特集：検疫ネットワーク導入の条件

ウイルス治療の導入を妨げてしまう事情とは？

2005/11/8
根本浩一朗
ソリトンシステムズ

検疫ネットワーク導入の条件

　クライアントPCのウイルス対策を最適に保ち、感染PCはLANへのログイン以前に治療させる「検疫ネットワーク」。導入を検討するには、そのキャンパスLANおよび組織の管理上、経済上などさまざまな事情を考慮したうえで適した商品を選択する必要があります。前回「既存ネットワークにあう検疫のパターンを見極めよう」を踏まえて、ここでは導入の制約となり得る条件を簡単にまとめたいと思います。

＜ネットワーク再構築が可能か＞

　検疫ネットワークはキャンパスLANの振る舞いを制御して不正な端末、ユーザーの接続を拒否するソリューションです。そのため、多かれ少なかれネットワーク再構築が必要となります。固定資産の管理や経済的な事情でIEEE 802.1x認証方式など端末に近いネットワーク機器をほぼ総入れ替えする方法を選択できない場合も多々あります。この場合はゲートウェイ方式などネットワーク再構築、変更の幅の小さい方式を検討する必要があります。

＜エージェントの導入は可能か＞

　キャンパスLANの規模が大きくなるとエージェントの導入が可能かどうかが課題となります。エージェントの導入ができない管理者はエージェントレス方式の検疫ネットワークを導入することになります。ただし、検疫検査の精度やセキュリティの確保を第一義とする管理者はエージェントタイプを考慮しなければなりません。前述のとおり、エージェントを用いるソリューションの多くが自動インストールの方法を提供していることも勘案し求め得る効果も含めつつ慎重に検討する必要があります。

＜クライアント端末のOS＞

　検疫ネットワークはそれ自体が新しいセキュリティ手法であるためほとんどのメーカー、ベンダが適用できるOSをWindows XPとWindows 2000に絞っています。しかし、多くの企業、団体ではWindows 98やMeなどの古いOSやMAC、LinuxなどのWindowsでないOSが存在するということも事実です。今後はこれらのWindows以外のOSへの対応も考えられますが、やはり新しいOSの対応に絞られます。業務システムの作り込みなどで新しいOSへの移行が難しいという事情もありますが、セキュリティ確保の観点からOSの入れ替えを検討する必要があります。

＜自ら運用するか、アウトソースするか＞

　納得のいく手法や効果を得られ、運用する負荷を負担できる管理者はよいのですが、自ら導入、運用することを想定してソリューションを検討した結果、自営での運用を断念せざるを得ない場合もあります。最近通信事業者をはじめとした検疫ネットワークの提供、運用サービスが提供され始め、アウトソースも検討できるようになりました。ただし、どのサービスを利用するかは自営運用と同様綿密に検討する必要があります。

＜求め得る効果は＞

　セキュリティ確保のための検疫ネットワークですが、導入、運用の手間を必要以上に嫌うが故に求める効果を得られなければ本末転倒です。導入を考える管理者は求める効果によってある程度の手間が必要なことは覚悟しなければなりません。検疫ネットワークに求める効果をきちんと検討したうえで実現方法を選択する必要があります。

検疫ネットワークとユビキタス

　これまでの説明で検疫ネットワークとはキャンパスLANに接続を試みる端末の検査と接続可否を制御するものであるということが理解いただけたかと思います。それでは検疫検査に合格した端末はキャンパスLANでどのように取り扱われるのでしょうか？ ごく一般的なキャンパスLANの通信を物理的なセキュリティと対比してみたいと思います。直接的な検疫ネットワークとは外れますが、キャンパスLANのソリューションに比較的検疫ネットワークの拡張として検討しやすいと思われるキャンパスLANのユビキタスを考えてみたいと思います。

　キャンパスLANのセキュリティは物理的なセキュリティに置き換えると理解しやすいと思います。部外者がオフィスを来訪する場合、ほぼすべての企業が受け付けを通し、身分を明かしたうえで入館を許可されるのが一般的です。入館を許可された後は案内によって会議室など必要な場所にのみ通され、オフィススペースに自由に出入りできることは極めてまれであるといえます。また、社員であっても営業担当が金庫の鍵を持つことはありませんし、金庫室の鍵も渡されないどころか金庫室の場所すら分からないケースもあると思います。これらのことを現実社会で行うことは疑問の余地はないかと思います。

