検疫ネットワークはもともと,ワームが猛威を振るった2003年後半ごろに登場した技術。セキュリティ・パッチを適用していないクライアント・パソコンなどを社内ネットワークに接続させないことでワームの拡大を防ぐ目的があった。最近ではワームによる被害はやや沈静化したが,2005年4月に完全施行された個人情報保護法対策の一環として導入を検討する企業が増えている。
既存環境が生かせないと高価に
検疫ネットワークの構築費は200万円前後から(表)。社内へのリモート・アクセスに限定した検疫ネットであれば100万円前後から導入できる。ただし,検疫ネットワークにはいくつかの実現方式があり,単純には比較できない。主な方式は,(1)パーソナル・ファイアウォール方式,(2)認証DHCP方式,(3)認証スイッチ方式の3種類がある(図)。一般に(1),(2),(3)の順にセキュリティは高くなるが,コストも比例して高くなる。
また既存のネットワーク機器やセキュリティ対策システムをどの程度生かせるかでコストが変動する。検疫ネットワークは,LANスイッチやゲートウエイ,クライアントのウイルス対策機能など,ネットワークを構成するすべての要素を連携させることで実現できる技術だからだ。
例えば,認証スイッチ方式を採用するにはLANスイッチの入れ替えが必要になるケースがほとんどで,100台規模でも数百万円程度かかる。セキュリティ対策に関しても,セキュリティ・ポリシーの策定からウイルス対策,パッチの適用体制までを一から構築するとなるとコストが跳ね上がる。
さらに注意したいのは,認証スイッチやセキュリティ対策体制などを既に構築済みであったとしても,検疫ネットワークにそのまま活用できるとは限らないこと。「インテグレータが提供しているソリューションは独自方式が多いため,既存環境にアドオンすることは困難。そのため,既存環境を生かせるようなソリューションを提供しているインテグレータを選ぶことが,コストを抑えるポイントになる。
エンドユーザーへの対応もコスト要因
検疫ネットワークの構築で,ユーザー企業が見落としがちな点が運用段階でのコスト。セキュリティ・パッチやウイルスの最新情報を常にチェックし,「どこまで対処していれば社内への接続を許すか」というポリシーを定期的に見直す必要がある。この作業はユーザー側の管理者にとっては大きな負荷となる。そのため,ポリシーの更新を支援するサービスを用意するインテグレータが多い。
また,検疫ネットワークを導入すると,エンドユーザーはネットワークに接続できないなど多少なりとも不便を感じることになる。エンドユーザーに対する事前教育やサポート体制も不可欠。導入後はシステム部門に対するエンドユーザーからの問い合わせも多くなるので,ヘルプデスクの構築が必須となる。
