ユーザー企業にとって導入しやすい検疫ネットワーク製品は,(1)ソフトウエア方式,(2)DHCP,(3)ゲートウエイ方式,(4)LANスイッチ方式のうち,(1),(2),(3)だろう。(1)では,各クライアントにエージェントをインストールするだけで済む。(2)や(3)の場合は,エンフォーサとなるDHCPサーバーあるいはゲートウエイを1台導入すれば良い。一般に導入コストはソフトウエア方式,DHCP方式,ゲートウエイ方式,LANスイッチ方式の順で高くなる。
そこで初めは導入コストの安いソフトウエア方式やDHCP方式から導入し,ネットワーク・インフラの見直しのタイミングで,強固なセキュリティのニーズが高い部門から徐々にLANスイッチ方式に移行するというシナリオが有力になる。また,サーバーなど特定の範囲だけをしっかり守りたい場合は,ゲートウエイ方式が有効だ。
検疫ネットワークに利用できる既存のインフラがある場合は,また違ったソリューションの選択方法がある。例えば導入済みのウイルス対策ソフトが検疫ネットワーク機能を備えている場合,持ち込みパソコン対策には不十分だが,わずかなライセンス料で追加インストールの手間もなく検疫ネットワークを導入できる。
同様に,社内のクライアント環境が基本的にWindowsであり,サーバーOSとしてWindows Server 2008の導入を考えている場合なら,追加コストをかけずに検疫ネットワークの導入が可能だ。
逆に,IEEE 802.1Xなどの認証機能を備えたLANスイッチを既に導入している場合は,サーバーやクライアントの対応だけで,比較的安価に強固なLANスイッチ方式の検疫ネットワークを入れられる。このほか,不正パソコンの排除だけを実現したいなら,それに特化した安価なソリューションを使う手もある。
安価に導入できるソフトウエア方式
ソフトウエア方式は,2007年に提供され始めた新しいソリューションである。現在では,シマンテック,ソフォス,マカフィーといった大手ウイルス対策ソフト・ベンダーが提供している。
これらのソフトでは,クライアントのポリシー適用状況の情報を収集するエージェントが,クライアントを隔離する役割も担う。クライアントをネットワークにつなごうとすると,クライアントのエージェントはパッチや定義ファイルの適用状況を調べ,情報をポリシー・サーバーに送る(図1)。ポリシー・サーバーは,エージェントが送ってきた情報からポリシーを満たしているかどうかを判定。判定結果に従って,内部ネットワークへのアクセスを許可するのかどうかを決める。判定結果によるクライアントのアクセス制御は,そのクライアント上のエージェント自身が実施する。
最近は,こうした検疫ネットワーク機能はウイルス対策ソフトに内蔵されるケースが増えている。初めからウイルス対策ソフトをインストールしているなら,追加のライセンス購入で使えるようになるため,検疫ネットワーク機能のインストールの手間さえ要らないことになる。
例えば,ソフォスは2008年4月にリリースしたウイルス対策ソフトに,「Sophos NAC for Endpoint Security & Control」という製品名で検疫ネットワーク機能を標準搭載した。
この製品では,3種類のポリシーがあらかじめ設定されており,ユーザーはその中から適切なポリシーを選択する。また,クライアントの隔離手段に利用できるのはソフトウエア方式だけで,DHCP方式やLANスイッチ方式と組み合わせて使うことはできない。ユーザー自身が詳細なポリシーを設定したり,DHCP方式やLANスイッチ方式と組み合わせたりするためには,「Sophos NAC Advanced」の追加ライセンスを購入する必要がある。
