様々な選択肢がそろい,すっかり導入環境の整備が進んだ検疫ネットワーク。初期導入コストを抑える,段階的に導入できるアップグレード・パスを用意するなど工夫が凝らされている。
重要なのは,狙いをはっきりさせ,そのうえで既存のネットワーク環境に合わせて導入ステップを考えて,ステップごとの実現方法を選ぶこと。以降では,最新の検疫ネットワークの技術・製品と,導入ステップの考え方を紹介する。(1)検疫ネットワークの基本的な仕組み,(2)低コストを意識した段階的導入法,(3)持ち込みパソコン対策──について順に見ていこう。
実現形態は大別して4タイプ
検疫ネットワークは主に,(1)検疫対象のクライアントで動作するエージェント,(2)クライアントがポリシーを満たしているかどうかを判断するポリシー・サーバー,(3)クライアントの隔離などアクセス制御を実行するエンフォーサ──という3種類の要素で成り立っている(図1)。
利用イメージは基本的にはどの製品も共通している。マイクロソフトの検疫ネットワーク技術「NAP」を例に取ると,Windows Server 2008上で動作するポリシー・サーバー(NPS)にクライアントが満たすべきポリシーを設定する。クライアントがネットワークにアクセスするタイミングで,クライアント上で動作するエージェントが自身のセキュリティ状態をチェックする。そして,エージェントはチェック結果をポリシー・サーバーへ送る。ここで,ポリシーを満足していなければ,ポリシー・サーバーがエンフォーサに命令を送り,通信をブロックする(図2)。
製品ごとの違いは,主にエンフォーサをどのように実装しているかにある。(1)ソフトウエア方式,(2)DHCP,(3)ゲートウエイ方式,(4)LANスイッチ方式の4タイプがある。そのタイプごとにセキュリティ強度や導入の手軽さ・コストが異なっている。
例えば(1)のソフトウエア方式は,コンピュータ1台ごとに搭載するエージェント・ソフトがエンフォーサの役目を兼ねる。エンフォーサとなる機器が不要で,ネットワークもそのままで導入できるが,エージェントを搭載しない持ち込みパソコンには効果がない。
これに対して(2)や(3)は,1台のゲートがエンフォーサとなる。DHCP方式では,ポリシーを満たしているかどうかでDHCPサーバーがクライアントに割り当てるIPアドレスを変え,隔離を実現する。ゲートウエイ方式は,守りたい個所にゲートウエイを置いて検疫を実施する。これらの方法もネットワーク構成は基本的に変更しなくて済む。ただ,ゲートウエイを経由しない通信については,検疫ネットワークだけでは止めようがなく,セキュリティ・レベルが落ちる。
もう一つのLANスイッチ型は,4タイプの中では最もセキュリティ強度が高い。ただ,LANスイッチを一斉に置き換える必要があり,手間とコストがかかる場合が多い。
今セキュリティ分野で最も注目を集めているのが情報漏えい対策である。「DLP」(data leakage protection)という新しい用語とともに,情報漏えいを防ぐ新しいタイプの製品やソリューションが登場している。こうしたDLP製品と検疫ネットワークを組み合わせることで,効果的にポリシー順守の仕組みを構築できる。
例えばシマンテックは,「Symantec On-Demand Protection」という情報漏えい対策製品を提供している(図3)。
この製品のユニークな点は仮想デスクトップを利用していること。リモートのユーザーが社内のWebサーバーにアクセスすると,そのサーバーから仮想デスクトップのプログラムを自動的にダウンロードし,ユーザー側のパソコンで実行する。ユーザーは,すべての作業をその仮想デスクトップで実施する。仮想デスクトップではローカルのアプリケーションを利用するが,そこで作成したデータはローカルのリソースに保存できない。データは必ずリモートのサーバー側に保存するようになっている。
このシステムはシマンテックが提供する検疫ネットワークと連携動作が可能だ。例えば,検疫用ゲートウエイやDHCPサーバーと連携し,仮想デスクトップが動作している状態なら内部のネットワークへ,動作していない状態なら隔離用ネットワークに接続させる。
このほかトレンドマイクロは,特定の機密情報の漏えいを防ぐ製品を提供している。機密情報の識別データ(フィンガープリント)を作成し,各端末のエージェントにセットする。エージェントはフィンガープリントが一致するデータをコピーしようとすると,その動作を止める。マカフィーも,機密情報のネットワークへの流出を防止する同様のソリューションを提供する。また,ソフォスは外付け記憶媒体へのコピーを集中的に監視する製品を出荷している。
