営業員などが出先で使って社内に持ち込むノートPC。そこから社内にウイルスをばらまいてしまうケースが増えている。そこで必要になるのが,疑わしいノートPCを隔離する仕組み。アンチウイルス・ソフトのパターン・ファイルのバージョンなどをチェックし,危ないPCに対してはアクセスできる範囲を動的に制御する。ベンダー各社が製品提供に向け,一斉に動き始めた。
| ||
| ||
|
“疑わしき”を排除し感染の芽を摘む
各社が目指しているのは,ネットワーク自身が“異物”を検知して,排除する“自己防衛”の仕組み。特に,「多くのユーザーが今手を焼いている社外から持ち込まれるノートPCのウイルス対策を意識している」(日本ネットワークアソシエイツの技術本部長である加藤 義宏氏)。
ノートPCは,常にネットワークにつながっているわけではないため,パターン・ファイルが最新かどうか疑わしい。加えて,自宅や無線LANアクセス・サービスなど,社内LANに比べてセキュリティが弱いネットワーク環境で使う機会があり,ウイルス感染のリスクも高い。不用意にLANに接続させると,「社内にウイルスをまん延させかねない」(ソニックウォールのシステム エンジニアリング マネージャである寺前 滋人氏)。
実際,MSブラスターをはじめ,最近は持ち込んだノートPCから社内にウイルスが侵入し,被害に遭う企業が目立っている。
シスコ,NAIなど大手ベンダーが対策
米シスコ・システムズは11月,「ネットワーク・アドミッション・コントロール」(NAC)というアクセス制御技術を,同社製品に実装する計画を明らかにした(表1[拡大表示])。2004年半ばにも,ルーター製品に実装し,順次LANスイッチや無線LANのアクセス・ポイントにも搭載していく。
NACは,PCのパターン・ファイル適用状況などをチェックし,最新のパターン・ファイルが適用されていないPCを隔離する技術。持ち込んだPCと同一LANセグメント上にあるPCの防御は難しいが,被害はそのセグメントだけで食い止められる(図1[拡大表示])。
米ネットワーク・アソシエイツ(NAI)も11月,「McAfee Trusted Connection」(MTC)と呼ぶ戦略を打ち出した。複数のネットワーク機器ベンダーと共同でソリューションを提供する。すでに,イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズ,カナダのノーテル・ネットワークスが対応製品を提供中。シスコもMTC戦略のパートナの1社である。シスコにとっては,NAIはNACプログラムのパートナの位置付けだ。
国内では,ソニックウォールが11月,「ネットワークアンチウイルス」機能を搭載したファイアウォール製品を発売した。米国では2000年から提供している。国内ではサポート体制が整わず提供を見合わせていたが,日本ネットワークアソシエイツによるユーザー支援の協力体制を整え,販売を始めた。
マクニカも12月,米サイゲート・テクノロジーズの「Sygate Secure Enterprise」(SSE)を発売した。パーソナル・ファイアウォールとアクセス制御用のゲートウエイ・ソフトからなるアクセス制御ツールである。
リモート接続向けだけでは不十分
これまで,ノキアのSSL-VPN装置「Secure Access System」,チェック・ポイントの「FireWall-1/VPN-1」,ノーテルのVPN装置「Contivity」など,インターネットVPNを介して社内にリモート・アクセスするPCのウイルス対策をチェックする製品はあった。
しかし,今問題になっているのは,社外から持ち込んで社内につなぐノートPC。「対策としては,リモート接続されるPC向けだけでは不十分だ」(NAIの加藤技術本部長)。
このためシスコやNAIは,VPN装置と同時に,LAN機器への対応を進めている(図2[拡大表示])。ソニックウォールの複数セグメント対応機種「SonicWALL TZ170」や,アクセス制御専用ゲートウエイを設置するサイゲートのSSEも,物理的に分かれたLANセグメント間のアクセス制御を実現できる。
ネットがアクセス権限を動的に変更
仕組みはどのベンダーの手法もほぼ同じだ。
まず,ファイアウォールやルーター,LANスイッチなどのネットワーク機器が,社内システムへの接続要求を送ってきたPCが安全かどうかをチェックする。通信要求をいったん保留し,そのPCに対して,アンチウイルス・ソフトの有無やパターン・ファイルのバージョンなどの情報を要求する。
ノートPCには,ネットワーク機器からの問い合わせを受けてセキュリティ情報を返すエージェント・ソフトをあらかじめ搭載しておく。このエージェントが,アンチウイルス・ソフトなどと連携し,パターン・ファイルのバージョンなどの情報を収集。ネットワーク機器に応答を返す。
ネットワーク機器側は,この応答をポリシー・サーバーに転送。パターン・ファイルが最新版かどうかなど,社内のセキュリティ・ポリシーと照合する。ポリシーに合っていない場合は,ポリシー・サーバーがネットワーク機器のアクセス制御リスト(ACL)を動的に書き換え,通信を制限する。PCにアンチウイルス・ソフトやエージェントが搭載されていない場合でも,ネットワーク機器への応答がないことから,通信を制限できる。
VLANによる“検疫セグメント”も
シスコのようにLANスイッチにチェック機能を搭載すると,バーチャルLAN(VLAN)機能を使って,ポリシー・サーバーにしか接続できないような“検疫セグメント”も構築できる。最初のアクセス時は,IEEE802.1xのポート認証機能を使って検疫用のVLANを割り当てる。
その後,安全性を確かめられたら社内ネットワークに接続できるVLANを割り当て,安全でないと見なした場合はパターン・ファイルを管理するサーバーにしか接続できないなど制限付きのVLANを割り当てる。
エージェントをアンチウイルスに合体
ただし,こうしたアクセス制御機能をLAN環境に導入するのはそれほど簡単ではない。問題はPCにエージェントを搭載しなければならない点。リモート接続と違って,LANに接続するPCには特別なクライアント・ソフトは必要ないからだ。
そこで,対策の実効性を上げるため,ベンダー各社は工夫を凝らす。
シスコは,NAC対応エージェント・ソフト「Cisco Trust Agent」のインストールを強いるのは難しいと判断。NAIのほか,米シマンテック,トレンドマイクロに,Trust Agentをライセンス供与し,各社のアンチウイルス製品に組み込んで提供する形態を採用した。企業は,導入済みのシスコ製機器とアンチウイルス・ソフトをバージョンアップするだけでNAC機能を利用できる。
一方NAIは,ポリシー・サーバー「ePolicy Orchestrator」(ePO)の機能強化を進める。ePOは,社内の各PCにエージェント・ソフトを組み込んで,レジストリからOSの種類やバージョン,サービス・パックのレベルなどの情報を収集し,管理する機能がある。次期版では,このエージェントを強化し,パターン・ファイルのバージョンなども取得できるようにする。ePOを導入済みの企業は,ソフトを追加することなく,LANに接続したPCからのアクセスを制限できる。
