Fire Logic の基本機能

 

Fire Logic は、アクセスコントロールで企業内ネットワーク環境の健全化を実現できます。
従来のネットワークアクセスコントロールの場合、VLAN（Virtual LAN）を使ってL3スイッチ（レイヤ3スイッチ）上に仮想的なLANセグメントを作り、ACLで制御していました。ですが、この方法ではVLANごとに、ACLがどのように制御されているのか追跡するのが困難です。また、好ましくない端末が接続された際に通信を制御しようにも、どのACLを制御すべきか判断するのも容易ではありません。

そこで、Fire Logic は、セグメントごとに Fire Logic センサーを配置し、ユーザー情報を管理する「Active Directory」と連携して、企業内ネットワークの通信を完全に制御しているのです。
なお、Fire Logic は、IPアドレスを持っているデバイスが対象なので、Windows や Mac などのパソコンだけでなく、スマートフォンやプリンターなども管理できます。

許可されていない端末をブロック

 

Fire Logic の情報収集機能により、不正に持ち込まれた許可されていない端末をブロックし、ネットワークに接続させません。
通常は、接続された端末が、ARPリクエストによりゲートウェイを確認（検知）し、リクエストを受けたゲートウェイが「検知場所」「検知日時」「MACアドレス」「IPアドレス」「メーカー名」「デバイスの種類」を、端末情報として収集して返信します。

ですが、ARPリクエストによりゲートウェイを確認した際、Fire Logic センサーが不正接続と判定した場合は、ブロックパケットを返信することで、不正に接続された端末をブロックします。この機能により、情報漏洩のリスクは低減します。

セキュリティ上、好ましくない端末をネットワークから排除

Fire Logic の「同一セグメントセパレータ機能」で、情報システム担当者がネットワーク上の端末の中で「コンピューターウイルスやマルウェア感染の疑いがある」と判断した場合に、感染端末がほかの端末を攻撃できないようにできます。

Fire Logic 自体にコンピューターウイルスやマルウェアを除去する機能はありませんが、ネットワークから端末を締め出すことで、社内でコンピューターウイルスやマルウェア感染の拡散を低減できるのです。あとは、問題のある端末を調査し、しかるべき対応をします。

セグメントごとにアクセスを完全に制御

 

Fire Logic では、社内の部署やグループ企業、社員区分（正社員・派遣・業務委託など）といったセグメントごとに Fire Logic センサーを配置し、企業内ネットワークの通信ボトルネックを把握します。セグメントごとにアクセス範囲などを簡単に設定できますから、通信環境の健全化を図ることができます。

セグメントは必要なだけ増やせますので、M&Aで会社内に複数の子会社ができたり、期間限定のプロジェクトチームができたりしても、迅速に対応できます。このように、セグメント単位でアクセス範囲を管理することで、悪意ある情報漏洩などのリスクを最小限に抑えることが可能です。
なお、Fire Logic はサブスクリプション型のサービスですので、Fire Logic センサーを複数台設置する場合も、購入する必要はありません。あくまで、セグメントの数に応じたコストで済みます。

タグVLAN にも対応

 

従来はVLANのセグメントごとに Fire Logic センサーの設置が必要でしたが、タグVLANに対応しているL3スイッチにトランクポートを設定しセンサーを接続すれば、最大8VLANまで同時に制御できます。企業内ネットワークの環境によってはセンサーの台数を減らして導入できるため、コストも削減できます。

拠点内複数セグメントを1台で制御

Active Directory の陥落を防止

 

気付かない間に Active Directory が陥落していたり、乗っ取られていることです。Emotet や icedID などのマルウェアによる重大なセキュリティインシデントが多く発生しています。

特に Active Directory（以下、AD）を狙った攻撃や乗っ取りが増加しており、ADの管理者権限を奪取され、機密情報が大量に盗まれ「ダークウェブなどで公開される」、「身代金を要求される」などの被害が実際に発生しています。ADが陥落してしまうと被害は甚大で防ぐことは困難です。

Fire Logic は、権限のないユーザーからの特権IDを使った AD へのアクセスを防止します。

企業内ネットワークの可視化