ＩＴネットワークインサイドメモ

便利なんでしょうが、価格がね。
これだけの費用を負担できる企業がどれだけいるんでしょうか。
経費削減ばかりなので。




KDDIがテレプレゼンスサービス開始、シスコと連携

　KDDIは2011年11月30日、ホステッド型テレプレゼンスサービス「KDDIテレプレゼンスサービス」の提供を12月1日から開始すると発表した。シスコシステムズと連携して、同社製のテレプレゼンスシステム「Cisco TelePresence System」を月額料金で利用できるようにする。サーバー設備をKDDIのデータセンターで運用するため、初期導入の手間やコストを削減できる。

　料金は個別見積もり。6人用の3面ディスプレイ端末「Cisco TelePresence System 3010」を利用する場合の見積もり例は以下の通り。サーバー機能は1端末当たり月額36万円、専用のネットワーク回線が1端末当たり月額数十万円（国や地域で異なる）となる。端末は購入、リース、レンタルを選択でき、購入の場合は1端末当たり2000万円から。

　利用できる機能はCisco TelePresence Systemと同等である。150以上の国や地域でサービスを提供する。端末の保守サポートは現地のベンダーと連携して提供する。

またあたらしい技術搭載です。
インテリジェントになっていくんですね。
単なるスイッチでなくなるんですね。
どんどん進化していきますね。




ボーダレスにシームレスに常にセキュリティポリシーを適用
シスコ、新セキュリティ構想を支える技術をデモ
　シスコシステムズは4月15日、新しいセキュリティアーキテクチャ「セキュア ボーダレス ネットワーク」に関する説明会を開催した。インターネットと企業ネットワークとを分かつ境界線があいまいになってきたという環境の変化を踏まえ、いつでも、どこでも、必要なセキュリティをシームレスに提供するためのアプローチだという。

　セキュア ボーダレス ネットワークは、3月に開催されたRSA Conferenceで発表されたアーキテクチャだ。エンドポイント端末の多様化やクラウドコンピューティング、SaaSの普及によって、従来型のセキュリティ対策には「自ずと限界が生じている」（同社プロダクトマネージメント シニアマネージャ 大木聡氏）。

　これに対し新アーキテクチャでは、端末にインストールするVPNソフトウェアとゲートウェイに位置するセキュリティアプライアンス、企業ネットワーク内のLANスイッチが連携することによって、ユーザーがどこにいても、常に、企業内にいるときと同じセキュリティポリシーを適用できる環境を実現するという。今回の説明会では、この構想の中で重要な役割を果たす「Secure Mobility」と「Cisco TrustSec」の詳細を解説した。
Secure Mobilityは、同社のVPNクライアントソフトウェア「Cisco AnyConnect VPN」によって、VPNを介した接続を確立。同時に、企業ネットワーク内にいるときと同じセキュリティポリシーを適用できるようにする。このとき、 VPN認証と同社のゲートウェイセキュリティ製品「Cisco Web Security Appliance」などを連動させれば、不正なサイトへのアクセスをブロックしつつ、必要に応じて外部のSaaSへのログインをリダイレクトし、シングルサインオンを実現することも可能だ。

　Cisco TrustSecは、IPアドレスやVLANに基づくアクセス制御ではなく、802.1xをはじめとするユーザー認証に基づいてコントロールを行う技術だ。ネットワークを流れるイーサネットフレームに直接、SGT（セキュリティグループタグ）という情報を付与し、SGACL（セキュリティ グループ アクセスコントロールリスト）に基づいてコントロールを行う。この結果、たとえ同一のIPアドレスからのアクセスでも、ユーザーが異なれば許可するリソースを変えることができる。また運用管理者にとっては、管理単位をグループに集約できるため、組織変更などのたびに増加する一方だったVLANの管理から解放され、LANスイッチのテーブルあふれを心配する必要もなくなるという。

　さらに、802.1aeに基づいて、PCとスイッチの間の通信をイーサネットレベルで暗号化する「MACsec」機能も提供する。

　現在、この機能をサポートするスイッチは「Nexus 7000シリーズ」および「Catalyst 3560-X／3750-Xシリーズ」のみだが、大木氏によると、今後ほかのネットワークコア向けスイッチでも対応を拡大していく計画だ。また、今回の発表はセキュア ボーダレス ネットワークの第一歩に過ぎず、仮想環境も含めた形でアーキテクチャを拡充していく方針という。

