検疫ネットワークとは
「ニムダ」「コードレッド」「MSブラスター」……
ここ数年、企業などのネットワークに深刻なダメージを与えてきたこれらワームたちだが、いまも次々に新種が登場しその脅威は日を追って増大している。ネットワーク管理者にとってこれらワームの被害から自社のネットワークを守ることは日々欠かせない業務となっている。ただ、従来の予防策は、ファイアウォールなどを導入し外側の攻撃からネットワーク内部を守るのが主流だった。しかし、前述のワーム騒ぎでは、それだけでは感染を防ぐことができず甚大な被害を出した企業が多かったのだ。
その原因の1つが社外から持ち込まれたノートPCである。最新のセキュリティパッチ未対応などセキュリティ対策が不十分なままのノートPCを社外で使いワームに感染する。そうして感染したノートPCをそのまま社内ネットワークに接続してそこから被害が社内ネットワークに拡大するという状況だ。ある大手メーカー担当者は、「SQLスラマーやMSブラスター騒ぎのとき、出先でモバイル接続した際に感染したノートPCを持ち込まれた」と語る。しかし、このメーカーでは「それ以前の苦い経験から検疫ネットワークを導入していたので被害はほとんどなかった」(メーカー担当者)と明かしてくれた。では、感染した持ち込みノートPCから社内のネットワークを守る「検疫ネットワーク」とは何だろうか?
端末を「隔離」して「検査」する。問題があれば「治療」
検疫ネットワークとは、社内LANに接続しようとしたコンピュータを、いったん、LANとは隔離されて存在する検査専用のネットワークに接続し、コンプライアンス検査を行う。そして問題がないことを確認してから社内のネットワークへの再接続を許可する仕組みのことだ。問題のあるコンピュータは、対策を施さない限り社内のネットワークに接続できないので、前述のような出先で感染したノートPCなどから社内LANを守る有効な対策として昨年辺りからにわかに注目を浴びている。
ただし、検疫ネットワークは、新しい技術だ。従って“こういう仕組みでこうあるべき”という決まった定義はない。そのため各ベンダは、自社の得意フィールドにおけるソリューションを用いることで、各社からさまざまな方式が提案されている。ただ、そうはいっても目的は1つ、「問題を抱えた危険なコンピュータを安易に接続させない」という部分で一致している。そのため、大方の検疫ネットワーク・ソリューションは、次のような機能を働かせることで社内ネットワークを守っている。
(1)隔離
コンピュータが社内LANに接続すると、安全性を確認するための検査専用のネットワークに強制的に接続させる。このネットワークは社内LANとは別に構築されており、後述の検査用、治療用のサーバが接続されている。検疫ネットワークの検査対象となるのは、社内LANに接続しようとするすべてのコンピュータだ。従って持ち込みノートPCに限らず、社員が出社して各人のデスクトップパソコンの電源を入れると、それらパソコンも検疫ネットワークで検査を受けてから社内LANに接続することになる。
(2)検査
次に検査用のコンピュータが、正規に登録された機器か、ワームなどへの感染はないか、OSのパッチは当たっているか、ウイルス定義ソフトのバージョンは古くないかといったコンプライアンス検査を実施する。ここで安全が確認された時点で社内LANへ接続できるようにする。
(3)治療
もし、上記の検査で問題があれば、治療用サーバから、セキュリティパッチやウイルスの定義ファイルを配布して問題のあるコンピュータをアップデートする。アップデートは利用者が自主的に実施する方法とサーバ側から強制、または自動で行う方式がある。こうして問題のタネを取り除いた後に、再度検査を実施し社内LANへの接続を許可する。
検疫ネットワークを実現する3ステップに各ベンダーや各サービスに用いているシステムを表1に示す。
役割 | 用いられるシステム |
---|---|
隔離 | DHCPサーバ、認証スイッチ、802.1xスイッチ |
検査 | 認証サーバ、検疫ポリシーサーバ、資産管理システム、 |
治療 | パッチ管理システム、ウイルス管理サーバ |
表1 検疫ネットワークを実現するための役割とシステム(ただし、FWアプライアンスサーバが隔離と検査を行う場合もある) |
企業では社内LANに接続されたパソコンのセキュリティ管理は、各ユーザーに委ねられている例が多い。そのため、最新のパッチが導入されていなかったり、ウイルス定義ファイルが古いままのパソコンもそのまま利用されていたりするというのが実情だ。検疫ネットワークを実現するために、クライアントPCに必要となるアプリケーションには、以下のようなアプリケーションがある(表2)。
クライアントPC用アプリケーション | |
---|---|
パーソナル・ファイアウォール、ウイルスチェッカー、資産管理エージェント、検疫エージェント | |
表2 検疫ネットワークを実現するために必要となるクライアント用アプリケーション |
だが検疫ネットワークでは、明文化されたセキュリティポリシーの下で、それにそぐわないコンピュータはポリシーが守られるまで接続させない、という厳格な運用体制を実現することができる、それが検疫ネットワークというわけだ。
Copyright © ITmedia, Inc. All Rights Reserved.