社内ネットワークのセキュリティ向上策として,「検疫ネットワーク」に注目が集まっている。ベンダー各社から様々な製品が提供され,企業・大学での採用も始まった。これを導入すれば,懸案となっていたクライアント・パソコンの管理にかかわる多くの問題を一挙に解決できるのではないか。日経Windowsプロ11月号の特集で「検疫ネットワーク」を扱うことになったとき,抱いた期待は非常に大きかった。

 台数が多い上にハード,ソフトの構成は,まちまち。ユーザーのセキュリティ意識はなかなか向上しない――。そうしたやっかいな事情を抱えるクライアント管理をいかに効率化するかについては,これまで日経Windowsプロでも様々な方法を紹介してきた。

 最も多く扱っているのが,Windowsのパッチの適用やウイルス定義ファイルの更新といった,セキュリティ関連のものだ。最近は「クライアントからの情報漏えいの防止」という新たな問題も出ている。

 しかし,これまでシステム管理者が,「定期的にWindowsアップデートを実施して下さい」「ウイルス定義ファイルは最新版に」といくらユーザーに訴えても,だれかが怠っている可能性があった。普段から注意しているユーザーですら,仕事が忙しくなると後回しにしがちだ。こうした隙を突かれて,ウイルスがLANにまん延してしまった企業も少なくないだろう。とりわけネットワーク感染型ウイルスは,1台のパソコンをネットワークにつなぐだけで感染が広がる。その対策が急務だった。

もうユーザーには頼らない

 こうした背景から,検疫ネットワークが登場した。そもそも検疫とは,伝染病を予防するために検査・診察を行い,感染していたときは隔離・消毒などの措置をとることである。

 検疫ネットワークを導入している環境では,パソコンを物理的にLANに接続したとしても,社内のサーバーやパソコンとは通信できない。まずLANとは隔離した「検疫ネットワーク」に接続され,ここでクライアントの検査を実施する。問題があると,パッチを当てるなどの“治療”も行う。その後,再検査して合格しないと,社内の業務用サーバーやメール・サーバーなどとは通信できない仕組みになっている。

 検査ではパッチやウイルス定義ファイルのバージョンだけでなく,情報漏えい防止ソフトがインストールされ,動作しているかの確認も可能だ。情報漏えい防止ソフトは,機密ファイルのコピーや印刷を制限したり,ハード・ディスクを強制的に暗号化したりする機能を備えている。例えば「サーバーのデータをUSBメモリーにコピーして持ち出される」といったことを防止できる。

 これまでもパッチを強制的に適用するクライアント/サーバー型のソフトはあった。だが,事前にクライアントへ専用のソフトをインストールしておくものが多い。ソフトがインストールされていないパソコンには,当然パッチを強制適用しにくい。このため,個人所有のノート・パソコンなど,パッチの適用漏れが発生しがちで,対策としては不十分だった。

 検疫ネットワークでもクライアント側に検査用のソフトをインストールしておくのが一般的である(一部にActiveXコントロールをダウンロードする方式がある)。社内LANに接続するためには,必ずこのソフトで検査をしなければならない。大抵はLANに接続しないと仕事にはならないため,従来のようにクライアント用のソフトをインストールしない,というユーザーは存在しなくなるはずだ。

 一連の仕組みによって,もうユーザーに頼らなくても,クライアントのセキュリティ対策を徹底できるようになる。システム管理者の悲願が叶うわけだ。

検疫ネットワークの抜け穴に注意

 完璧に見える検疫ネットワークだが,抜け穴があることに注意してほしい。そもそも正規ユーザーのうっかりミスを防止するための仕組みであるため,悪意を持ったユーザーには対抗できない。

 検疫ネットワークには大きく4つの方式があり,各方式の弱点を把握しておくべきだろう。もちろんベンダーもある程度のことは想定して,対策を打っている。例えば,検査に合格していないのにLANに接続しているパソコン見つけ出して,通信を遮断する,といったことが可能だ。

 とはいえ,悪意のあるユーザーは簡単にこの想定を越えてくるだろう。セキュリティ強度が高いとされる方式を採用したベンダーの技術者が,「これをされたら,検査なしでLANに接続されてしまいますね」と話していた。「これ」の方法は,インターネットで簡単に検索できてしまった。

実はユーザー教育にも効果的

 「セキュリティの確保には,ユーザーへの教育が重要である」と長らく言われてきた。強制的にクライアントを検査・隔離する検疫ネットワークにおいてユーザー教育は不要,と見えるかもしれない。だが,セキュリティの最後の防衛線はユーザーの意識向上であり,これはいつの時代も共通である。実は検疫ネットワークを利用すると,効果的な教育もできる。

 検疫ネットワークには,クライアントに未適用のパッチを自動で当てる“治療機能”が含まれているが,同時にパソコンのセキュリティ面での不備をユーザーに通知する仕組みも備えている。

 ネットマークスの検疫ネットワークでは,赤,黄,青の信号を表示したり,京セラコミュニケーションシステムでは,100点満点で点数を表示したりしている。LANに接続するたびに,こうした通知が表示されると,ユーザーは自分のパソコンの問題点を知るようになる。

 検疫ネットワークが普及するためのハードルは,その導入コストにある。LANに1台100万~200万円程度する認証機能付きのスイッチを複数追加したり,クライアントの管理サーバーを導入しなければならない。クライアントに導入する検査ソフトも必要で,ライセンス料が1台当たり1万円程度かかる。

 こうしたコストを考慮しても,LANにウイルスがまん延したときの修復費用や業務が停止したときの損害よりは安くなる,という試算もある。「情報漏えい対策にも効果的」とすると,社内の稟議に通りやすいのではないだろうか。

(坂口 裕一=日経Windowsプロ)