SIPを使わない方法でふせげるんですね。
SIPはむつかしいですね。






シスコのSIPシステムに「きわめて深刻」な脆弱性

シスコシステムズは、広範にわたるセキュリティ勧告を発表し、同社製品の多くが稼働するOS「Cisco Internetwork Operating System（IOS）」に存在する脆弱性11件の詳細情報を明らかにした。

　脆弱性のうちの1件は「きわめて深刻（highly critical）」とされており、これをハッカーが悪用すると、影響を受けるシステムを危険にさらしたり、サービス拒否（DoS）攻撃を仕掛けたりできるようになるおそれがある。米国時間3 月24日に発表された勧告は、Ciscoが1年に2回予定しているCisco IOS向けセキュリティアップデートの一環だ。

　このきわめて深刻な脆弱性は、Session Initiation Protocol（SIP）を実行する「Cisco IOS 12」搭載デバイスに影響を及ぼす。SIPは、多くの企業が音声や動画による通話の開始と終了に利用しているプロトコルだ。Cisco IOS 12は広く導入されている。

　Ciscoの勧告には、次のような記述がある。「Cisco IOSソフトウェアにおけるSIPの実装に複数の脆弱性が存在しており、SIPの実行が有効化された場合に、認証されていないリモート攻撃者に対し、影響を受けるデバイスのリロードを許す可能性がある。また、リモートコードも実行される可能性がある」

　Ciscoは企業各社に対し、脆弱性にパッチをあてるよう推奨している。だが同社によれば、SIPが必要なデバイスには回避策がないため、代わりの策として企業は、影響を受けるデバイスに信頼できるデバイスだけを接続させることにより、リスクの軽減を試みる必要があるという。

　Ciscoの勧告によると、これらの脆弱性は、デバイスが不正なSIPメッセージを処理する際に引き起こされるという。ハッカーは脆弱性を悪用して、デバイスを強制的にリロードさせるおそれがある。同時多発的にリロードが試みられる場合、DoS攻撃の成功につながる可能性がある、とCiscoは述べた。

　脆弱性調査会社Secuniaによると、企業各社は、緊急措置としてCiscoのパッチをインストールする必要があるという。Secuniaで最高セキュリティ責任者（CSO）を務めるThomas Kristensen氏は3月26日、ZDNet UKに対し次のように述べた。「Cisco IOS 12上でSIPを実行している顧客は、（Secuniaの勧告である）『SA39068』に特別な注意を払うとともに、直ちにアップデートをインストールする必要がある」

　Ciscoは、SIP処理は必要でなければ無効化すべきだと述べたものの、今のところ脆弱性の悪用は確認していないと付け加えた。

　Ciscoはその他の勧告で、Cisco IOSにおける残りの10件の脆弱性を詳述したが、深刻度は比較的低いと評価している。

いろいろやりますね。
どんなクラウドの世界がまっているんでしょうね。





シスコ、「ボーダレスなネットワーク」実現に向け新製品投入

　シスコシステムズは3月18日、「ボーダレスネットワーク」構想と、新ネットワーク製品の追加を発表した。

　シスコシステムズ副社長の平井康文氏によると、ボーダレスネットワークはシスコが注力する4つの「アーキテクチャ」の1つ。シスコのいうアーキテクチャとは、問題解決策としてのソリューションを超え、経営イノベーションに直結するものだとしている。ボーダレスネットワーク以外のアーキテクチャは「ビデオ」「コラボレーション」「バーチャライゼーション」（仮想化）。ボーダレスネットワークは、これら3つを支える基盤として、場所、デバイス、アプリケーションの壁を超えたネットワークサービスを実現する取り組みだ。

　これは、ネットワークがビジネスの邪魔をせず、逆に促進する役割を果たせるようにしていくことを意味する。平井氏は従業員がますますモバイル化し、社員と消費者あるいは社員とパートナーの境界が従来に比べてあいまいになり、さらに社内外とのビデオを使ったコミュニケーションが活性化してきているという傾向を指摘した。

　こうしたビジネス側の動きに対応するため、ボーダレスネットワークサービスとして、シスコはビデオ、グリーン化、セキュリティ、パフォーマンス、モビリティの5つの切り口で、製品やサービスの機能を強化していく。
cisco02.jpg ボーダレスネットワークは、ほかのアーキテクチャを支える基盤

