検疫ネットワークとは,企業などのネットワークに接続するパソコンを検査するしくみである。安全を確認したパソコンからのみネットワークを利用させることで,社内のセキュリティを確保することが目的だ。
一般に,企業内のネットワークとインターネットとの境界にはファイアウォールを導入して,外部からは簡単に侵入できないようになっている。ところがこれだけでは,いったん社内に侵入された場合には役に立たない。
悪意を持った人が社内に侵入して自分のパソコンをネットワークに接続すると,サーバーにある重要な情報を不正に盗み出されてしまう。ネットワーク上でのやりとりが,いつの間にか盗聴されている危険もある。
問題となるのは社内への侵入だけではない。社員が無自覚のままに,ウイルスやワームに感染したパソコンを持ち込んでしまうこともありうる。
例えば,会社で使っているパソコンを持ち出したり,自宅で作業をしたパソコンを,そのまま会社に持ってくることはよくある。こうしたパソコンにウイルスやワームが感染していると,社内のネットワークに接続したときに一気に感染が広がってしまう。
そこで,パソコンの状態を検査してから,ネットワークに接続させようというしくみが検疫ネットワークである。社内ネットワークにアクセスしようとするすべてのパソコンは,まずセキュリティの状態を確認するために用意した特別なネットワーク領域(検査用ネットワーク)に接続させる。検査用ネットワークは社内ネットワークとは切り離されている。
この検査用ネットワークの中で,パソコンの状態が会社の定めたセキュリティ・ポリシーに合っているかどうかをチェックする。例えば「WindowsなどのOSの修正プログラム(パッチ)をきちんと適用しているか」,「セキュリティ対策ソフトを導入しているか」,「検出用のパターン・ファイルは最新版か」,「問題のあるソフトをインストールしていないか」といった内容を確認する。検査に合格したパソコンだけが,接続を切り替えて社内ネットワークを利用できるようになる。
こうしたやり方は,空港などで到着した人や物をチェックする“検疫”と似ている。そのため「検疫ネットワーク」と呼ばれる。
空港や港では,目に見えない病気や害虫が持ち込まれるのを防ぐために,入国者の体調に異常はないか,持ち込み禁止とされている物は含まれていないか,動物なら所定のワクチンを接種済みか──といった点をチェックする(図1)。
ここで問題ありと判断された人は,別室で改めて医師の診断を受けたり,持ち込み禁止の物を没収される(図2)。検疫ネットワークでも,問題ありと判断されたパソコンは,単に接続を拒否するだけでなく,必要に応じてパッチの適用やセキュリティ対策ソフトの更新といった対策を施して“治療”された後に,改めて検査を受けることもある。
検疫ネットワークには厳密な定義はない。そのため,実際に実現する方法はいろいろとある。
例えば,LANスイッチを使って接続先を振り分ける方法や,クライアントにインストールしたパーソナル・ファイアウォールのポリシーで接続先を切り替える方法,DHCPサーバーがパソコンに配布するIPアドレスを変更する方法,ゲートウエイ装置が接続先を振り分ける方法──などだ。
検疫ネットワークを導入すると,「社内ネットワークに接続しているパソコンは,必ず一定の条件を満たしている」ことは保証できるようになる。だが,それは企業ネットワークのセキュリティのあくまでも一部だ。
検疫ネットワークの条件を満たして社内ネットワークに接続したパソコンから,問題となるような操作をされても防ぐことはできない。例えば,サーバーの重要情報や個人情報が漏えいすることを防ぐには,暗号化や文書管理といった別の対策を併用する必要がある。