ポイント●「検疫ネットワーク」とは,社内のネットワークにアクセスするクライアントPCが,あらかじめ決められていたポリシー(ルール)に適合しているかをチェックするためのネットワーク,あるいはシステムのことである●チェックに合格した場合は,社内のネットワークへのアクセスが許可される。不合格だった場合は,クライアントPCにパッチを当てたり,ウイルス対策ソフトの定義ファイルをダウンロードさせる仕組みを提供したりする ●パッチを当てる作業などをうっかり忘れた場合など,セキュリティ・ポリシーを守っていないクライアントPCが,社内のネットワークに接続されることを防ぐために有効なシステムである |
ネットワーク・セキュリティを考えるとき,外部からの攻撃だけを考慮していたのでは足りません。情報漏えいやコンピュータ・ウイルスへの感染など,セキュリティ事故は内部メンバーの過失(ミス)が原因となる場合もあります。もちろん,運用である程度はカバーできます。しかしセキュリティ事故は,その隙間を縫うように発生します。そこで,社内のネットワーク(ここでは「検疫ネットワーク」と区別するために「業務ネットワーク」と表記します)にアクセスするクライアントPCが,あらかじめ定めていたセキュリティ・ポリシーに適合しているかをチェックする仕組みが考えられました。それが検疫ネットワークと呼ばれるシステムです。
実世界における「検疫」とは
まずは実世界における「検疫」のイメージを確認しておきましょう(図1)。
図1 実世界における「検疫」のイメージ |
海外から到着した荷物(動植物など)などには,見た目では分からない病原体が付着している恐れがあります。そこで空港や港に到着した荷物は,そのまま国内に持ち込ませるのではなく,いったん検疫所で適切な検査を行います(1)。そして,検査に合格した荷物だけが,国内への持ち込みを許可されます(2)。
もし検査に不合格だった場合は,必要な処理を施してから再検査を受けて合格すれば国内への持ち込みが認められます。しかし,検査に合格できない,あるいは必要な条件を満たせない場合は,国内への持ち込みが許可されず,送り元の国へ戻されたり,廃棄処分になったりします(3)。
「検疫ネットワーク」の概要
検疫ネットワークでは,実世界の「荷物」を「クライアントPC」に,実世界の「国内」を「業務ネットワーク」に,置き換えるとイメージしやすいでしょう。例を挙げてみましょう(図2)。
図2 検疫ネットワークのイメージ |
社外に持ち出されていたクライアントPCがコンピュータ・ウイルスに感染し,ユーザーが気づかずに業務ネットワークにつないでしまうと,ウイルスが社内にまん延してしまう恐れがあります。このため,業務ネットワークにクライアントPCを接続する前に「検疫」に相当する作業を施し,安全を確認してから業務ネットワークに接続することを許可するようにします。
また,持ち出しができないデスクトップ・パソコンの場合であっても,検査が必要です。なぜならば,セキュリティ管理者が「OSのパッチを適用して下さい」「ウイルス対策ソフトの定義ファイルを更新してください」と言っても,ユーザーが100%遵守できるとは限らないからです。うっかり更新を忘れてしまうようなケースも考えられます。
そこで,社外から持ち込まれたPCとデスクトップPCを区別することなく,業務ネットワークにアクセスする全てのクライアントPCは,電源投入後またはネットワーク接続時に,検査を受けるためのネットワークに接続させます(1)。この特別なネットワークが「検疫ネットワーク」です。そして,必要なセキュリティ・チェックを受け,合格したクライアントPCだけが業務ネットワークへのアクセスを許可されます(2)。
もし,この検査の結果が不合格だった場合は,その旨がユーザーに通知されます。ユーザーは,OSにパッチを当てるなどの必要な処置を施して再検査を受け,合格するまで業務ネットワークへアクセスすることができません(3)。