セキュリティ対策が不十分なPCを社内ネットワークに接続させないシステムが注目されている。ベンダーによって呼び名が異なるが,ここでは「検疫システム」と呼ぶ。検疫システムで重要なことは,セキュリティに不備があるPCを確実に接続させないことはもちろん,そういったPCのセキュリティを修復させる手段やネットワーク(隔離ネットワーク)を用意しておくことだ。本稿では検疫システムの概要を紹介するとともに,弊社の事例を基に隔離ネットワークの重要性について解説したい。
実現方法はさまざま
2003年末ごろから,検疫システムを構築するための製品が各ベンダーから次々と発表されている。検疫システムは,スイッチなどのネットワーク機器とPCの連携によって実現される場合が多い。検疫システムを実現する方法としては,現時点では以下の方式が用いられている。なお,方式それぞれの名称は一般的なものではなく,筆者が勝手に付けたものだ。
(1)クライアント・ファイアウオール方式
この方式では,クライアントPCにパーソナル・ファイアウオールを導入し,起動時はすべての通信を遮断するようなポリシーを設定しておく。そして,最新のパッチやウイルス定義ファイルがインストールされていること,ウイルス対策ソフトが常駐していることなどが確認されれば,通常の通信を可能にするポリシーに切り替える。この方式なら,クライアントにソフトウエアをインストールするだけで実現できるので,導入が容易でコストも比較的小さい。
(2)ファイアウオール/VPN機器方式
これは,社内ネットワークに設置したファイアウオール/VPN機器を使う方式である。社外からVPN接続する際,その認証時にクライアントのパッチ適用状況などをチェックする。具体的には,VPNのクライアント・ソフトがクライアントPCの状態をファイアウオール/VPN機器に通知し,機器側でチェックする。セキュリティに不備があるPCはVPN接続させないので,VPNを経由したウイルスの侵入などを防げる。既にファイアウオール/VPN機器を導入している場合には容易に構築できるが,チェック対象は,VPN接続するクライアントに限定される。
(3)認証DHCP方式
現在市場に出ている検疫システムの多くが,この方式を採用している。この方式では,DHCPの認証時にクライアントのセキュリティをチェックする。そして,セキュリティ対策が十分なら,通常の社内ネットワークに接続できるIPアドレスを付与する。不十分の場合には,社内ネットワークとは別の隔離ネットワークにしか接続できないIPアドレスを付与する。この方式では,認証DHCPに対応したネットワーク機器やDHCPサーバーを導入する必要があるので,コストがかかる。また,クライアントに専用ソフトをインストールしなければならない場合もある
(4)認証VLAN方式
この方式では,VLANの認証時にクライアントのセキュリティをチェックする。OKであれば,そのユーザーが接続を許可されている通常のVLANに接続させ,NGであれば隔離ネットワークに接続させる。この方式に対応したネットワーク機器や認証サーバーなどを導入する必要があるので,認証DHCP方式と同様に比較的コストがかかる。また,これも認証DHCP方式と同様だが,専用のクライアント・ソフトが必要な場合がある。
現在市場に出ている製品のほとんどが,上記のいずれかの方式を採用している。今後は,これら以外の方法を用いる製品も各ベンダーから提供されるだろう。
いずれの方式が優れているかは,導入するネットワークの規模やかけられるコストなどによって異なる。ただ,どのような製品を導入するにしても,まずは現在保有している機器をすべて洗い出すとともに,すべての機器の状態や使用環境を管理できる体制を作ることが重要である。これらを実施する際には,IT資産管理ソフトなどを利用するとよい。
パッチなどを適用できるネットワークを用意
もう一つ,実際に導入する際には重要なポイントがある。ネットワークに接続できなかったPCのセキュリティを修復する手段を用意しているかどうかである。検疫システムというと,セキュリティに不備があるPCを接続させないことが強調される。もちろん,それが検疫システムの主目的だが,例えばパッチが未適用のために接続できなかったPCが,速やかにパッチを適用できるような環境が必要だ。具体的には,社内ネットワークにはつながっていないが,インターネットには接続している隔離ネットワークなどが必要となる。
弊社の例を紹介しよう。2003年8月に出現した「Blaster」以降,各企業では,社内ネットワークにウイルスを持ち込ませないようなセキュリティ対策を施し始めたことと思う。社内ネットワークに接続しているPCには,最新のパッチやウイルス定義ファイルを強制的に適用させるようなシステムを導入している企業や,セキュリティに不備があるPCはネットワークに接続させない企業は増えている。
弊社でも後者のようなシステムを導入し,ウイルスを持ち込ませない体制を整えた。しかし,ここでひとつ問題が起きた。例えば,新規に購入したPCは,いざネットワークに接続しようとしても,最新のパッチが適用されていないため,接続できない。最新のパッチを適用すれば接続できるようになるものの,パッチを適用するには,インターネットに接続する必要がある。ウイルス定義ファイルについても同様である。現在接続している別のPCでパッチなどをダウンロードして,オフラインで適用する方法もあるが,手間がかかるのでユーザーはやりたがらない。
このため,社内ユーザーからの「インターネットに接続できる,パッチ未適用のPCでも接続可能なネットワークを構築してほしい」という要望が,2003年秋ごろに目立ち始めた。そこで,「セキュリティが万全のPCは社内ネットワークに接続させ,不備があるPCはインターネットに接続可能な隔離ネットワークに接続させる」という,現在の検疫システムを構築した。なお,弊社の検疫システムでは,認証DHCP方式に独自の工夫を加えた方式を採用している。機会があれば紹介しよう。
社内ネットワークのセキュリティ対策として,検疫システムはとても有効である。今後,導入する企業は増えるだろう。ただ,検疫システムを導入する際には,導入のしやすさや導入コストだけではなく,ユーザーの使い勝手も考慮する必要がある。その一つが,「セキュリティに不備があるPCの修復方法」だと考える。単に,セキュリティに不備があるPCを排除するだけのシステムでは,ユーザーから不満の声が多数寄せられることになる。
小杉 聖一 (KOSUGI Seiichi)
NECソフト株式会社 プラットフォームシステム事業部ブロードバンドシステムG
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
