検疫ネットワークを探る(1/2)

高崎達哉 2005年06月16日 18時34分

  • このエントリーをはてなブックマークに追加

現在、ワームによる被害が広まっている。特に、外部でインターネットに接続した際にワームに感染したPCを、企業ネットワーク内に持ち込むことにより、内部から感染が広まるケースが後を絶たない。このような場合の対策として有効だと言われているのが、「検疫ネットワーク」である。本稿では、検疫ネットワークの仕組みや効果について、2回に分けて解説する。

ワーム対策の種類

 現在、企業ネットワークでは、増加するワームへの対策を行うために、様々な製品を導入している。主なワーム対策製品としては、以下のものがある。

  1. クライアントPCにインストールするもの
    1. アンチウイルスソフト(ウイルス対策ソフト)
    2. パーソナルファイアウォール
    3. パーソナルIPS(Intrusion Prevention System:侵入防止システム)
  2. ネットワーク側に導入するもの
    1. ゲートウェイ型アンチウイルスソフト
    2. ファイアウォール
    3. IPS

 クライアントPCには、アンチウイルスソフトやパーソナルファイアウォール、パーソナルIPSなどがセットになった製品が多く導入されているだろう。そして、企業ネットワーク側には、NetskyやMydoomなどのメール感染型ワームをメールサーバ上で駆除するためのゲートウェイ型ウイルス対策製品を導入している企業が多いはずだ。

 また、セキュリティホールを狙って直接感染を広げるタイプのネットワーク感染型ワームの侵入を防ぐために、ファイアウォールを適切に設定してフィルタリングすることはもちろん、IPSを導入してワームの攻撃を検知し、遮断している企業もあるかもしれない(図1)。

図1 企業は、受信メールに含まれるワームなど、インターネット経由の脅威に対しては対策済みである

Blasterの教訓から出現した検疫ネットワーク

 以上のような対策をし、適切に運用していれば、インターネットから企業ネットワークに侵入してくるワームによる被害はほとんどのものが防げるだろう。しかし、このような対策をしていても、2003年8月に発生した「Blaster」と呼ばれているワームの被害が広まってしまった。

 これは、企業ネットワーク側でこれまで述べたような対策を導入していても、自宅などで使用している、セキュリティ管理の甘いノートPCを、ワームに感染した状態で会社に持ち込み、ネットワークに接続することによって、内部から感染が広まってしまったからである。

 現在は、このBlasterの教訓から、持ち込みPCからの感染に対する対策として、「検疫ネットワーク」製品が各社からリリースされ、一通り出揃ってきたところである。

新規接続PCは検疫ネットワークに隔離してチェック

 検疫ネットワークの目的は2つある。「ワームに感染したPCをネットワークに接続させないこと」と「ワームに感染しそうなPCに対して、ネットワークに接続させる前に対策を徹底させること」である。

 このために、PCを有線LANや無線LAN、リモートアクセスVPNなどで企業ネットワークに接続すると、最初に、通常の業務ネットワークとは論理的に隔離された、検疫ネットワークに接続される(図2)。

図2 業務ネットワークにアクセスさせる前に、まずは検疫専門のネットワークで安全性を調べる

 ここでは、検疫サーバにより、接続PCのアンチウイルスソフトの稼動状況(ウイルス定義ファイルのバージョンが最新かどうかや、リアルタイム保護機能が有効になっているかどうかなど)や、パッチの適用状況が調べられる。

 アンチウイルスソフトが適切に動作していることを確認することで、そのPCがワームに感染していないことを間接的にチェックしているといえる。また、パッチの適用状況をチェックすることで、そのPCが接続された後に、万が一、ワームが企業ネットワークに侵入した場合でも被害が広がらないような対策を徹底することが可能となる。

 もし、チェックがNGとなった場合には、検疫ネットワークにおいて、最新のウイルス定義ファイルをダウンロードしたり、最新のパッチを適用したりすることができるようになっている。

この検疫サーバによるセキュリティチェック方式には大きく以下の2つがある。

  1. 専用エージェント方式
  2. ActiveX方式

 専用エージェント方式では、クライアントPCに、あらかじめ専用のソフトウェアをインストールしておく必要がある。しかし、このエージェントにより、PC接続時に、自動的に検疫サーバとの間でセキュリティチェックを行うことが可能となるため、ユーザの手を煩わせることがないというメリットがある。

 これに対して、ActiveX方式は、ネットワーク接続後に、ユーザがWebブラウザ(Internet Explorer)にて、検疫サーバにアクセスし、セキュリティチェック用のActiveXコントロールをダウンロードすることで、チェックを行うものである。ユーザがWebブラウザを開いて検疫サーバにアクセスする必要はあるが、あらかじめ専用のソフトウェアをインストールする必要がないというメリットがある。

 ユーザにとっては、毎回検疫サーバに接続してチェックを受けるのは面倒くさい作業だろう。しかし、管理者にとっては、すべてのPCにエージェントをインストールするのは非常に手間のかかる作業である。

 導入する規模や、ユーザのスキルなどを考慮しつつ、どちらの方式が自身の環境にあっているのかを見極めて方式を選択することが必要であるだろう。

 次回は、検疫ネットワークと業務ネットワークを隔離する方式の仕組みと、そのメリット・デメリットについて説明する。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化