ほかは要らない？マイクロソフトの検疫システム

2005/2/4

　「わざわざ高いお金を払って専用機器を買わなくても、当社製品のデフォルト機能だけで対応できるはずだ」。この言葉は、マイクロソフトが2月3日に開催したラウンドテーブルにて、マイクロソフト ITインフラストラクチャ製品グループシニアプロダクトマネージャ齋藤義憲氏が語ったものだ。齋藤氏は、Windows Server 2003 SP1とInternet Security ＆ Acceleration Server 2004を用いることで実現する「リモートアクセスVPNの検疫制御」を紹介した。

マイクロソフト ITインフラストラクチャ製品グループシニアプロダクトマネージャ
齋藤義憲氏

　マイクロソフトは、2003年のお盆に発生した「Blaster」や、2004年5月の「Sasser」のようなワームの経験からセキュリティ強化の方針を打ち出し、ビル・ゲーツ氏自らが「Trustworthy Computing」を提唱している。Blaster発生時には、「社内のPCが直接感染したのではなく、営業などが外部に持ち出したPCが社内にワームを持ち込んだために感染が広がったケースがほとんどあった」（齋藤氏）と説明。このような経験から、同社ではプライベートネットワークに接続するPCの「状態」を、最新に保つように管理する「検疫システム」の構築を推進している。

　検疫システム構築の一環として、マイクロソフトでは「リモートネットワークアクセス検疫制御」技術を提供している。リモートネットワークアクセス検疫制御は、検疫サーバとクライアントスクリプトを利用することで、セキュリティポリシーを満たさないVPNクライアントがネットワークにアクセスするのを防ぐことが目的だ。その際に、パーソナルファイアウォールの有効／無効、ウイルス定義ファイルが最新か、パッチはすべてインストールされているか、などを調べることができる。

　すでにリリースされている「Windows Server 2003 Resource Kit」や「ISA Server 2004」でも実現可能だが、2005年前半にリリース予定の「Windows Server 2003 SP1」ではより簡単に利用可能だという。具体的には、VPNクライアントに検疫スクリプトをインストールすることで、そのクライアントPCがVPNアクセスをした際に、検疫スクリプトが動作してPC内の構成を検査する。その結果が、セキュリティポリシーに合致すれば、社内ネットワークに接続できるというもの。

　マイクロソフトでは、実際にこの検疫ネットワークを導入しているという。同社では、「Windows XP」「ウイルス対策ソフト」「IPSec」「最新のセキュリティプログラム」「スマートカード認証」「接続マネージャ」のすべての要件を満たさなければ、社内ネットワークにVPNアクセスできないという。このため、「家でメールチェックをするだけの場合には、Webメールの『Outlook Web Access』を使うなど、用途によって使い分けている。毎回VPNアクセスをしているわけではない」（広報新保氏）だと語った。

　ただし、リモートネットワークアクセス検疫制御では検疫スクリプトを作りこむ必要があるため敷居が高くなりがち、という欠点もある。この点について、同社では検疫スクリプトのサンプルをWebサイト上で公開するほか、イベントでサンプルの評価キット配布なども行っていく。齋藤氏は、「このようにWindows Server 2003 SP1とISA Server 2004だけを導入してもらえば、デフォルト機能で検疫システムを構築可能だ。これらを上手に使えば、わざわざ、検疫専用の機器を買う必要はないだろう」と説明した。

　また、2007年にリリース予定の「Windows Longhorn Server」では、VPNアクセス以外のさまざまな接続形態においても検疫を実現するシステム「ネットワークアクセス保護（NAP）」を目指す。NAPでは、スクリプトで動作するのではなくAPIとして提供されるので、「現在のリモートネットワークアクセス検疫制御よりも、格段に自由度が増すだろう」（齋藤氏）と自信を見せた。

（＠IT　大津心）

情報をお寄せください：

ほかは要らない？マイクロソフトの検疫システム

最新記事

転職／派遣情報を探す

年収６００万円！エンジニア向けの求人満載。転職希望者必見

エンジニアの転職なら【転職サーチ】

ほかは要らない？ マイクロソフトの検疫システム

最新記事

転職／派遣情報を探す

年収６００万円！エンジニア向けの求人満載。転職希望者必見

エンジニアの転職なら【転職サーチ】

ほかは要らない？マイクロソフトの検疫システム