最適インフラビルダーからの提言〜どこまでアウトソースするか?〜
特集:マネージド・サービスの選び方(2005年版)第2回目
検疫マネージドサービス。
6社のメリットとデメリット
2005/10/18
大宅宗次
 |
誇張気味だが、注目を集める 抜群な「検疫」というネーミング |
企業ネットワーク構築にかかわる話題として、この1年あまり注目を集め続けているのが「検疫ネットワーク」である。「検疫ネットワーク」とは、ウイルスに感染しているPCが社内ネットワークに無防備に接続されることをなくし、ほかのPCに感染することを予防する「検疫」の役割を提供する仕組みだ。
「検疫」という抜群のネーミングと、いまや企業の必須条件であるセキュリティ対策を「ネットワーク」で実現できるという、少々誇張されたイメージから大きな注目を浴びている。
|
導入と運用の手間とコストのネックで 実際に入れている企業は少ないという事実 |
しかし、注目度の高さと比べて実際の検疫ネットワーク導入の事例は少なく、まだ検討している段階である企業が多いと聞く。一般的に検疫ネットワークは想像以上に導入の手間とその後の運用の手間、さらにコストが掛かるからだといわれている。検疫ネットワークは新しいソリューションではあるが、すでに多くの通信事業者がマネージドサービスとして提供を始めている。
|
現在のネットワークを変更せずに 隔離と接続の振り分けを実現するか |
手間とコストを削減できるのが通信事業者のマネージドサービスを活用する価値だが、気軽に検疫ネットワークをアウトソースできる状況なのだろうか。
検疫ネットワークの導入の手間を左右する課題の1つが、いかに現在のネットワークを変更せずに導入できるかという点だろう。検疫ネットワークはPCを社内ネットワークに接続する前にいったん隔離して、PCの状態を検査した後に問題がなければ接続し、必要ならば治療を施すというネットワークでの振り分けの仕組みが必要となる。
既存の社内ネットワークにはこのような仕組みがないので、導入のためには何らかの装置を追加したりPCにソフトウェアをインストールしたりするなどの変更を行わなければならない。振り分けを実現する仕組みはさまざまな方法があり、最適な方法は現在のネットワーク構成により異なる。検疫ネットワークサービスでは通信事業者ごとにさまざまな導入形態を採用しており、自社に合った形態があればまずは導入の負担が減るだろう。
|
<日本テレコム> 検疫/業務サーバ、クライアントPCの間に 振り分け機能を担うアプライアンスを配置 |
日本テレコムの検疫ネットワークサービスである「SecureLANs」は、ネットワーク内にアクセス管理装置と呼ぶアプライアンス製品を設置する方法を採用している。通信が行われるPCと業務サーバとの間にアプライアンスを配置し、検疫を受けていないPCの通信を遮断する仕組みだ。PCには専用のクライアントソフトをインストールする必要はあるが、IPネットワークには変更を加えずにブリッジ型のアプライアンスを挿入するだけで検疫ネットワークを構築できる。
 |
| 図1 アプライアンス追加型の検疫ネットワークサービス |
ただし、基本的には通信を遮断する仕組みであるため、社内ネットワークの構成によっては1台ごとにレンタル料金の掛かるアプライアンスを数多く配置しなければならない場合がある。例えば、大規模な拠点ではアプライアンスの処理能力の問題から、ある程度の数のPCが接続されるセグメントごとに配置する必要がある。複数の拠点ごとに業務サーバが分散している場合なども、遮断をしなければならない場所が増える。しかし、多くの企業にとって現在のネットワーク構成をあまり変更する必要がない点は評価できるだろう。
|
<NTT東日本> 社内ネットワークにVPNを構築 クライアントPCのFW型専用ソフトが接続先を振り分ける |
NTT東日本が提供する「検疫ソリューション(リリース)」は社内ネットワークの中にVPNを構築するというユニークな方式を採用している。この方式では業務サーバや検疫サーバの手前にVPNゲートウェイとなるアプライアンスを配置する方法となる。PCにインストールされたパーソナルファイアウォール型の専用ソフトが接続先のアプライアンス、つまりサーバを振り分ける仕組みだ。
PCとアプライアンス間の通信はVPN技術により暗号化されているので、アプライアンスに到達するまでのクライアントセグメントのセキュリティも確保されている。クライアントセグメントや拠点を分割する目的で、多くのアプライアンスを設置する必要がないのは有利な点だ。
しかし、セキュリティは高いがPC間の直接通信もアプライアンスを介する必要があるため、企業で使用するアプリケーションによってはパフォーマンスに影響が生じる場合があるだろう。この方式も既存のIPネットワークには大幅な変更を加えずに構成することができる。また、検疫ネットワークの実現にVPN方式を採用しているため、社内LANからのアクセスだけでなく社外からのアクセスでも使用できるという特徴がある。こうした構成での使用を考えている企業には最適だ。
|
<NTTコミュニケーションズ>
必要なのは通信を遮断する PCにインストールするクライアントソフトのみ |
NTTコミュニケーションズの「検疫型クライアントファイアウォール管理サービス(リリース)」はPCのクライアントソフトだけで検疫ネットワークを構築する方式を用いる。PCにインストールされたパーソナルファイアウォール型のソフト自体が検疫を受けていない場合には通信を遮断する仕組みだ。この方式では現在のネットワーク構成を変更する必要がまったくない。企業にとっては最も導入の負担が少ない方式だ。しかし、ネットワークには何も制限は掛けていないので、検疫ネットワークとしての機能面ではほかの方式より見劣りするといえる。
|
<MIND(三菱電機情報ネットワーク)> VPNクライアントソフトとの組み合わせで実現する モバイルPCのみを対象としたリモートアクセス型 |
業務上、社外でのモバイルPCの使用が多い企業向けにリモートアクセスにターゲットを絞った検疫ネットワークサービスもある。MIND(三菱電機情報ネットワーク)はリモートアクセスの「モバイルネットワークサービス」の付加サービスとして検疫ネットワーク機能「端末セキュリティチェックサービス」を提供している。
もともとリモートアクセスはVPN装置であるアプライアンスとPCのVPNクライアントソフトの組み合わせにより実現されており、検疫ネットワークへの仕組み作りが容易だ。これまで使っていたリモートアクセスサービスが検疫ネットワーク機能を追加で対応する形であれば、企業から見た導入へのハードルは低いだろう。なお、リモートアクセスに検疫ネットワーク機能を付加する場合に注意しなければならない点がある。
リモートアクセス環境はブロードバンド化が進んでいるとはいえ、社内LANに直接接続する環境に比べ基本的に速度が落ちる点だ。外出先のPCの使用方法として、すぐに接続できないと仕事にならないという業務形態もあるだろう。回線速度や装置、PCの性能などの環境により異なるが、検疫や治療にはある程度の時間を要するので接続するたびにこれらの処理を待っていては業務に差し支える場合が出てくる。
|
<KCCS(京セラコミュニケーションシステム)> 治療作業のタイミングを選ぶ猶予をユーザーに与える ユーザーの自発的な治療へ導く方法 |
リモートアクセスの検疫ネットワークサービスを提供しているKCCS(京セラコミュニケーションシステム)の「NET BUREAU POLICY ENFORCER」ではクライアント側に検疫の結果をスコア(点数)で表示する機能を提供している。もともとはPCユーザーに自発的な治療へ導くための付加機能であるが、ある程度のスコアまでは治療に回さず接続を許可するという使い方が可能だ。セキュリティ対策の本質から外れるかもしれないが、リモートアクセス環境では時間のかかる治療の作業を行うタイミングを、ある程度ユーザーに余裕を与える検疫ネットワークの仕組みも有効であろう。
|
<NTTコミュニケーションズ> 802.1x対応の認証LANスイッチをレンタルできる 認証VLAN Ciscoパッケージ |
検疫ネットワークの振り分け方法としてアプライアンス以外に主流となっているのが、IEEE 802.1x技術を用いた認証VLANスイッチを使用する方法だ。アプライアンスに比べ処理能力が高いのでコストが安くつき、振り分けのネックとなるサーバの物理的配置をVLAN技術により論理的に変更できるという特徴がある。NTTコミュニケーションズの「認証VLAN Ciscoパッケージ」は802.1x対応のLANスイッチをレンタルするサービスだ。
本パッケージは現時点では検疫ネットワークサービスは提供されていないが、年内には検疫ネットワーク機能の追加を予定している。ただし、認証VLANスイッチを用いた方式で検疫ネットワークを導入するには既存ネットワークの大幅な変更が必要となる。企業内のLANスイッチをすべて認証VLANスイッチに変更する必要があるからだ。
すでにマネージドサービスを利用して通常のLANスイッチをレンタルしている企業も、活用しているのは単純な構成で済む小規模な拠点が中心で、すべての拠点を認証VLANスイッチのレンタルに切り替えるのは敷居が高い。しかし、全社的なLANスイッチの変更を計画している企業にとっては都合が良いだろう。
