1分で設置完了、5分で設定終了！

不正接続ネットワーク機器を検知／排除する
IntraGuardian2が＠IT編集部にやってきた

日本シー・エー・ディーが開発したIntraGuardian2は、ネットワークにつなぐだけで不正接続PCを検知／排除する名刺サイズのアプライアンス製品だ。小さく、誰でも設置・運用できるというIntraGuardian2をネットワーク管理の素人である＠IT編集部員が運用してみた！

思いもしなかったものがネットワークにつながる時代

　企業のネットワーク管理者にとって、自身が把握していないネットワーク機器を社内LANに接続されることは頭を悩ませる問題になる。もしも、ウイルスに感染したことを気付いていない個人所有のノートPCが接続されたら……、緩いセキュリティ設定で誰でもアクセスできる状態となっている無線LANアクセスポイントが設置されたら……。

　また、最近の携帯型ゲーム機や携帯電話にはWi-Fi接続に対応しているものもあり、これらを悪用して社内ネットワークに侵入される可能性も否定できない。このように、少し想像してみただけでも、不正なネットワーク機器の接続によって、ウイルス感染や情報漏えいによるビジネスに対する直接的な被害とそこから派生する企業への社会的な信頼の低下が思い浮かぶ。

　日本シー・エー・ディー（日本CAD）の「IntraGuardian2」は、TCP/IPを使って通信する端末／機器のすべてを対象として不正接続の検知と排除を行うアプライアンス製品だ。このように書くと「大掛かりなシステム変更が必要なのでは？」「アプライアンス製品は設置場所の確保が大変でしょ？」といった不安を抱かれるかもしれない。

　そこで、今回は日本CADより2009年6月22日に発売のIntraGuardian2をお借りして、＠IT編集部内で実験環境を構築し、設置作業と運用を体験してみた。

1分で設置完了、5分で設定終了！

　IntraGuardian2はアプライアンス製品だと紹介したが、その大きさは名刺サイズにすぎない。手のひらに乗るサイズの小さい箱に、10BASE-T/100BASE-TXのイーサネットポートやAC電源コネクタが用意されている。

＠IT編集部を通りかかった女子社員の手のひらよりも小さいIntraGuardian2

　結論からいうと、セットアップは非常に簡単だった。IntraGuardian2をイーサネットケーブルでハブにつなぐだけだからだ（お借りしたデモ機にはすでにIPアドレスが設定されていたが、この設定は同梱のクロスケーブルでIntraGuardian2とPCを接続して、Webブラウザで行う）。

　ネットワークに接続されたIntraGuardian2はARPパケットを監視し、自動的に同一セグメント内に接続されているネットワーク機器のMACアドレスやIPアドレスを収集し始める。IntraGuardian2から独自仕様のパケットを発信しないため、既存のネットワークに影響を及ぼすこともない。

　監視するネットワークに関する各種設定もWebブラウザ経由で行う。IntraGuardian2では、接続されたネットワーク機器を検知するだけのモードと、検知した機器の中で登録されていないものを排除するモードの2種類が選べる。

　また、新たに接続機器を検知した場合や、IntraGuardian2そのものが取り外されたり、再接続されたりした場合にネットワーク管理者あてに通知メールを送信することができる。この設定もGUI画面からメールサーバのアドレスやネットワーク管理者のメールアドレスを入力するだけだ。

IntraGuardian2を排除モードで運用したイメージ（画像をクリックすると拡大します）

　＠IT編集部で用意した実験環境では、検知モードで運用して新たに接続されたPCを登録していく方法をとったが、一般的な社内ネットワークでは事前に接続を許可するネットワーク機器のMACアドレスの一覧を作成し、インポート機能を使うことになるだろう。

　1台のIntraGuardian2で同一セグメントにある1024のネットワーク接続端末／機器のMACアドレスを登録することができる。IntraGuardian2 Manager（無償）を導入すれば、複数のセグメントやVPN接続された複数拠点間に設置したIntraGuardian2をリモート管理できる。先述したとおり、IntraGuardian2をイーサネットでつなぐだけなので、遠方の小さな拠点に設置や設定のためにエンジニアを派遣する必要がない。

　先代のIntraGuardianでは、実際に発売からおよそ1年で、関東甲信越で30店舗を展開するアパレルチェーンや、SIerが手掛けた日本全国で170セグメント以上にまたがる公的機関への導入事例がある。

　新たにアーキテクチャを見直し、アドレスクラスB／Cに完全対応したIntraGuardian2は1台あたり5万9800円（税込み）という同ジャンルの製品に比べてコスト面でも優位にある。

副編集長オカダが“不正”接続してみた

　さて、導入が簡単なことは分かった。IntraGuardian2を排除モードに切り替えて、実際に編集者のノートPC（Windows XP）を“不正”接続してみた。

　イーサネットを挿してほんの数秒後。右下のタスクトレイに「ネットワーク上の別のコンピュータが、このコンピュータと同じIPアドレスを使用しています」といったIPアドレスの競合を示すメッセージが表示され、ネットワークへの接続を拒否された。IntraGuardian2が同じIPアドレスを発信して、“不正”接続PCを妨害しているのである。

　同時にネットワーク管理者あてに通知メールが送信され、IntraGuardian2の管理画面上にも“不正”接続PCの情報が表示されていた。ノートPCのベンダー名だけでなく、コンピュータ名やワークグループ名も筒抜けである。

管理画面の「不正接続PC一覧」では、ご覧のようにオカダのノートPCの情報は筒抜けだ（画像をクリックすると拡大します）

　このように導入も運用も簡単なIntraGuardian2は、日本CADの自社開発製品だという点も見逃してはならない。ソースコードレベルから製品のすべてを熟知する日本CADでは、ユーザーの要望に即座に対応できる開発体制を整えている。ネットワークへの不正接続対策として必要十分な機能を備えたIntraGuardian2を製品選定における選択肢の1つとして検討してほしい。

提供：日本シー・エー・ディー株式会社
コアスタッフ株式会社
アイティメディア営業企画
制作：＠IT 編集部
掲載内容有効期限：2009年7月7日