日経コミュニケーション 2004.11.1 『検疫システム導入の心得 ワークの裏口進入を食い止めろ』 by BOSE

最近、にわかに検疫システムについて雑誌で取り上げられることが多くなりました。今年の春ごろから各社が続々とサービスをリリースしているようです。
検疫システムを検討している企業も多いでしょう。来年あたり一気にブレイクかな?

とはいいつつ、まだまだ実態がよく分からない検疫システムです。僕自身このサービスはなんとなく知っていましたが、どういった方法、技術を使用するのかは全く知りませんでした。検疫システムと言っても、各社で実現の方法は異なるようです。

僕のように「検疫システムって何?どういった方法があるの?」

と疑問に思う方は、今回の記事はぴったりだと思います。

まず、なぜ検疫システムが必要なのか?

インターネット接続部分においてのワーム対策は、セキュリティ対策にシビアな企業に限らず、かなり一般的に導入が進んでいると思います。ファイアウォールはもちろん、ウィルス対策ソフトや、ウィルスチェックサーバ、IDSサービスなどなどですね。そういった対策を施しても防げないワームの感染経路があります。それは持ち込みPCからの感染です。ユーザがワームに感染したPCを勝手にLANに接続してしまえばそこが感染経路になります。それにどんなにインターネット接続部のセキュリティを万全にしても、セキュリティパッチやウィルス対策の定義ファイルを常に最新にするよう、ユーザにポリシーを守ってもらうのも容易ではないでしょう。

検疫システムは、そういった不安を解消するものです。

そのためにどうするか。

検疫システムは、1.隔離、2.検査、3.治療の3段階の手順を踏みます。PCをLANにつないだだけでは社内ネットワークに接続されず「1.隔離」された状態になります。そこでそのPCがセキュリティポリシーに合致するかが「2.検査」、場合によっては定義ファイルを更新するなどの「3.治療」がなされたうえで初めて社内ネットワークに接続することができるようになります。

実現方法は大きく3つの方式があります。

1.認証スイッチ方式
2.認証DHCP方式
3.パーソナル・ファイアウォール方式

簡単に言えば、1.>2.>3.の順で隔離の度合いが高くなるが、その代わりコストがかかるそうです。1.の方式はIEEE802.1Xなどのユーザ認証に対応したLANスイッチや無線LANアクセスポイントの導入が必要になります。認証機器は設置の仕方でコストに大きく影響します。例えば、PCを直接収容するアクセススイッチを認証機器に置き換えた場合、企業規模にもよりますがすごい数の機器が必要になります。逆に認証機器をフロア単位など、ネットワークの上流に設置すれば認証機器の数が少なくて済むためコストを抑えることができます。ただしワームはある範囲までは認証スイッチを経由せずに通信できるため、ある範囲までワームが広がるのは覚悟しなければなりません。

「1.認証スイッチ方式」でも最後に紹介されている日本テレコムのサービスだと、ネットワークの上流にブリッジタイプの認証機器を置くポリシーです。先ほどの例のように、ブリッジを経由しないある一定の範囲までワームが広がるのは覚悟しなければなりませんが、既存のネットワーク構成を大きく変えることなく導入が容易なのがメリットです。

「2.認証DHCP方式」は、最初に隔離用の仮のIPアドレスを割りあて、検査に合格すれば本来のIPアドレスが割り当てれれて、ネットワーク接続が可能になるという方式です。固定IPアドレスを設定されてしまうと認証ができないという弱点もありますが、おそらく悪意なく持ち込まれるPCはほとんどDHCPが設定されているだろうから、安価に導入するにはある程度効果がありそうです。

「3.パーソナル・ファイアウォール方式」は個人的には流行らないかなと思います。なぜならパーソナル・ファイアウォールをインストールしていないPCが接続された場合は検査できないため、悪意のないユーザがPCを接続するのを防げそうにないからです。

それにしても最近特にセキュリティに関するサービス、製品が増えているように思います。セキュリティ対策市場はどんどん拡大しそうですね。必要な技術だとは思うのですが、覚えるのが大変だなあ。

by BOSE
 
☆自己投資のための読書

※検疫ネットワークなどのセキュリティサービスのビジネスチャンスはすごく大きいと思います。ビジネスチャンスを生かすためには、セキュリティの勉強をしないといけませんね!(Gene)

日経コミュニケーションの詳細、購読申し込み

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA