1. Forescoutにおけるエンドポイント可視化とは？
2. Discover(検知)について
   -１  Flowデータからの検知
   -２  Switch連携による検知
   -３  パケットキャプチャによる検知
3. Classification(分類)について
4. Inspection(調査)について
   -１  WindowsでのInspection(調査)
   -２  Linux/MacでのInspection(調査)
5. コンプライアンスチェック
6. まとめ

1　Forescoutにおけるエンドポイント可視化とは？

Forescoutは企業ネットワークに接続しているIPアドレスを持つ端末(PC・サーバ・プリンタ等)をDiscover(検知)し、そのデバイス種別ごとにClassification(分類)します。その上でWindows・Linux・Macについてはインストールされているアプリケーション情報や動作しているプロセス等のプロファイル情報をAgentlessでInspection(調査)することが可能です。

企業ネットワークに接続しているIP端末を分類分けし、Windows等についてはAgentlessでプロファイル情報を取得して現在の状態を確認できるようにすること、これがForescoutによる”エンドポイント可視化”です。（Agentをインストールすることにより接続されたUSBデバイスの検知等が可能です。）

Forescoutは可視化した情報を利用し、デバイスのコンプライアンス適合状態のチェックを自動で実施することが可能です。企業ネットワークに接続しているデバイスのコンプライアンス状態と接続位置を把握し、発生したリスクに対して正確に対処することで企業ネットワークの衛生状態を保つことが可能です。

2　Discover(検知)について

Discoverによるデバイス検知には大きく分けて下記3つの方法があります。

• Flowデータからの検知
• Switch連携による検知
• パケットキャプチャによる検知

上記検知方法は全てを同時に用いて、情報粒度を高めることが可能です。
本項においては上記検知方法の概要をご説明します。

Forescoutの管理用IPアドレスに対し、上記プロトコルを使用し、図2の設定画面で指定した宛先ポート番号でFlowデータを送れば、Flowデータからエンドポイントを検知することが可能です。

また、Distribute Layer SwitchやAccess Layer SwitchなどのL2 Switchと連携し、MACアドレステーブルを参照することでエンドポイントの接続位置を明らかにすることが可能です。L2 SwitchのMACアドレステーブルを読み取るにはL3 SwitchからARPテーブルを読み取るのと同様の資格情報が必要です。

Switchと連携し、物理的な接続位置が確認できるようになると表示されます。（図3 接続位置が確認できるデバイス情報）

4　Classification(分類)について

4-1. Inspection(調査)について

ForescoutはWindows、Linux、Macに関しては管理者情報を使用することで端末の詳細な情報（インストールされているアプリケーションや稼働しているプロセス、OSのバージョン等）を取得することが可能です。

6　まとめ

Forescoutでは企業ネットワークに接続しているIPを持つデバイスを見つけることが出来るため、野良端末の接続状況を確認することが可能です。またWindowsやLinux/Macについてはデバイスの詳細な情報を自動かつリアルタイムで確認することが可能です。取得した詳細な情報はコンプライアンス準拠状態などの衛生状態の確認に用いることができ、非衛生的な端末が確認された場合は改善するための様々なアクションを実施することが可能です。このようにForescoutは企業ネットワークに接続する端末の状況を可視化することで、企業ネットワーク全体の衛生状態を保つ手助けをします。