社内ネットのLANポートに接続されたパソコンをいったん社内ネットとは別のネットワークにアクセスさせ,そのパソコンがウイルスに感染していたり,重大なセキュリティ・ホールが残っていたりしないかを検査し,安全が確認されたパソコンだけを社内ネットへアクセスできるようにするシステムのこと。また,この検査用のネットワークのことも検疫ネットワークと呼んだりする。
検疫ネットワークを使ったときの流れは,以下のようになる(図)。パソコンを社内ネットの入り口となるLANポートに接続すると,まず検疫用のネットワークにつなぐ(1)。ここでは,検疫サーバーと呼ばれるコンピュータがパソコン内のウイルス定義ファイルのバージョンやパッチの適用状況などを検査する(2)。
パソコンは,検査に合格した時点で社内ネットにアクセスできるようになる。検査結果が不合格だったら,検疫ネットワーク内に隔離されたままである。ここで,ウイルス定義ファイルの更新やパッチの適用などを実施し,安全が確認できた時点で社内LANにアクセスできるようになる(3)。
ただ検疫ネットワークと一口にいっても,その実現方法はさまざまである。検疫ネットワークと社内ネットのアクセス先を切り替える方法で分けると,三つの方法がある。a.DHCPサーバー方式,b.パーソナル・ファイアウォール方式,c.認証スイッチ方式である。
DHCPサーバー方式は,アクセス先の切り替えにDHCPサーバーを使う。検査を受けていないパソコンと検査に合格したパソコンで,異なる範囲のIPアドレスを割り振る。DHCPサーバー方式のメリットは,実現が楽な点。これまで社内で使っているLANスイッチなどの機器をそのまま利用できる。弱点は,DHCP機能がオンになっているパソコンしか検査対象にできない点である。
パーソナル・ファイアウォール方式は,個々のパソコンにインストールしたパーソナル・ファイアウォール・ソフトを利用する。パーソナル・ファイアウォール・ソフトのフィルタリング機能などを使って,パソコンがアクセスできるネットを切り替える。この方式のメリットも,社内LANの構成を変更する必要がないところである。弱点は,パーソナル・ファイアウォール・ソフトが入っていないパソコンは対象にできないことである。
3方式の中で,最もセキュリティ的に強固なのが認証スイッチ方式である。認証スイッチとは,ユーザーを認証する機能を持ったLANスイッチのこと。LANスイッチが認証サーバーなどと連携して,決められたユーザーしか社内ネットへアクセスできないようにする。ユーザーを認証する方法は,ユーザー認証の標準技術であるIEEE 802.1Xを使う方法や,Webサーバーに作り込んだ認証ページを使う方法がある。
