからダウンリンクポートの間であるということだ。
アップリンクとダウンリンクの通信については検閲対象ではない。
例えば、上記の構成をご覧頂きたい。PCからPCについては検閲対象とすることができる。一方で、PCからルーターとの通信は検閲対象ではないのだ。
筆者も独学で書いているので適切ではないかもしれないが、イメージとしては『SubGateは横の通信の検閲を行う商品であり、縦方向の通信はチェックしない。』と覚えておくと良いだろう。下位の端末から上位のルーターとの検閲を行うのは、ファイアウォールやUTMの役割だ。
このように、少しだけ設置方法については注意が必要であるが、基本的には難しい商品ではないと、筆者は考えている。
PoEにも対応したモデルを存在しているため、ネットワークカメラをセキュアな環境で導入したいユーザーは、検討してみてはいかがだろうか。先日の記事でも説明したが、ネットワークカメラも不正なプログラムに感染し、DDoS攻撃の攻撃元となってしまうリスクがある。
SubGateがあれば、他のネットワークカメラへの感染を防ぐことができるだろう。以下に製品紹介のURLを貼り付けておくので参考にして欲しい。
