日本ヒューレット・パッカード(日本HP)は8月30日,不正なクライアントPCを企業ネットワークから締め出す検疫ネットワーク製品「HP Quarantine System」(Quarantineは検疫の意)を10月に出荷開始すると発表した。同製品の特徴は,DHCPの仕組みを利用して検疫ネットワークを実現するので,導入しやすいこと。現在販売されている検疫ネットワーク製品は,LANスイッチの入れ替えが必要になるものが多く,導入の敷居が高かった。
HP Quarantine Systemは,以下のような仕組みで検疫ネットワークを実現する。まず社内ネットワークの各セグメントに「Qu Controller」と呼ぶDHCPサーバーを配置する。セキュリティ対策状況をチェックするエージェント・ソフト「Qu Agent」をインストールしたPCが社内ネットワークに接続すると,Qu ControllerにIPアドレスを要求する。クライアントPCのセキュリティ対策状況は「Qu Manager」と呼ぶサーバーで一元管理しており,Qu Controllerは接続してきたPCが対策済みかどうかをQu Managerに問い合わせる。対策済みの場合は正規ネットワークのIPアドレスを,未対策の場合は検疫ネットワークのIPアドレスを,それぞれ払い出す。
ただ,これだけでは未対策PCが社内ネットワークと通信できてしまう。そのため,未対策PCに割り当てるデフォルト・ゲートウエイをQu Controllerに設定する。検疫ネットワーク以外への通信は必ずQu Controller経由にし,パッチなどをダウンロードするサーバー以外への通信は,Qu Controllerでフィルタリングする。
検疫ネットワークに誘導されたPCには,セキュリティ対策を実施する。HP Quarantine Systemでは対策の仕組みは提供しないので,既に導入している仕組みをそのまま利用できる。対策の仕組みがない場合はMicrosoft Software Update Services(SUS)などを利用して別途構築する必要がある。対策が完了した場合はQu AgentからQu Managerに対策情報が登録され,再起動すれば正規ネットワークに接続できるようになる(DHCPサーバーのIPアドレスのリース期間を短めに設定すれば,再起動を不要にすることも可能)。
DHCPサーバーを利用する場合,正規のIPアドレスをユーザーが勝手に利用してしまう恐れがある。そのため,社内ネットワークに接続可能なPCのMACアドレスをQu Controllerに事前に登録しておく。登録されていないMACアドレスを持ったPCが接続してきた場合は,Qu Controllerが通信を妨害する。具体的には,不正PCの通信開始時に送信されるARPリクエストを検知すると,Qu Controllerがその不正PCになりすましてARPリクエストを発行する。この結果,通信相手のARPテーブルに登録されていた不正PCのMACアドレスがQu ControllerのMACアドレスに書き替えられるため,不正PCは事実上通信できなくなる。
同製品が対象とするクライアントOSはWindows 98以降。検査対象は,OSのパッチ,アンチウイルス・ソフトの定義ファイルの更新状況など。価格は,社内LANのセグメント数やクライアント数によるが,Qu Managerが500万円から。認証VLANや認証DHCP,IEEE802.1xを利用してユーザーを認証する方法もオプションで提供する。
