情報漏えいの防止は,情報システム部門にとって最大の課題である。情報漏えい防止策として有効なのが,端末やユーザーに即応して防御機能を発揮できる検疫ネットワーク。これまではサーバー側だけに実装してきたアクセス制限を,LAN側で行う。LAN上に「検疫」と「ネットワーク認証」という二つの関所を設け,社内からの脅威に対して即座に対応できる体制を整える。
個人情報の漏えいを絶対に阻止せよ---。いま,多くの情報システム部門が突き付けられている最大の課題がこれだ。
情報漏えい防止策の第一歩は,サーバーに対する厳密なアクセス制限。しかしこれまでのアクセス制限は,一般にサーバー・システムが担ってきた。ユーザーがサーバーにアクセスする際にIDとパスワードを入力させ,正規ユーザーだけのアクセスを許可するやり方だ。
しかしこうしたサーバー側のアクセス制限だけでは,セキュリティ対策としてはあまりにもお粗末。現在,頻発している情報漏えい事故は,このような前時代的な手法の下で起こっていると言ってもいいほどだ。
これでは,悪意を持った第三者が正規ユーザーになりすましたり,情報漏えいを引き起こすウイルスに感染したノート・パソコンを持ち込まれるといった事故を防ぐのは無理。さらに,社員が業務上必要ないサーバーにまでアクセスできる状況が,内部的な犯行を誘発しているとさえ言える。
そこで有効になるのが,端末やユーザーに即応して防御機能を発揮できる検疫ネットワーク。これまではサーバー側だけに実装してきたアクセス制限を,LAN側で行う仕組みだ。具体的には,システムにたどり着くまでの道のりに,「検疫」と「ネットワーク認証」という二つの関所を設ける。LAN自体のセキュリティ強度を高め,社内からの脅威に対して即座に対応できる体制を整える。
「認証スイッチ」が動的にネットを切り替え
具体的に検疫とネットワーク認証という二つの関所を設けるには,Web認証やIEEE 802.1X認証などの認証機能を持つ「認証スイッチ」を活用する。認証スイッチはLANポートごとに,(1)危険な端末の通信を遮断する,(2)動的なVLANを割り当てる---といった機能を持つLANスイッチ。端末がつながるエッジ・スイッチを置き換えるという形で導入する。端末には,検疫サーバーと連携して端末のセキュリティ状況を検査するエージェントをインストールしておく。
認証スイッチは,バックエンドにある検疫システムや認証システムと連携することで威力を発揮する。これにより,ウイルスに感染した端末のネットワーク接続を阻止したり,ユーザー認証情報によって接続先ネットワークを動的に振り分けたりすることが可能になるわけだ。
社内LANに接続しようとする端末は,まず検疫という関門を通らなければならない。認証スイッチは,LANポートに新たな接続端末を検出すると,即座にユーザー認証を実施。次に接続ポートに対して隔離用のVLAN番号を割り当てて,端末が利用できるシステムを検疫サーバーに限定する(図1)。
 |
| 図1●検疫は業務用ネットワークから切り離して実行 端末はまず,検疫サーバーとだけ通信できるVLANに接続。検疫サーバーは,エージェントが送信してきた端末のセキュリティ情報に基づいて,端末の接続先を治療用VLANか業務用VLANに切り替える。 [画像のクリックで拡大表示] |
このタイミングで,エージェントが端末のセキュリティ情報を検疫サーバーへ送信。検疫サーバーは送られてきた情報を検査する。ウイルス定義ファイルのバージョンが古いなどの問題があった場合は,認証スイッチと連携して接続ポートに治療用のVLAN番号を割り当てる。
ユーザーは,治療サーバーでウイルス定義ファイルなどを更新し,端末のセキュリティを最新の状態にする。治療が完了すると,検疫サーバーは再び接続ポートに隔離用のVLAN番号を割り当て。端末のセキュリティに問題がないことを確認し,ここで初めて接続ポートに社内LANのVLAN番号を割り当てる。
だが,これで社内のサーバーにアクセスできるようになったわけではない。端末は,ネットワーク認証というもう一つの関門をくぐっておかなければならない。
