検疫ネットワークは,一定のセキュリティ・レベルを満たしていないパソコンに対し,社内LANに接続する前にウイルス対策やパッチ適用などを強制する仕組み。セキュリティが不十分なパソコンからワームなどが社内に拡散することを防ぐ対策として有効です。
持ち込みパソコンに限らず,社内ネットワークに接続するすべてのパソコンの安全性を確保するうえで,検疫ネットワークが重要な役割を果たすようになってきています。前回解説したポリシー・エンフォーサー*と組み合わせると,社内LANから隔離されたネットワークでパソコンのセキュリティを一定レベルに引き上げたうえで,接続を許可できるようになります。
検疫ネットワークは,社内LANに接続するパソコンの安全性を確認するために,社内LANとは物理的・論理的に別に設けるネットワークです。万が一,設定に問題のあるパソコンを接続しても,社内LANには影響を与えません。
検疫ネットワークは「隔離」,「検査」,「治療」の3機能で構成されます。具体的には「社内LANに接続してくるパソコンに一時的な退避場所を提供する」,「クライアントのセキュリティ設定を検査して不十分なら強制する」,「ウイルス対策やパッチ管理などパソコンのぜい弱性を修正する」という機能の集まりと考えればよいでしょう。3機能すべてを一つの製品として提供しているケースや,それぞれ別の製品として売られているケースなど,提供形態は様々です。
検疫の手法は三つある
検疫ネットワークの手法は大きく三つに分けられます。(1)DHCP*(dynamic host configuration protocol)方式,(2)認証スイッチ方式*,(3)専用クライアント方式——です(表1[拡大表示],図1[拡大表示])。
DHCP方式は,動的にIPアドレスを割り当てるDHCPサーバーを用いて,検査に合格する前と合格した後に割り振るIPアドレスを変更します。これにより,社内LANと検疫ネットワークへの接続を制御します。この方法は,DHCPサーバーとポリシー・サーバー*の導入により,比較的簡単に実現できます。ただし,端末認証のみで個人を特定できないことや,社内LANで利用されるIPアドレスを直接指定すれば検査をすり抜けられるという弱点があります。このため社内ネットワーク向けの安全対策としては,やや問題があります。
認証スイッチを利用し安全性を高める
認証スイッチ方式は,IEEE 802.1X認証または独自認証を利用する方式があります。IEEE 802.1X認証を利用する方式では,認証スイッチとサプリカント*を,ポリシー・サーバーと組み合わせます。認証スイッチで接続先を切り替える仕組みには,VLAN(Virtual LAN)を利用するのが一般的です。検疫ネットワークと社内LANを二つのVLANに分けて,認証と検査結果に応じて自動的に切り替えます。
この認証スイッチを使う方法は,信頼性やセキュリティ強度が高いソリューションと言えます。しかし,スイッチの置き換えやクライアント・ソフトのインストールと設定が必要なため,導入コストが高くつく欠点があります。またIEEE 802.1Xはポート認証なので,一つのポートにつき1ユーザーの確認しかできません。
専用クライアント方式はPFWを利用
専用クライアント方式は,その多くがパーソナル・ファイアウォール(PFW)*製品の拡張機能として提供されています。各パソコンにインストールしたPFWと,それらを管理するポリシー・サーバーを組み合わせて,社内LANへの接続を制御します。PFWを利用するため,接続先のサーバー別に接続ルールを使い分けられるのも特徴です。
この手法にも運用上の欠点があります。1台1台のパソコンにPFWのインストールとポリシーの設定が必要なことなどです。また,ユーザー自身がPFWの設定を変更できるという問題もあります。ただし設定がポリシーにそぐわないパソコンには,それを修復する必要最低限のルールを付与して修復をサポートすれば,ある程度この問題は回避できます。
検疫ネットワークは,社内LANのセキュリティ向上に有効ですが,導入に当たっては既存ネットワーク環境への導入スキームやパッチ適用などの運用面を,事前に十分検討する必要があります。
| 増谷 洋 NRIセキュアテクノロジーズ事業開発部長 津田 邦康 NRIセキュアテクノロジーズ事業開発部 上級セキュリティエンジニア |
