連載
» 2005年02月18日 00時00分 公開

持ち込みPCをLANに安全につなぐ検疫とは?特集:検疫ネットワークとは(前編)(2/2 ページ)

[山崎潤一郎,@IT]
前のページへ 1|2       

“隔離”を実施するための3つの方式

 検疫ネットワークには「各社からさまざまな方式が提案されている」と前述した。実は、検疫ネットワークでポイントとなるのは、「隔離」をどのような方法で実行するかという点だ。各社の方式を大別する次の3種類に分けることができる。大前提としては、以下のようなネットワーク構成となる(図1)。

図1 不適合PCを社内ネットワークに接続させないコンプライアンス検査 図1 不適合PCを社内ネットワークに接続させないコンプライアンス検査

(1)認証スイッチ(VLAN)方式

 これはエッジスイッチ部分にIEEE 802.1x認証などに対応したLANスイッチを導入し、接続されたコンピュータを、バーチャルLAN(VLAN)方式で分けられた検査用のネットワークにいったん隔離する方法。接続されたパソコンに問題があったり、悪意のある第三者が侵入しようとしたりしても、まず、初めにユーザー認証を行ったうえでVLANから切り離された検査ネットワークに接続するので、極めて安全性が高い方式といえる。ただし、認証スイッチが未導入のネットワークにおいては、ほかの検疫ネットワーク固有の機器やソフト類と併せて、端末の数に応じたスイッチの新規導入を行わなければならず、導入コストという点で敷居の高いものとなっている。

(2)認証DHCP方式

 社内LANと検査用ネットワークの切り替えにDHCPサーバを使う方式がこれだ。コンピュータが接続されると、DHCPサーバは、検査用ネットワークのIPアドレスとゲートウェイアドレスを割り当てる。検査を実施して問題がなければ、社内LAN用のIPアドレスを再割り当てし、社内LANに接続できるようにする仕組みだ。導入に際しては、認証スイッチ方式のようにネットワーク機器の変更は必要なくDHCPサーバの入れ替えで対応できる(検疫ネットワーク固有の機器は別途必要)。ただ、この方式だと、固定IPアドレスを設定した端末には効果がないという欠点がある。

(3)エッジ認証(パーソナル・ファイアウォール)方式

 これは社内LANに接続するパソコンにパーソナル・ファイアウォール・ソフト(パーソナルFW)を導入し、各端末のパーソナルFWと検査用サーバが連携して検疫ネットワークの役割を実行する仕組みだ。パーソナルFWには、端末の接続時に検査用ネットワークにだけ接続するようなポリシー情報の設定を有効にしておく。そして検査用サーバは、各端末に最新のセキュリティ情報を配布し、パーソナルFWソフトが問題ないかどうかを検査する。検査が終了し問題がないことが確認された時点で各端末に「社内LAN接続OK」のポリシーが適用され、社内LANに接続が許可されるという手順だ。各端末側で一連の作業が実施されるため「エッジ認証」と呼ばれている。ただし、この方式だとパーソナルFWソフトが導入されていないパソコンには効果がない。

 これら3つの方式はそれぞれ長所短所があり、ユーザーの環境や規模により導入すべき方式はそれぞれ異なるだろう。また、単に検疫ネットワーク・ソリューションを導入すればよいというものではなく、社員への認知、既存のソフトウェア資産との兼ね合い、運用上の諸問題など解決すべきポイントがいくつもある。だが、前出の大手メーカー担当者は「1台のパソコンがMSブラスターに感染すると1000台分のトラフィックを吐き出す。そのようなものが複数台持ち込まれるとパソコンが一夜にして数千、数万台増えた計算になり社内LANはパニックに陥る」と危機感を募らせる。頻発するワーム騒ぎで痛い目を見た企業は少なくないはず。そんな企業にとって検疫ネットワークは有効な手立てとなり得るはずだ。

 後編では、より具体的な利用例などを交えて、3方式のメリットやデメリット、検疫ネットワークの将来などについて紹介する予定だ。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。