ウイルスやワームに感染したノートPCが原因で,社内システムが大きな被害を受ける。このようなノートPCから,社内システムを守るにはどうすればよいのか――。今回の記者の眼では,この問題について考えてみたいと思う。

Blasterが残した教訓

 ご存じの通り,今年の夏「Blaster」ワームと「Welchi」ワームが,多くの企業の社内システムに大きな被害をもたらした。

 情報処理振興事業協会セキュリティセンター(IPA/ISEC)が行ったアンケート調査によると,これらのワームに感染した企業のうち,社外から持ち込んだPCが原因だったとする企業が全体の25%を占めた(発表資料[PDF])。Blasterはお盆休み直前に出現したため,多くのセキュリティ関係者が「社内から持ち出したノートPCが外で感染し,休み明けに社内システムを麻痺(まひ)させる危険性がある」と警鐘を鳴らしていた。その甲斐なく,予想通りの事態を招いてしまったのだ。

 たとえ,ウイルスの最新パターン・ファイル,およびWindowsの最新パッチを自動適用するツールを社内に導入していたとしても,持ち出される機会の多いノートPCは,その管理の外に置かれたまま運用されるかもしれない。特に,通常は電源を入れず,たまに使用するようなノートPCは危ないのだ。

エンド・ユーザーは信用できない?

 これを防ぐ一般的な対策は,セキュリティ・ポリシーでノートPCの運用方法を規定することだろう。「社内システム接続前に必ずウイルス・スキャンを」「接続するなら最新パッチを適用してから」「個人所有のPCを持ち込むな」などのルールを社員に順守させる。Blaster被害の後,社内でこうした“お達し”が出たユーザーも多いことだろう。

 もちろん,ポリシー策定は大切なセキュリティ対策の一つである。しかし,すべての社員がポリシーを守る(守れる)とは限らない。Windows Updateの方法やパターン/ファイル更新の方法が分からないなど,知識不足が原因でポリシーを守れない社員,「大丈夫だろう」と軽い気持ちでポリシーを破る社員がいてもおかしくはない。

 最近は,感染能力の高いウイルスが次々と生み出されている。100人の社員のうち,1人がポリシーを守らなかっただけでも,社内システムが混乱する恐れがある。他のPCに感染しなくても,“一匹”のウイルスがネットワークの帯域を大幅に消費し,業務が事実上ストップしてしまうことさえ考えられる。

発想は空港の「検疫所」

 そこで「検疫所」の発想が出てくる。これは,社内システムにおいて,空港の「検疫所」と同じ役割を果たすものだ。ノートPCを社内システムに接続する前に,ウイルスやワームに感染していないかをチェックする場所である。検疫所でノートPCをチェックし,問題のないノートPCだけを社内システムに接続するようにすれば,汚染されたノートPCが持ち込まれた場合でも,社内システムへの被害を最小限に抑えることができる。

 では,このような検疫所を作るためのツールは存在するのか。筆者の知る限り,「検疫所作成」をうたった市販ツールは今のところない。いくつかのセキュリティ・ベンダーやネットワーク・ベンダーにも問い合わせたが,該当するツールは見つからなかった。いくつかのツールを組み合わせて作成する必要がある。

 「検疫官」となるツールとしては,ウイルス対策ソフトやパッチの自動適用ツールなどがある。検疫所にノートPCを接続した際,この検疫官がノートPCを検査・修復する。例えば,検疫所にノートPCを接続すると,Windows Updateのようなサイトに強制的にアクセスさせられる。このサイトからActiveXコントロールなどをダウンロードし,ウイルス・スキャンやパッチ適用状況などをチェックする。

 最近では,ノートPCのウイルス・スキャン/パッチ適用状況を確認して,ある基準を満たしていないと接続を許さないVPNサーバーが販売されている。未対策のノートPCが,リモート・アクセス経由で社内システムに被害を及ぼすのを防ぐための製品だ。こういったツールも検疫官として利用できる。

DHCPサーバー利用が最適解

 当然,検疫所は社内システムと切り離して運用しなければならない。問題は,この検疫所(検疫専用のネットワーク)を,どのようにして構築するかである。

 「新たなケーブルを敷設して物理的に分ける」「スイッチが備えているVLAN機構を使う」などいくつかの方法が考えられるが,現在のところ最も手軽で実現可能性が高いのは,DHCPサーバーを利用する方法だろう。具体的には,DHCPサーバーがPCに対して,検疫ネット用の仮IPアドレスと社内システム用の正規IPアドレスの2種類を割り当てる。これによって,論理的に切り離された検疫用ネットワークを作り上げる。

 システムの挙動はこうだ。まず,ネットワークに接続されたPCは,最初に検疫サーバー(検疫官)にだけアクセスできる仮のIPアドレスと仮のDNSサーバー・アドレスを,DHCPサーバーから取得する。その後,PC上でブラウザを起動する(可能なら仮IPアドレスを取得すると同時にブラウザを自動起動する仕組みを作る)。仮のDNSサーバーは,どのURLにアクセスしても,必ず検疫サーバーを閲覧するように設定されており,ブラウザの起動とともにノートPCは強制的に検疫サーバーにつながる。そして,PCが検疫にパスすれば,DHCPサーバーが社内システムにアクセスできる正規のIPアドレスを発行する。

動作検証を始めたベンダーも

 すでに,このような検疫システムを構築し,動作を検証しているベンダーもある。NECソフトがそうだ。同社によると,年内に検疫システムを自社内に導入し,効果を確認してから,一つのウイルス対策ソリューションとして顧客に提供していく予定だという。

 NECソフトの場合,DHCPサーバーには米ShadowSupport社の「Shadow IP Server」という製品を使用している。このDHCPサーバーはPCのMACアドレスをチェックし,自身に登録しているMACアドレスを持つPCと,そうでないPCに対して,異なるセグメントのIPアドレスを発行できる。

 NECソフトの検疫システムでは,一定期間アクセスのないPCのMACアドレスをDHCPサーバーのリストから削除し,登録MACアドレスのPCには正規のIPアドレス,未登録のPCには仮IPアドレスを割り当てる(リストからMACアドレスを削除するモジュールは自作)。これにより,社外から持ち込んだノートPCや,たまにしか起動しないPCは,検疫ネットにアクセスするようになる。

課題はあるが効果も高い

 この検疫システムは,作り込みが必要なほかにも,課題がある。大きいのは,IPアドレスを静的に割り当てているノートPCをどのように扱うかである。固定IPのPCが社内システムに接続されると,DHCPサーバーが仮のIPアドレスを発行できず,検疫システムがきちんと動かない。

 また,検疫システムを構築したとしても,ウイルスの侵入を100%防げるわけではない。パターン・ファイルが完成する前,および未公開のセキュリティ・ホールを突くワームが出現した場合などは,いくら検疫しても,ウイルス/ワームの存在を見逃してしまう可能性が高い。検疫システムの有無にかかわらず,被害発生時に,障害を素早く検知し,それを隔離・修復するための体制は採っておかなくてはならない。

 ただ,Blasterが引き起こした被害の大きさを考えると,このような課題を差し引いても,検疫システムを構築するメリットは大きいと筆者は考える。構築方法や構築ツールがまだ固まっていない時期だからこそ,今後,検疫システムについて活発に議論されるのではないだろうか。

 読者のみなさんも,ウイルス/ワーム対策の一つの策として,検疫システムの企画・構築を考えてみてはどうだろう。安価に構築でき,容易に運用できるシステムのアイデアがあれば,ぜひ話を聞かせてほしい。

(藤田 憲治=日経インターネットソリューション副編集長)