オフィスに持ち込んだノート・パソコンを社内LANに接続すると,まずそのパソコンのウイルス感染状況やOSのパッチ適用状況といったセキュリティ状況をチェック。そのチェックに合格したパソコンだけが社内ネットワークを利用できるようになる――。

 これが今話題のセキュリティ・ソリューション「検疫ネットワーク」である。実は,2月2日から東京ビッグサイトで開催される企業のためのITソリューション展「NET&COM 2005」の主催者企画として「ネットワーク最前線:検疫ネット・ホットステージ」のコーナーを設けることとなり,各社の検疫ネットワーク・システムを調べる機会があった。すると,目的は冒頭に書いたとおり一つなのだが,その目的を達成するまでのアプローチが各社で様々あることが分かった。

 検疫ネットワークは,実に複雑なシステムである。様々な機能が連携し合って目的を達成する。導入に際しても,いろいろな視点から検討する必要が出てくる。そこで今回は,検疫ネットワークの仕組みから一つのポイント――パソコンのセキュリティをチェックする手法――を取り上げ,導入のポイントを探っていきたい。

多くはセキュリティ・チェックにウイルス対策ソフトを使う

 検疫ネットワークではまず,パソコンのセキュリティ状況をチェックする。社内ネットワークに接続していいパソコンかどうかを判断するためだ。このチェック・ポイントは主に三つある。それは,(1)ウイルスの感染状況,(2)ウイルス対策ソフトのパターン・ファイルの更新状況,(3)OSのパッチ適用状況――である。

 (1)と(2)をチェックするには,各パソコンにウイルス対策ソフトを入れて実施するのが最も一般的な手法である。ただし,個人向けのウイルス対策ソフトでは機能的に不十分だ。なぜなら,各パソコンのウイルス対策ソフトがウイルスに感染していないと判断しても,例えばパターン・ファイルが古いまま更新されていなければ,最新のウイルスに感染している可能性を完全に否定できないからだ。

 現在使っているパターン・ファイルが最新のものかどうかは,例えばウイルス対策ソフト・ベンダーのアップデート・サービスを利用しなければ確認できない。そこで,検疫ネットワークでは,検疫サーバーと呼ばれるサーバーを用意し,各パソコンにインストールされているウイルス対策ソフトの状況を一元管理し,最新のパターン・ファイルでチェックした結果,ウイルスに感染していないと判断したパソコンに対して社内ネットへのアクセスを許可するのである。

現状,どんなウイルス対策ソフトを使っているか?

 企業向けのウイルス対策ソフトにはこうした一元管理の仕組みを持つものがあり,多くのベンダーが検疫ネットワーク・システムに採用している。一元管理する仕組みを持たないウイルス対策ソフトを検疫ネットに使うシステムもある。その場合は,ウイルス対策ソフトと検疫サーバーを仲介する連携ソフトをクライアント側に仕込んでおくケースが多い。

 つまり,検疫ネットワークの導入を検討する場合はまず,社内でウイルス対策ソフトをどのように運用しているのかをチェックする必要がある。検疫ネットワークを導入するために現在運用しているウイルス対策ソフトを全面的に入れ替えるのは,コスト的に見ても作業的に見ても大変な負荷がかかる。ただし,ウイルス対策ソフトの種類によって選択できる検疫ネット・ソリューションが制限される可能性が高い。ウイルス対策ソフトを入れ替えるかどうかは,じっくり検討したうえで決めるべきだろう。

 ウイルス対策ソフトの入れ替えを決めた企業や,まだ全社的にウイルス対策ソフトの導入が進んでいない企業なら,検疫ネットワーク専用のクライアント・ソフトでウイルス対策をするシステムも有力な選択肢になる。

OSのパッチにはきめ細かいチェックも必要に

 次に(3)のOSのパッチ状況のチェックについて見ていこう。Windowsパソコンならネットワーク接続時に自動アップデートを実行してパッチの適用状況を調べられるので,特別な仕組みは要らないと考えるかもしれないが,必ずしもそうとは言い切れない。

 例えば,社内で共通に利用しているアプリケーション・ソフトが,パッチを適用することで動かなくなる可能性はゼロではない。Windows XPのServicePack 2のように大幅な機能拡張があった場合など,今まで使っていたソフトが動かなくなるケースが出やすくなる。マイクロソフトのWebページに新しいパッチがアップされたら,まず,そのパッチを当てることで発生する影響を確認する必要が出てくる。

 そこで,検疫ネットワークを提供するベンダーの中には,個々のパッチに対して,適用するとどういった影響が出るのかといった情報をユーザーに提供する付加サービスを用意するところもある。当てても問題ないと判断したパッチがきちんと当てられているかをチェックし,当てていないパソコンには適用を指示する。一方,問題が発生するパッチについては適用していなくてもセキュリティ・チェックの対象にはしない。

 パソコンが満たすべきセキュリティ条件は日々刻々と変化する。検疫ネットワークは一同導入したらそれでおしまいというシステムではないのである。