「あまり知られていないようだが,リモート・アクセス時の検疫制御ならWindows Server 2003で実現できる。専用製品を購入する必要はない。現在も無償のリソース・キットを使えば可能だし,SP1では標準のサービスとして実装する」――。マイクロソフト サーバープラットフォームビジネス本部 ITインフラストラクチャ製品グループの齋藤義憲シニアプロダクトマネージャは2月3日,プレス向けの説明会において,Server 2003を使った検疫ネットの有用性について解説した。
2004年6月,同社ではWindows Server 2003を使って検疫ネットを構築するためのリソース・キットを公開している。リソース・キットに含まれるクライアント・ソフト(Windows 2000/XP用)とサーバー・ソフト(Server 2003用)を使えば,「VPNでリモート・アクセスしてきたクライアントPCのセキュリティをチェックして,不備がある場合には社内ネットワークに接続させない」――といった,リモート・アクセス時に限った検疫制御を実現できる。
なお,Server 2003だけでも(リモート・アクセス時に限った)検疫ネットは構築できるが,Server 2003マシンはネットワーク境界に設置することになるので,実際にはセキュリティ・ゲートウエイ製品「Internet Security & Acceleration(ISA)Server 2004」を同時に動かすことになる。
ただし,リソース・キットを使う場合には,各種ソフト(モジュール)のインストールや設定変更の必要があり手間がかかる。そこで,Windows Server 2003 SP1では,検疫制御機能を標準のサービスとして実装する。「コントロール・パネルから簡単に設定できる」(齋藤氏)。2004年12月に公開されたSP1 RC(製品候補)版にも実装されている(関連記事)。
実際マイクロソフトでは「Windows Server 2003+ISA Server 2004」を使って,社内ネットへのリモート・アクセスVPNの検疫制御を実現している。他社の検疫ネット専用製品は利用していないという。
とはいえ,ポリシーなどはスクリプトを使って自分たちで実装することになるので手間はかかる。専用製品のようにはいかないのが実情だ。同社では3月に開催予定の「Security Summit 2005」において,サンプル・スクリプトなどを収めた「ネットワーク アクセス検疫評価キット(仮)」を配布して,Server 2003を使った検疫ネットの有用性をアピールする予定。
同キットには,サンプル・スクリプトのほかに,Windows Server 2003およびISA Server 2004 Enterprise Edition 2004の評価版,Server 2003 SP1などを同梱する。サンプル・スクリプトについては,同社Webでも公開する予定である。
◎参考資料
◆Microsoft Windows Server 2003 ネットワーク アクセス検疫 (Quarantine) 制御
◆Windows Server 2003 Service Pack 1 Release Candidate
◆SECURITY SUMMIT 2005
(勝村 幸博=IT Pro)