NAC はネットワークを守る特効薬なのか

ネットワークアクセス制御 (NAC) 技術は、ネットワークのセキュリティを確保する技術として、相変わらず最ももてはやされ話題になっている存在の1つだ。NAC は、事前承認と事後承認によるアクセス制御を実現し、適切な人物のみがネットワークを利用できると謳う技術だ。

ところが、2006年に開催されたセキュリティ問題に関するカンファレンス『Black Hat USA 2006』において、ネットワーク セキュリティ技術会社 Insightix の CTO (最高技術責任者) Ofir Arkin 氏は、NAC こそネットワーク セキュリティの特効薬だという神話が、幻だと暴いてしまった。

同氏は今年も『Black Hat USA 2007』の席上に再び姿を現わした。今回は、少なくとも1つのセキュリティ研究グループが同氏の側に立ち、NAC は依然として安全性に欠け、攻撃者がどこに目を付ければよいかを知れば、攻撃が可能だと主張している。

Arkin 氏は取材に対し、「私は昨年の資料をすべて用い、昨年から今までに登場した新たな技術革新を調査した。昨年変化したものは多くない。変化したのは意識だけだ」と語った。さらに、NAC を迂回する手法として、2006年に同氏が明らかにしたものと同じ基本的な手法の中には、2007年においても非常に有効性の高いものがまだ存在する。

おそらく、NAC を巡る環境でこれまでに起こった最大の変化は、Microsoft (NASDAQ:MSFT) の『Network Access Protection』(NAP) と業界団体 Trusted Computing Group の『Trusted Network Connect』(TNC) が相互運用を実現するとの発表があったことだろう。

Arkin 氏は、新たな相互運用によって危険性が増すわけではないとしながらも、TNC と組み合わせることについて、変動要素が多く複数のベンダーが関わっていることによって、複雑性および実装の観点から、何らかの危険性が生じる可能性があると述べた。

同氏は、規模の大小を問わず特定の NAC ベンダーを名指しすることはなかった。Arkin 氏の見るところ、議論の対象となる複数の危険性を抱えたベンダーは複数に及ぶ。

しかし、ドイツのセキュリティ会社 ERNW で上級セキュリティ コンサルタントを務める Dror-John Roecher 氏は、Black Hat で行なう「NACAttack」と題した講演で、Cisco Systems (NASDAQ:CSCO) の NAC アーキテクチャを取り上げる計画だ。

以前『Black Hat USA 2005』において、Cisco の関係者が同社技術の悪用に関する講演を阻止しようとして議論を巻き起こしたことがあった。

Cisco の広報担当者 Kevin R. Petschow 氏は取材に対し、Roecher 氏の講演を差し止めるつもりはないと語った。Petschow 氏は、講演の内容が事実に照らして正しいかという点についてさえ、肯定も否定もできないと語った。