前回「持ち込みPCをLANに安全につなぐ検疫とは?」では、検疫ネットワークの基本的な考え方と、SIer、ベンダ各社が提案する各種方式を3つに大別してその特徴について解説した。そこで今回は、実際の事例を2つ紹介し検疫ネットワークがどのように導入され、それがどのような効果を上げているのかイメージしていただけたら幸いだ。
日本システムディベロップメントは、セキュリティ対策に厳格な金融機関向けのソフト開発に定評のあるSIer企業。同社が昨年の末に導入した検疫ネットワークは、パーソナル・ファイアウォール(パーソナルFW)方式にモバイル接続時の利便性を付加したパーソナルFWの発展型とも呼ぶべきシステム。日本システムディベロップメントは、ウイルス対策ソフトのMcAfeeで有名な旧ネットワークアソシエイツ社(現McAfee)のマスタディストリビュータということもあり「もともと社内LANでは、ウイルス管理サーバであらゆるレベルでの対策を実施」(ソリューション本部1部Manager/Consultant・小森裕輔氏)しており、今回の検疫ネットワークを構築するうえで、それとの兼ね合いからパーソナルFW方式を選んだのは自然の成り行きのようにも感じる。ただ、パーソナルFW方式は、「既存のネットワークを一切変更しないで導入」(小森氏)できるということも大きな理由の一つだという。
さて、同社が検疫ネットワークを導入した理由については「持ち出したノートPCでブロードバンドやPHSを利用して社内LANに接続する社員が100クライアント程度存在する」(小森氏)という。そんな状況の中、「外部で感染してしまったノートPCがモバイルで社内LANに接続しても、接続した時点で自動的に阻止できるようにしたかった」(小森氏)と明かす。同社では、従来出先からの接続にはリモートアクセスを使っていたのだが、より高度なセキュリティと利便性を考えて、NEC製のモバイルIPシステム「UNIVERGE MBシリーズ」をローミングゲートウェイとして導入した。このUNIVERGE MBシリーズには検疫ネットワークと連携する機能が実現されており、「このシステムの導入に合わせて検疫ネットワークも追加した」(小森氏)。
日本システムディベロップメントが導入したパーソナルFWの発展型検疫ネットワークの動作プロセスは次のようになる(図1)。
(1)同システム対応のパーソナルFWクライアントが導入されたノートPCからインターネットを通じて社内LANへの接続があると、前出のローミングゲートウェイが検疫サーバに誘導する。
(2)検疫サーバが、セキュリティポリシーに基づいたチェックを行う。この状態を制限モードと呼んでいる。
(3)そこで問題がなければ、制限モードを解除して社内LANへのアクセスを許可する。
一方、モバイル接続ではなく、社内に持ち帰ったノートPCを社内LANに接続しようとすると、通常のパーソナルFW方式の検疫ネットワークとして動作することになる。
従来であれば、セキュリティ対策が強化されると、利便性が損なわれるなどの理由で利用者側の評判は芳しくない場合が多い。今回の検疫ネットワーク導入に際して社員の評判はどうであろうか。「モバイルIPを使ったVPN接続が、従来のリモートアクセスの使い勝手をはるかに凌駕しているので、その分検疫について指摘するユーザーはいない」(小森氏)のだという。
取材時に、PHS経由で社内LANにアクセスする手順を見せてもらったが、モバイルIPを利用したVPN接続に続き、検疫に関してもユーザーによる特別なアクションを必要としないまま社内LANへあっけなく接続してしまった。その間、実に数秒。問題が見つかり、隔離→治療のプロセスに入るとこのようにすんなりとはいかないであろうが、通常の利用においては、まったく違和感はない。
実際にシステム開発・販売を行う同社では、今回自社導入した検疫ネットワークを商品として販売する。販売費用はクライアント数が500台の場合において約700万円。また、同社が導入した「100クライアント程度のシステムであれば300万円程度」(小森氏)とのこと。
最近では、度重なるアタックによりウイルス対策の重要性が認識され、ウイルス管理サーバなどの導入により社内LANに接続されたデスクトップパソコンの安全性はずいぶんと高まっている企業は多い。だが、一番危ないのは、持ち出し可能なノートPCのように接続先のネットワークを変えることのできるパソコンだ。「接続先を変えた瞬間に感染の危険性は一気に高まる。ならばその部分の対策をしっかりとやればいい」(小森氏)という考え方により構築されたのが同社の検疫ネットワークだろう。
Copyright © ITmedia, Inc. All Rights Reserved.