特集
Windows Server 2003 SP1レビュー

第2回 リモート・アクセス検疫機能

1.「リモート・アクセス検疫サービス」とは

デジタルアドバンテージ 打越 浩幸
2005/04/14


 Index
第1回 Windows Server 2003 SP1の概要
第2回 リモート・アクセス検疫機能
第3回 初期セットアップ時のセキュリティ保護を実現する「セットアップ後のセキュリティ更新」
第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」
第5回 利用目的に応じたセキュリティ設定を素早く確実に行う「セキュリティの構成ウィザード」
第6回 アクセス・ベースのディレクトリ列挙ABE

 Windows Server 2003 SP1では、リモート・アクセスにおいて、「検疫(quarantine)」というサービスが利用できる。「検疫(けんえき)」とはあまり聞きなれない単語かもしれないが、ネットワークの世界では、コンピュータをネットワークにつなぐ前に「検査」し、問題がないと判断された場合に限って接続を許可するという機能を指す。例えばCode RedやNimdaといった、ネットワーク経由で複写・増殖するウイルスやワームにコンピュータが感染していると、社内ネットワークにつないだ途端、ネットワーク上のコンピュータに感染が広がる危険性がある。いくらファイアウォールやDMZでインターネットから分離していても、このように直接ローカルのネットワークにコンピュータを接続したのでは、防ぎようがない。

Code Redワームの正体とその対策(Insider's Eye)
ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する(Insider's Eye)

 そこで考案されたのが「検疫」という仕組みである。コンピュータをネットワークに接続するときに、いきなり接続するのではなく、まず「検疫ネットワーク」という、検査用の特別なネットワークに接続し、この状態でコンピュータに問題がないかどうかを検査する。問題がないと分かれば、正規のネットワークに接続し直すが、問題があれば隔離したままにしたり、ネットワークから切断したりする。例えば検査の結果、ウイルスに感染していることが分かったり、十分なセキュリティ対策が行われていないことが判明した場合には、ネットワークへ接続させないのである。これにより、ある程度の安全性が確保できる(ウイルスの仕組みにもよるので、絶対安全というわけにはいかない)。

 とはいうものの、実際にこれを実現しようとすると、あまり簡単ではない。広く一般に使われているイーサネットでは、ハブにケーブルをつなげば相互に通信ができるようになっているため、不正なコンピュータだけを隔離することは簡単にはできない。ポートやMACアドレスごとの隔離機能を持つ特別なハードウェアや、検疫/隔離を支援するソフトウェアなどが必要になる(将来はこのような検疫の仕組みが標準化され、広く利用されるようになるだろう)。

 これに対してWindows Server 2003 SP1の検疫とは、リモート・アクセス(ダイヤルアップ接続)やVPN接続でのみ利用できる機能である。出先からノートPCなどで会社にダイヤルアップ接続したり、支社や自宅からインターネットVPN接続で会社へ接続したりする場合に、いきなり社内ネットワークへ接続するのではなく、まず検疫ネットワークへ接続させる。その状態で検査用のプログラム(スクリプト)をクライアント側で実行させ、問題がなければ実際のネットワークへの接続を許可する。

 この機能は、もともとはWindows Server 2003のリソース・キットで提供されていた機能であるが、その導入方法はあまり簡単ではなかった。手動でレジストリを設定するなどの操作が必要だったからである。Windows Server 2003 SP1ではOSの標準的なコンポーネントとして用意されているので、導入の手間は軽減されている。なおISA Server 2004も検疫機能を持っているが、使い勝手はともかく、機能的には差はない。

 以下にWindows Server 2003 SP1で実現される検疫機能の概要を示す。

検疫ネットワーク

 リモートから接続したコンピュータは、まずは、ローカル・ネットワークからは隔離された状態に置かれる。とはいうものの、ローカルのリソース(コンピュータ)へまったく接続できないというわけではない。「検疫リソース」といって、隔離された状態からでもアクセスできるいくつかのリソースが存在する。このリソースの上には、例えば検査のためのスクリプトやウイルス・チェック・プログラム、適用しなければならない最新のセキュリティ・パッチ、検疫状態であることを通知するためのWebページ・データなどが置かれている。

 クライアント・コンピュータは、ダイヤルアップやVPN接続後、これらのリソースを使って自分自身を検査し、問題がなければ、内部リソースへのアクセスが許可される。

 もし問題があれば(例:ファイアウォールが無効になっている、ウイルス・チェック・プログラムが起動していない、パッチが適用されていないなど)、何らかのメッセージが表示されたり(例:「セキュリティ・パッチが未適用なので接続を拒否します。至急〜〜のパッチを適用してください」など)、必要に応じてファイアウォールを有効にしたり、パッチを自動的に適用したりする。さらに接続の猶予時間も決めることができるので、例えば接続後2分間だけメッセージを表示して、その後VPN接続を強制的に切断したりする。

検疫ネットワークの仕組み

 「検疫ネットワーク」というと、DMZネットワークや、物理的に独立したイーサネットのネットワーク・セグメントのようなものを連想するかもしれないが、Windows Server 2003 SP1における検疫ネットワークはそのようなものではない。実際にはこの検疫ネットワークは、検疫モード時にのみ有効な「パケット・フィルタ」や「タイマーによる自動的な切断」といった、「リモート・アクセス・ポリシー」によって実現されている。詳細は後述するが、ダイヤルアップやVPN接続が開始されると、検疫用の特別なポリシーが有効になる。この検疫ポリシーには、検疫リソースにだけアクセスできるようなルールが記述されており、それ以外のリソースへのアクセスはすべて禁止されている。そして検査にパスすると、検疫用のポリシーが無効になり、従来とおり制限なくネットワーク上のリソースにアクセスできるようになる。


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第2回 リモート・アクセス検疫機能
  1.「リモート・アクセス検疫サービス」とは
    2.検疫サービスのインストール
    3.検疫ネットワーク用のリモート・アクセス・ポリシーの作成
    4.接続マネージャによる接続用設定のプロファイルの作成
    5.VPN接続と検疫スクリプト
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間