NETWORK WORLD 2005.7 『60分でわかる検疫ネットワーク P73~P86』 by Gene

いまやネットワークの脅威は外部からのみならず、内部からも発生しています。セキュリティ的に脆弱なコンピュータが勝手に持ち込まれ、内部ネットワークに接続することによって、ウィルスや情報漏えいなどが起こってしまうケースが増えてきています。

こうした事態に対応するために、2004年後半ぐらいから注目されてきているのが「検疫ネットワーク」です。一口に検疫ネットワークと言っても、その実現方法にはいくつもの種類があります。今回取り上げている記事では、Lesson1~Lesson3の3部構成で、

  • 検疫ネットワークの必要性(Lesson1)
  • 主要な実現方式(Lesson2)
  • 今後の課題(Lesson3)

をまとめています。
簡単に、各Lessonについて要約してみましょう。

~Lesson1『感染したPCを隔離する「検疫ネットワーク」』~
まず、最初に検疫ネットワークとは何か?検疫ネットワークがなぜ必要なのかを説明しています。

ウィルスやワームの被害がどんどん深刻化しています。記事には統計数値が挙げられていて、それによると、ウィルス届出件数は

2003年17425件

2004年52151件

と3倍もの数値になっています。

ウィルスやワームに対抗するために、企業ネットワークではゲートウェイ型のウィルス対策製品、ファイアウォール、IPSなどを導入し、さらにクライアントコンピュータでもウィルス対策ソフト、パーソナルファイアウォールなどを導入しています。単にソフトをインストールするだけじゃなくて、定義ファイルを最新のものにアップデートしたり、OSのパッチをあてたりする必要もあります。
こうした対策をきちんと行えば、ウィルスやワームの被害は抑えられるはずです。「きちんと1台の漏れもなく」行えば。でも、それが難しいんですね。

ウィルスやワームの感染経路として、「持ち込んだPCから」が増えています。ぼくも会社員時代よくやっていたんですけど、家に仕事を持ち帰るためのプライベートのノートパソコンを社内に接続して、ファイルをコピーしたりしていました。こうした持ち込みPCがウィルスやワームに感染していて、それが結果として、社内ネットワークはおろか、外部ネットワークにまで被害が広がってしまうケースが増えています。

そこで、検疫ネットワークが必要になってきます。記事にある検疫ネットワークの定義を以下に引用します。

検疫ネットワークとは、クライアントPCがネットワークに接続する前にワーム感染などのチェックを行い、パスしなければ隔離して、ワームの駆除やパッチを適用する。そして、最新のセキュリティ状態にしてから業務ネットワークに接続させるという、一連の流れを実行するシステムのことである。

検疫ネットワークを実現する方式にはいくつかの種類があり、Lesson2に続きます。

~Lesson2『感染を広めない仕組みと導入の手順』~
まず、検疫ネットワークを実現するためにはやらなければいけないことは2つあります。1つは、接続するクライアントPCを検疫ネットワークに隔離することで、もう1つは、クライアントPCのコンプライアンスチェックを行うことです。コンプライアンスチェックとは、ウィルス対策ソフトの定義ファイルやOSのパッチ適用状況が企業のアクセスポリシーに合致しているかどうかをチェックすることです。

1つ目の検疫ネットワークに隔離する技術には、主に次の4つがあります。

  • エンドスイッチ方式(認証スイッチ方式)
  • DHCP方式
  • ゲートウェイ方式
  • パーソナルファイアウォール方式

記事にはP78~P79の上段で、この4つの方式の概要図とそのメリット、デメリットがまとめられています。一見して4つの方式の比較ができるので、すごくわかりやすい内容になっています。

そして、2つ目のコンプライアンスチェックの技術は2つに大別できます。

  • 専用エージェント方式
  • ActiveXコントロール方式

具体的な検疫ネットワークの例として、シスコシステムズのNAC(Network Admission Control)の仕組みが簡単に触れられています。でも、隔離技術、コンプライアンスチェック技術にどの方式を使っているかは明記されていません。せっかく、これまでに隔離技術、コンプライアンスチェック技術を紹介してきたんだから、どの方式を使っているかをきちんと書いてくれればよかったんですが。
記事に書いている大まかな仕組みから、隔離技術にはCisco ISRシリーズルータによる「ゲートウェイ方式」を採用し、コンプライアンスチェックには、専用エージェント方式を採用しているようです。

NACについて、日本シスコのページのリンクを載せておきます。

Cisco NACソリューション

さて、さまざまな隔離技術、コンプライアンスチェック技術がある中で、

「何をどう選択すればいいのか?」

という疑問が当然出てきます。この回答は、ケースバイケースになってしまいますが、検疫ネットワークを導入する手順として

現在のネットワーク環境の把握

製品の選定

アクセスポリシーの整備

検疫ネットワークの構築

があげられていて、さらに、検疫ネットワークの選択の基準となるチェックリストが掲載されています。このチェックリストは、環境によって多少修正すればかなり使えそうです。

~Lesson3『技術的な課題と解決のポイント』~
Lesson3では、現在の検疫ネットワークのシステムにおける6つの課題とその対策のポイントを挙げています。

課題1:新種のワームに対応していない可能性あり
課題2:必ずしも最新の対策パッチで検疫できない
課題3:製品に依存したソリューションしか導入できない
課題4:ネットワーク再構築などにかかるコストが高い
課題5:Windows以外のOSに対応していない製品が多い
課題6:大手3社のウィルス対策以外は対応せず

検疫ネットワークは新しい技術なので、まだまだ発展途上で課題はたくさんあると思います。でも、これからのセキュリティ対策のソリューションとして、重要な位置づけになるでしょう。検疫ネットワークの基本的な仕組みは、おさえておきたいところです。そのために、今回の記事は簡潔にまとまっていて、とてもいい内容だと思います。

「NETWORK WORLD」の詳細と購読申し込み

Follow me!