|
マネージドサービスを利用する価値は 運用に手間のかかる検疫サーバのアウトソース |
以上が代表的な検疫ネットサービスの導入形態となる。選択肢は多いので自社に合った形態は提供されていることだろう。さて、これまで振り分け機能を例に導入の手間から見た各社のサービスの違いを紹介してきたが、検疫ネットワークに必要なサーバ運用に関するサービスの違いはあるのだろうか。
検疫ネットワークではPCのセキュリティ状態をチェックするクライアントと、そのクライアントと連動し情報を集中管理する専用の検疫サーバが必要となる。マネージドサービスを利用すると検疫サーバを必然的にアウトソースすることになるが、この検疫サーバの運用に関しては各社で大きな違いはないといえる。検疫ネットワークを運用するうえで最も手間の掛かる検疫サーバをアウトソースできることが、マネージドサービスを利用する価値となる。
一方、検疫ネットワークではPCの治療を施すウイルス対策ソフトと、クライアントに対策ファイルを配布する治療サーバも必要となる。多くの人が誤解しているのだが検疫ネットワークでは治療のシステムと連係をすることができるのだが、あくまでこのシステムは別物である。現在のところ検疫ネットワークと一緒にウイルス対策ソフトのアウトソースを提供しているサービスは限られている。
日本テレコムの「SecureLANs」ではトレンドマイクロ社のウイルス対策ソフトのアウトソースを提供しており、治療サーバを含めたフルアウトソースが可能だ。多くの企業ではすでに何らかのPCのウイルス対策ソフトは導入済みであり、検疫ネットワークの利用によりPCのウイルス対策ソフトも入れ替えるのは負担が大きい。しかし、検疫ネットワークの導入により治療に関するアウトソースの需要は高まることが予想されるので今後は各社にサービスを拡充してもらいたい部分だ。
|
朝の出社時など治療のタイミングが重なるときは サーバや帯域の増強の必要も |
なお、治療サーバをアウトソースするかしないかにかかわらず、検疫ネットワークの特徴を考慮した注意点がある。検疫ネットワークはPCの接続時に治療も行うため、例えば、午前中の定時に出社した社員が一斉に接続すると負荷が集中するケースが考えられる。検疫ネットワークがない環境では接続しているPCに対して順番に治療を施すことで負荷を分散することが可能であった。検疫ネットワークを導入するとこれまで以上のサーバ能力が必要であったり、社外のデータセンターなどにアウトソースしている場合はネットワーク帯域を増したりする必要があるかもしれない。
さて、最後になるが検疫ネットワーク導入の壁となっているといわれるのがコストである。各社のサービス料金は個別見積もりになっているものも多く単純に比較することができない。また、検疫ネットワークの需要が高いとされている企業は保有するPCの数が多い大企業であり、例えば1000人程度の企業向けなどの高めの参考価格を公表しているサービスも多い。
このような事情もあり、各社のサービス料金はあくまで参考になってしまうが、初期費用が数十万、場合によっては数百万が必要であり、月額料金でも数十万を超えるサービスが多い。現状ではマネージドサービスとして高めに料金設定をしているのではなく、検疫ネットワーク製品そのものが決して安くはないという理由もある。しかし、コストに関しては今後マネージドサービスならではの価格付けを各社に期待したい。コストがもう少し安くなれば、後は検疫ネットワークを気軽にアウトソースできる状況になるだろう。
次回のマネージドサービスの選び方では、レイヤ2トンネリングについて考える予定だ。
 |
特集:検疫ネットワークとは 感染した持ち込みノートPCから社内のネットワークを守る「検疫ネットワーク」。隔離し、検査、治療のメカニズムと構築方法を紹介する (1) 持ち込みPCをLANに安全につなぐ検疫とは? (2) 2つの事例から考える検疫の効果と課題 |
|
 |
特集:ネットワーク構築の基本はVLANから
認証無線LANやVoIP、セキュリティ強化を自社ネットワークに導入する際、再構築の基礎となるVLAN。仕組みを確認しよう (1) VLANの基本的な仕組みを攻略する (2) VoIPを効率よく運用させるVLANのしくみ (3) 認証VLANで不正PCを拒否するしくみ |
|
| 関連記事 | |
| 連載 最適インフラビルダーからの提言 VPNと広域イーサのコスト算出方法やネットワーク構成 特集:マネージド・サービスの選び方 2004年版 SSL-VPN/IPセントレックス/IPv6 |
|
 |
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