　シスコは具体的な機能例として「Cisco TrustSec」の投入、「Cisco EnergyWise」の強化、「Cisco medianet」の強化を説明した。

　この3つのなかで、シスコ プロダクトマネージメント シニアマネージャ 大木聡氏が最も重要だとするのがCisco TrustSec。

　これは従来、IPアドレスやVLANをベースに認証・制御していたネットワークアクセスを、ユーザーの所属部署、職位といった属性情報を基に行えるようにするもの。シスコの認証製品「Cisco Secure ACS」でユーザー情報の管理と802.1xベース（ほかの方式にも対応）の認証を行い、対応スイッチがユーザートラフィックに所属グループのIDタグ（Security Group Tag：SGT）を付与する。そしてアクセス対象となるサーバの前段に置かれた対応スイッチが、SGTに基づいてアクセスを許可、あるいは拒否する。
cisco03.jpg TrustSecの概要。高レイヤの情報を使ったネットワーク認証と通信の暗号化を組み合わせた

　ACSはActive Directoryと連携するため、ユーザー情報の管理負荷が増えることはない。IPアドレスのACLに比べ、メンテナンス性は向上する。検疫ネットワークに適用されているような802.1x＋VLANのセキュリティ制御と比較しても、柔軟性と拡張性が高い利点があるという。同一ユーザーがどこからアクセスしてきても、一貫したユーザー認証ポリシーを適用できるようになるのがポイントだ。今後、時間やユーザー端末の場所、端末種別などを追加的に認証条件として設定できるように拡張するという。また、TruSecでは対応PCと対応スイッチ、および対応スイッチ間で802.1aeベースの通信暗号化ができる機能「MACSec」も提供する。

　EnergyWiseの強化では、従来のPoE装置の制御に加え、PCにインストールするエージェントを提供。PCの稼働情報収集や遠隔的な電源のオン／オフが実現する。また、新たな管理ツールとして「Cisco EnergyWise Orchestrator」を2010年6月以降に提供。同ツールは電源利用状況やCO2換算などの情報に関するダッシュボード機能や、スケジュールに基づく対応機器の電源オン／オフ制御機能を備える。EnergyWiseでは管理APIを公開し、サードパーティ製品との連携も図っていくという。
cisco04.jpg EnergyWise Orchestrator。電力消費量や節約量を見える化できる

　medianetでは、無線ネットワーク上でのビデオ配信を安定化させるため、マルチキャストをユニキャスト変換する技術を適用するという。
固定ポート構成スイッチなどで新製品

　シスコは今回の発表に合わせ、ネットワーク・ハードウェアで下記の新製品を発表した。

・Cisco Catalyst 3750-X／3560-X

　固定ポート構成のスイッチ製品群の主力となる。全ポートが10Gbpsポートで、PoE+に対応。これらの製品に、シスコは新電力共有技術「StackPower」を初めて搭載した。StackPowerは複数のスイッチにそれぞれ搭載された電源装置の容量を統合的に利用できる仕組み。スタック接続されたスイッチの電源装置の1つが故障した場合でも、容量に余裕があるかぎり、ほかのスイッチの電源装置から電力を供給できる。供給電力が消費電力を下回る場合は、事前に設定した電力供給の優先度設定に基づき、一部のポートのPoEだけを生かすなどが可能。これらの製品では、「LAN Base」「IP Base」「IP Services」の3種のソフトウェアを選択できる。つまりレイヤ2スイッチとしても、レイヤ3スイッチとしても利用可能。また、これらの製品は前述の TrustSecに対応し、SGTのタグ付けと通信暗号化が可能となっている。なお、SGTに基づくACLユーザー認証は、Nexus 7000でまず対応する。
cisco05.jpg Catalyst 3560-X。スタッカブルスイッチで、電力も「スタック」可能

・Cisco Catalyst 2960-S

　3750-X／3560-Xの下位に位置するエントリ製品。全ポートでPoEに対応、PoE+にもアップグレードできる。10Gbpsのアップリンクポートを選択可能。低消費電力で、EneregyWiseにも対応している。

・Cisco 3900Eシリーズ

　Cisco ISR G2のルータ・パフォーマンスを従来の3900シリーズに比べて最大3倍に向上するというフィールドアップグレード可能なマザーボード。 EnergyWiseに対応している。