社員が外から持ち込んだノート・パソコンがウイルスに感染していたので,社内ネットにウイスルがまん延してしまった――。昨年の夏休み明け,多くの企業がこうした被害を受けたのは記憶に新しいところだ。最近,こうした「持ち込みパソコン問題」の抜本的な解決を狙ったシステム製品をインテグレータやLANベンダーなどが相次ぎ発表している。
これらのシステムに共通するキーワードは「検疫ネットワーク」。「検疫」とは,伝染病予防のために検査や隔離,消毒を行うことを指す。今回はこの検疫ネットワークとはどんなものなのか見ていくことにしよう。
従来のセキュリティ対策は,社内ネットとインターネットの境界をウイルス・ゲートウエイのような防御装置で固め,ウイルスを侵入させないという方法が中心だった。しかし,この方法では持ち込みパソコンによるウイルス被害は防げない。パソコンが防御装置のチェックを受けないからだ。
検疫ネットワーク・システムの目的は,持ち込みパソコンにも防御の網をかけること。そこで,パソコンを社内ネットにすぐ接続せず,いったん「検疫ネットワーク」と呼ばれる別のネットワークに強制的に接続する。
検疫ネットは社内ネットと隔離されているので,もしそのパソコンがウイルスに感染していても,社内のマシンに被害が及ぶことはない。こうしておいて,そのパソコンがウイルスに感染していないか確認するわけだ。
検疫ネットワークを実現するにはいくつかの方法がある。今回は,認証機能付きのLANスイッチを使う方法を説明しよう。
ユーザーは持ち込んだパソコンを自分のデスクのLANポートにつないで社内ネットを利用しようとする。この使い勝手は変えられない。つまり,物理的には一つのLANポートに接続しながら,検疫ネットワークと社内ネットワークを自動的に切り替える必要がある。
そこで,あらかじめユーザーのLANポート一つひとつを,認証機能付きのLANスイッチに直結しておく。パソコンを接続すると,LANスイッチはパソコンのMACアドレスなどを判別し,未登録のパソコンを強制的に検疫ネットワークへつないでしまう。
検疫ネットワークにつながったパソコンは,ウイルスの感染の有無のほか,セキュリティ・パッチの状況やウイルス対策ソフトの定義ファイルのバージョン,稼働状態などを認証サーバーに送る。これらが社内のセキュリティ・ポリシーに合致すれば接続が許可され,LANスイッチが指示を受け,接続先を社内ネットに切り替える。不合格の場合は,検疫ネットワーク内に置いたサーバーなどを使って,ノート・パソコンをセキュリティ・ポリシーに適合するように更新し,その後に接続を許可する。
こうしたしくみを実現する検疫ネットワークを導入すれば,社員が勝手に持ち込んだノート・パソコンがウイルスに感染していても,社内ネットワークが被害を受ける危険性は激減するだろう。
