検疫ネットワークとは
目次
検疫ネットワークの目的
検疫ネットワークの目的は、社内LANに接続するクライアントPCがセキュリティポリシーに違反していないことを確認することにあります。
企業ネットワークのセキュリティについて少し振り返ります。企業ネットワークのセキュリティを確保する上で、最も注目されるのはインターネットと内部ネットワーク(社内LAN)の境界部分です。インターネットと内部ネットワークの境界部分にファイアウォールを設置します。インターネット側からの不正アクセスをファイアウォールでブロックすることで、DMZ上の公開サーバや内部
のLANを保護します。
ただし、ファイアウォールは万能ではありません。ネットワークや特定のサーバのダウンを狙ったDoS(Denial of Service)攻撃などはファイアウォールでブロックすることができません。ファイアウォールでブロックできないような攻撃は、IDS(Intrusion Detection System)/IPS(Intrusion Protection System)などで保護します。
ところが、業務用のクライアントPCにノートパソコンを利用することが多くなり、インターネットと内部ネットワークの境界部分のセキュリティ対策だけでは、十分ではなくなってきています。
たとえば、出張時や自宅での作業のためにノートパソコンを持ち出したときに、ウィルスに感染してしまうことがあります。持ち出したノートパソコンがウィルスに感染したことに気づかずに、社内LANに接続すると他のクライアントPCにウィルスの感染が広がってしまいます。
社内LANの中なので、ファイアウォールで不正なパケットをブロックして他のPCへのウィルス感染を防止することはできません。それだけではなく、社内LANからインターネットの方向のファイアウォールの設定が適切でなければ、DMZやインターネット上の他のネットワークへウィルスを広めてしまうような可能性もあります。内部ネットワークに接続したウィルスに感染したPCが原因で、他の組織にウィルスを拡散してしまうと企業の信用問題にもなりかねません。
図 ウィルスに感染したPCが内部ネットワークに接続したときの影響
このように現在の企業ネットワークのセキュリティを考えるには、インターネットと内部ネットワーク(社内LAN)の境界部分だけでは不十分です。境界部分のセキュリティに加えて、内部ネットワークにウィルスに感染しているなど問題のあるクライアントPCを接続させないような仕組みも必要です。これを実現するのが検疫ネットワークの大きな目的です。
検疫ネットワークの仕組み
検疫ネットワークでは、次の3つの機能によって社内LANに接続するクライアントPCの検査を行い、社内LANを保護します。
- 隔離
クライアントPCが社内LANに接続しようとすると、いったん検査専用のネットワーク(検疫ネットワーク)に隔離します。検査用ネットワークには、検査用、治療用のサーバなどが接続されています。また、検疫ネットワークは社内LANの他の部分とは切り離され通信できないようにしています。 - 検査
検疫ネットワークに接続したクライアントPCを検査して、OSのパッチ適用状況やウィルススキャンソフトの定義ファイル更新状況、ウィルスに感染していないかなどセキュリティポリシーを満足しているかを調べます。
検査の結果、クライアントPCがセキュリティポリシーに違反していないことを確認できれば、通常の社内LANに接続させます。 - 治療
検査でクライアントPCに問題があれば、治療用サーバからOSのセキュリティパッチやウィルススキャンソフトの定義ファイルをクライアントPCに配布して、適用します。またウィルスに感染している場合、ウィルスの除去も行います。治療したあと、再び検査を行います。
また、検疫ネットワークの仕組みを実現するために、クライアントPCにも専用のソフトウェアが必要です。多くの場合、「エージェント」と呼ばれています。クライアントPCにインストールされたエージェントソフトウェアによって、検疫ネットワーク上の検査サーバによる検査および治療サーバによる治療を行うことができます。