ネットワークカメラ推進会

ご意見・ご相談はtwitter(@NetworkcameraPC )へお願いします。記載している機器の仕様および操作手順には誤りがある場合がございます。必ずメーカー公式サイトをご確認願います。

SubGateとは?

SubGateとは?

 SubGateとは簡単に説明すると、社内ネットワークのセキュリティ対策機器である。一般的にはネットワークを防御する装置として、ファイアウォールやUTMが用いられるが、これらの機器がLANとWAN間の通信を監視しているのに対して、SubGateは社内ネットワークの一部を監視する。

 

 すなわち、従来のUTMでは、例えば社内のPC1台が不正なプログラム(ワームなど)に感染した場合、社外にウィルスを拡散するリスクは防ぐことができるが、社内の同一ネットワーク内のPCは不正なプログラムが拡散してしまうリスクが発生する。

 これを防ぐのがSubGateである。以下の図をご覧いただきたい。

f:id:networkcamera:20190224195745j:plain

 左側のSubGateが導入されていない環境下であれば、1台のPCが不正なプログラムに感染した場合、UTMを経由しない通信は監視できないため、社内に不正なプログラムが拡散されるリスクが存在する。

 

 一方で右側のSubGateが導入された環境下であれば、1台のPCが不正なプログラムに感染した場合でも、他のPCへの拡散を防ぐことができるのだ。しかも、SubGateの優位点として、特定のPCを完全に遮断するのではなく、あくまでも不正な通信だけをブロックし、正常な通信はそのまま通すことができるという点である。有害なトラフィックだけを遮断することが出来るのだ。

 

 少し技術的な話になってしまうが、SubGateはウィルス対策ソフトのように、定義ファイルを更新し、辞書を参照することでブロックをかけているわけではない。『通信の振る舞い』を見て、ブロックすべきかどうかを判断している。

 

 パケットの量や時間を分析し、『これは不正な通信の可能性が高いそ!?』とエンジンが考えた場合にのみ、ブロックするのだ。

 通信速度が重たくなると感じることはない。ユーザーはいつも通り、通常のL2スイッチ(HUB)を設置した場合と同じような感覚でネットワークを利用することができる。

 

導入時に注意すべき点として

 

SubGateを通過する端末だけがチェック対象

 

 SubGateを導入する場合に注意しておくべき点があるので説明しよう。基本的には、ただのHUBであるめ、それほど難しいことはなにもない。SubGateを各PCやネットワークデバイスに接続させればよいだけなので、設置自体は簡単だ。

 

 ただし、SubGateの守備範囲はあくまでもSubGateを通過した通信である。例えば、以下のようなネットワーク構成があったと仮定しよう。

 

f:id:networkcamera:20200215044943j:plain

 

 このようにSubGateをネットワークの上位に設置したとする。この場合、端末Aから端末C、Dの通信については、SubGateを通過するため、理論上、端末C、Dが不正なプログラムに感染するリスクは少ない。

 

 一方で、端末Aから端末Bの通信については、SubGateを通過しないため、理論上は端末Bは不正なプログラムに感染するリスクが残ってしまうのだ。

 

 あくまでもSubGateのチェック対象は、SubGateを通過した通信に限る。そのため、全ての端末をチェック対象にしたい場合、理論上はエッジスイッチをすべてSubGateに変更しなければならない。

 

 よって、顧客予算に従って導入エリアを決めていく必要がある。例えば、すべてのセグメントに設置することを諦めて、機密性の高い情報を取り扱う部署に優先的にSubGateを設置するケースも考えられる。

 

アップリスクとダウンリンクの通信はチェック対象ではない

 

 SubGateを設置する場合に、さらに注意すべき点が、検閲する対象はHUBのダウンリンクポートからダウンリンクポートの間であるということだ。

 アップリンクとダウンリンクの通信については検閲対象ではない。

 

f:id:networkcamera:20200215050449j:plain



 

 例えば、上記の構成をご覧頂きたい。PCからPCについては検閲対象とすることができる。一方で、PCからルーターとの通信は検閲対象ではないのだ。

 

 筆者も独学で書いているので適切ではないかもしれないが、イメージとしては『SubGateは横の通信の検閲を行う商品であり、縦方向の通信はチェックしない。』と覚えておくと良いだろう。下位の端末から上位のルーターとの検閲を行うのは、ファイアウォールやUTMの役割だ。

 

 このように、少しだけ設置方法については注意が必要であるが、基本的には難しい商品ではないと、筆者は考えている。

 PoEにも対応したモデルを存在しているため、ネットワークカメラをセキュアな環境で導入したいユーザーは、検討してみてはいかがだろうか。先日の記事でも説明したが、ネットワークカメラも不正なプログラムに感染し、DDoS攻撃の攻撃元となってしまうリスクがある。

 SubGateがあれば、他のネットワークカメラへの感染を防ぐことができるだろう。以下に製品紹介のURLを貼り付けておくので参考にして欲しい。

 

www.networld.co.jp