　話をキャンパスLANのセキュリティに戻すと、検疫ネットワークソリューションは、物理的な「企業」に例えれば、「受け付け」に相当すると考えられます。しかし、入館者の案内や鍵に相当するものはないことが理解できます。しかし、物理的なセキュリティ手法にならうと、サーバそのもののセキュリティを確保することは最低限重要ですが、サーバへのアクセスそのものもアクセスする人によって制御されることが必要ではないかと考えられます。

図1 物理セキュリティとキャンパスLANセキュリティ

　検疫ネットワークの実現手法は実は単純に検疫ネットワークとしてのみ利用するのではなく利用者ごとの接続先の制御に向いています。これが検疫検査の前に認証を行うことでユーザーを特定できるメリットです。前述のIEEE 802.1x認証方式とゲートウェイ認証方式の2つを例に取って説明します。

　IEEE 802.1x認証方式は検疫に成功した後に適用されるVLANを接続する利用者の属性に応じて自動的に設定することができます。IEEE 802.1x認証を行うスイッチまたはその上位のスイッチ、ルータではVLANごとにアクセスコントロールリスト（ACL）が設定できる機器も多く、VLANごとに接続先を制限することができます。

　ゲートウェイ方式では検疫検査に合格するとポリシーサーバから自動的にACLを提供できるソリューションがあります。検疫には認証を実施し接続を試みているユーザーが特定できるため、そのユーザーに合わせたACLを設定、適用できます。検疫ネットワーク用の設備で実現できるのでネットワーク機器の性能等に影響を及ぼさないように制限することができます。

　いずれの方式も接続する利用者に応じて適用するACLを使い分けられることで柔軟にネットワークを制御できます。検疫ネットワークシステムの展開状況にもよりますが、キャンパスLANのどこから接続を試みても検疫検査さえ通過すれば自席にいるときと同様に一定の通信制限が掛かった形でかつ利用者自身は何も意識することなく安全にキャンパスLANを利用者へ提供できます。いわゆるセキュリティが確保されたユビキタスネットワークを実現できるのです。

図2 検疫ネットワークの拡張

　利用者ごとのACL適用によるセキュリティを確保したユビキタスネットワークへの応用例を紹介しましたが、もちろんこのほかの手法で検疫ネットワークの拡張をすることもできます。

既存ネットワークの可能性、そして何を守るのか

　検疫ネットワークはウイルス、ワームなどからキャンパスLANを守り安定運用を維持するための手法として開発されてきました。不正な端末を接続させることを避け情報漏えい対策も視野に入れた検疫条件の導入など、市場的だけではなく技術的にもこれからの応用、発展が期待されるソリューションであり、さまざまな実現手法が多くのメーカー、ベンダから提唱されています。

　現在、市場においては「検疫ネットワーク」という言葉が先行し、できることとできないことがはっきりしにくい状況になっているように感じられます。本稿にも書きましたが検疫ネットワークはそれだけで完全なセキュリティを確保できるわけではなく、計画の段階で「何を守るのか」を検討し、既存のセキュリティ対策と組み合わせることで効果を発揮するソリューションです。検疫ネットワークができることとできないことを理解したうえで導入計画を検討するとよいでしょう。

　検疫ネットワークの普及はまだ始まったばかりではありますが、一般の管理者への周知が広まるにつれて徐々に導入に踏み切るケースが増え始めています。自営で導入、運用ができる管理者はよいですが、それが難しい管理者はアウトソース事業者のサービスを利用することになります。しかし、事業者側も立ち上げの段階にある場合が多く、広範な普及はまだ先になりそうに感じられます。特に用件定義のコンサルティングや、導入設計サービスの充実が図られればユーザーの理解が得られ、導入を促進することにつながるのではと思います。

　本稿が検疫ネットワークに関する皆さんの理解を助け、効果的な構築、運用に役立つことができれば幸いです。

---

関連記事

　

「Master of IP Network総合インデックス」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）