コンピュータ・ウイルスやワーム(これら,以下「ウイルス」とする)の被害は後を絶たない。最近では,ノート・パソコンなどによって持ち込まれたウイルスが社内ネットワークにまん延するケースが増えている。ウイルス被害を最小限に抑えるには,“怪しい”パソコンは通常使っているネットワークに接続させない仕組みが有効だ。まずは仮のネットワークに接続させてチェックして,問題がなければ社内ネットワークに接続させるのである。これを実現するのが,今回紹介する「検疫システム」である。

検疫システムとは?

 現在のところ,検疫システムに明確な定義はない。この記事では「ウイルスに感染している可能性があるマシンを通常のネットワークには接続させず,ウイルス対策を実施するための特別なネットワーク(これを『検疫LAN』や『クリーン・ルーム』と呼ぶことがある)に閉じ込めるソリューション(システム)」を検疫システムと呼ぶ。

 検疫LANといっても,物理的には通常のネットワークと同じにする。論理的に別のネットワークにするだけだ。検疫システムでは,接続したマシンの状態に応じて,アクセスできるVLANを切り替える。このため,VLAN振り分けが可能な「認証DHCP」や「認証VLAN」といった技術を利用する必要がある(関連記事)。

 通常,認証DHCPや認証VLANは,ユーザーIDとパスワードでユーザー認証を行い,ユーザーごとに特定のVLANへ振り分ける。VLAN振り分けの判定に「マシンの状態」を加えれば,認証DHCPや認証VLANを使った検疫システムを構築できる。状態が“怪しい”と判定されたマシンは,どのユーザーが使っていても,まずは検疫LANへアクセスさせるのだ。

未対策のマシンを隔離する

 では,どういった状態のマシンを検疫LANに接続させればよいのか。具体的には,以下のようなマシンが挙げられる。

(1)ウイルス対策ソフトがインストールされていないマシン,インストールされていてもウイルス定義ファイルが最新ではないマシン
(2)セキュリティ・パッチを適用していないマシン

 これらのマシンにはウイルスが潜んでいる可能性がある。現時点で感染していない場合でも,いつ感染するか分からない。セキュリティ対策をきちんと施してから,通常のネットワークに接続させる必要がある。

 マシンの状態に応じてのVLAN振り分けは,認証DHCPサーバーや認証VLANスイッチだけでは実現できない。マシンの状態を集中管理できる製品――具体的には,IT資産管理用ソフトウエア――と連携させる必要がある。検疫システムを構築するためには,VLAN振り分けを行える製品と,IT資産管理用ソフトを組み合わせる必要がある。

 VLAN振り分けを実現できる製品としては,「NEC WebSAM VLANaccess」や「アルカテル認証スイッチ」などが挙げられる。これらに限らず,IEEE802.1Xに対応したスイッチならば,VLAN振り分けを実現できる。VLAN振り分けを実現できる製品と,マシンの状態を集中管理できるIT資産管理用ソフトウエアを組み合わせて,検疫システムを構築することになる。

【2月3日お詫びと訂正】当初,上記パラグラフにおいて,「IT資産管理用ソフトウエア」としていくつか具体的な製品名を列挙しましたが,VLAN製品と連携できるかどうかを筆者自身は未検証である製品がいくつか含まれていました。そのため,具体的な製品名については割愛させていただきました。訂正してお詫びさせていただきます。【以上,2月3日お詫びと訂正】

 検疫システムを備えた社内ネットワークにマシンを接続した場合の流れは以下のようになる。まず,マシンにインストールされたIT資産管理製品のクライアント・ソフトが,マシンの状態(パッチやウイルス定義ファイルの適用状況など)をIT資産管理製品のサーバーへ送信する。サーバーでは,各マシンの情報が集中管理されている。

 認証DHCPサーバーや認証VLANスイッチは,クライアント・マシンからIPアドレスの取得要求が来たタイミング,あるいはユーザー認証をするタイミングで,IT資産管理サーバーへマシンの情報を取得する。そして,その情報をもとに,接続要求しているマシンが(1)や(2)に該当するかどうかをチェックする。該当する場合には検疫LANに接続させる。該当しない場合には,そのユーザーが通常利用しているVLANに接続させる。

 接続時以外にもチェックすることは可能である。例えば,通常利用しているVLANに接続した後でも,新たにパッチやウイルス定義ファイルが公開された場合には,それらが未適用のマシンを強制的に検疫LANへ移動させることができる。

 検疫LANに接続させられたマシンは,ウイルス定義ファイルの更新やパッチの適用といったセキュリティ対策を実施しない限り,通常のネットワークに接続することはできない。対策を実施した後,再度認証操作を行う必要がある。

製品選択や過信に注意

 注意しなくてはいけないのは,認証DHCPあるいは認証VLANを実現できる製品,IT資産管理ソフト製品だからといって,そのすべてが検疫システムを構築するのに適しているとは限らないということだ。実装方法の違いなどにより,構築に適している製品と適していない製品がある。そのため、製品を導入する際には,ベンダーやシステム・インテグレータに十分確認する必要がある。

 検疫システムが有効に機能すれば,「ウイルスがまん延したために社内ネットワークが停止して,業務を続けられない」といったことが起きる可能性を低減できる。だが,ゼロにはできない。過信は禁物である。ゲートウエイ型ウイルス対策ソフトなども同時に利用すべきだ。ウイルスの危険性をユーザーに啓蒙することも重要である。過信が禁物なのは検疫システムに限らない。すべてのセキュリティ・システム(製品)で言える。「これを使えば,100%被害を防げる」といったセキュリティ・システムは存在しない。万全を期するには,複数のシステムを使う必要がある。


谷川 智彦 (TANIKAWA Tomohiko)
tanikawaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 静岡支社 ITソフトウェアビジネス部
マネージャー


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。