検疫ネットワークの導入を検討する企業が急増している。7月には,流通業界の雄,セブン-イレブン・ジャパンが5000台のパソコンのOSを刷新し,検疫ネットワークを導入すると発表した。
同社は野村総合研究所とマイクロソフトと共同で,クライアント・パソコンのOSをWindows XPからWindows Vistaに切り替える。目的はクライアントのセキュリティを強化することだ。ただ,同社が考える対策のゴールはもっと先にある。並行してマイクロソフトのサーバーOS「Windows Server 2008」の導入を進め,Windowsの標準機能を使って社内に検疫ネットワークを構築しようとしているのだ。背景にあるのは,情報漏えいの防止をはじめとしたコンプライアンス(法令順守)を徹底したいという思いである。
こうした動きはこの一例だけにとどまらない。ベンダー各社は「すぐにでも導入したい,詳細を知りたいといったユーザー企業がぐんと増えてきた」と手応えを感じているという。
阻害要因は高い導入コスト
検疫ネットワークは,外部から持ち込まれたパソコンなど社内のセキュリティ・ポリシーに合わない機器を隔離し,社内ネットワークを安全な状態に保つための仕組み。社内にウイルスを持ち込ませない,社内のデータを外部に持ち出させないといった目的で利用する。
日本に検疫ネットワーク製品が登場したのは2004~2005年ころである。先導したのは米シスコ。2003年に「自己防衛型ネットワーク」という構想の一環として検疫ネットワーク技術「NAC」(network admission control)を打ち出した。当時は,「Blaster」などネットワークを介して爆発的な勢いで感染を広げるウイルスが猛威を振るっていた。このため検疫ネットワークは,社内へのウイルス侵入を防ぐ手段の最有力候補としてもてはやされた。
ところが実態は,数年間をかけてもなかなか導入が進まない有様。本誌が2008年7月に実施したアンケートでも,回答があった企業ユーザー229社のうち,導入済みはわずか41社(17.9%)。「検疫ネットワークを導入していないし,導入予定もない」と回答した企業は93社に上った(図1)。導入しない理由として最も多かったのは「導入コストが高かったから」。57社がこの回答を選んだ。
検疫ネットワークの仕組みを実現するには,認証機能を備えたLANスイッチや,スイッチと連携するためのサーバーやクライアントで動作するソフトウエアが必要になる。しかも,多くの製品はシングル・ベンダーに統一することが求められ,検疫ネットワークの導入には既存の環境をすべて入れ替えなければならなかった。これが高い導入コストの原因となっていた。
さらに,検疫ネットワークの普及を妨げてきた要因として,爆発的に感染を広げるタイプのウイルスが減り,代わりに特定の目標だけに攻撃を絞り表に現れないタイプのウイルスが増えてきたことがある。このため,感染拡大を局所的に限定するという検疫ネットワークの良さが理解されにくい状況になっていた。
コンプライアンスと導入コスト低下で再び注目
ところが,ここに来て流れが変わった。背景の一つにあるのは,企業のコンプライアンスへの意識の高まりである。検疫ネットワークの整備によって,ネットワーク・システムの不正利用防止や情報漏えい対策を徹底し,ISMSやPCI DSS,個人情報保護法そしてJ-SOX法などへの対応を進めようとしている。
その好例が冒頭に挙げたセブン-イレブンである。同社がリプレースする5000台のパソコンのうちノート・パソコンは3000台にもなる。情報漏えいを未然に防ぐには,これらのノート・パソコンの管理は急務だったのだ。
加えて,導入コストのハードルも徐々に低くなってきた。ウイルス対策ソフト・ベンダーやネットワーク機器ベンダーが,ユーザーの意見を聞き入れ,導入コストを抑えられる製品や仕組みを整えてきたからだ(図2)。
機能を絞り込むことで低価格と手軽さを実現した製品が登場した。既存の投資を生かしつつ,段階的に導入できる製品もある。さらに,検疫ネットワーク機能を標準で備えるWindows Server 2008の出荷や,Windows UpdateによるWindows XP SP3の配布が始まった。企業ユーザーにとって導入のハードルは間違いなく下がっている。