検疫ネットワークの目的の一つは,持ち込みパソコン対策である。以前はウイルス感染の拡大を防ぐことに主眼が置かれていたが,今では情報漏えいを防ぐためにも重要である。
持ち込みパソコン対策に有効なのは,物理的に不正端末を遮断できるLANスイッチ方式である。インフラ更新を伴うため,導入のためにコストがかかるが,最近はできるだけ導入コストを低くできる持ち込みパソコン対策に特化したソリューションもある(図1)。
例えば,ソフトウエア方式で持ち込みパソコンの接続を防ぐシマンテックの「Peer to Peerエンフォースメント」がその一つである。
持ち込みパソコンの厄介なところは,セキュリティ対策状況をチェックしてポリシーを適用するためのエージェントをインストールしていない点だ。そのようなパソコンはそもそもポリシー・サーバーと通信しないので,何ら強制力のある指示を出せない。
そこでPeer to Peerエンフォースメントでは,持ち込みパソコンから接続されるサーバーやパソコンが通信を遮断する方法をとる。正規のパソコンやサーバーのすべてにPeer to Peerエンフォースメントをインストールしておくと,持ち込みパソコンからのアクセスを拒否する。「セッションごとにチェックするので確実に不正パソコンからのアクセスを防止できる。端末数が数百,数千となるとパフォーマンスが落ちる問題があるが,台数が少なければ有効な対策となる」(シマンテック技術本部プロダクトSE部の嘉津義明プリンシパルシステムエンジニア)。
アプライアンスを使った持ち込みパソコン対策のソリューションもある。富士通が提供する検疫ネットワーク用の認証スイッチ「SR-S」は,持ち込みパソコンを検出し,社内ネットワークへの接続を防ぐ「検疫センサー」としても利用できる。この検疫センサーを監視対象のセグメントにつないでおけば,MACアドレスを登録していない持ち込みパソコンを,通信開始時に送信する「ARPパケット」で検知する。さらに,その応答に偽の情報を送り付け,通信を妨害する。
この検疫センサーとして利用したSR-Sは,将来認証スイッチとして転用したり,LANスイッチ方式の検疫ネットワークに使い回せるので無駄にはならない。
「持ち込みパソコン対策という目的がはっきりしているユーザーから『もっと簡単に導入できるものが欲しい』という要望があったと,多くのフィールドSEから要求があった。それに答えて開発したのがこの製品」(富士通ネットワークサービス事業本部ネットワークテクノロジーセンターネットワークサービス技術部の竹田義浩部長)という。
LANスイッチにも導入しやすくする工夫
LANスイッチ方式は強固なセキュリティを望む場合に選択する方式だ。導入コストが高くなりがちではあるが,そうした中でもなるべく導入しやすくなるための工夫を施している。
その一例として挙げられるのが,配下に「島ハブ」と呼ばれる低価格のノンインテリジェント・スイッチがあっても利用できる「マルチサプリカント」と呼ぶ機能である。サプリカントとは,IEEE 802.1Xで端末にインストールするエージェント・ソフトのこと。以前のIEEE 802.1X対応LANスイッチは,1ポートで制御できるサプリカントの数は一つだけだった。つまり,1ポートに1台ずつ端末をつなぐ必要があった。
しかし,日本のオフィスでは,島ハブを使って机の島ごとにパソコンを束ねるというネットワーク環境が一般的。この島ハブを残したまま,上位に従来のIEEE 802.1X対応LANスイッチを置いても,島ハブにつながる複数のパソコンのうち,1台だけしか制御できないことになる。
一方,マルチサプリカント機能を搭載したIEEE 802.1X対応スイッチは,1ポートで多数の端末を制御できる。複数の端末がぶら下がった島ハブを収容できるため,既存のネットワーク環境を大幅に変えなくても検疫ネットワークを導入できる。
