Windows Server 2003 SP1で作る検疫システム、その利点と課題

Windows Server 2003 SP1とISA Serverを組み合わせれば追加コストなしで検疫システムを実現できる――マイクロソフトはそう主張する。

[高橋睦美，ITmedia]

　マイクロソフトは2月3日、Windows Server 2003とInternet Security＆Acceleration Server 2004（ISA Server）を用いた検疫システムに関する説明会を開催した。

　2003年夏に登場したBlasterワームは、パッチが当てられていないリモートアクセスPCや社員が持ち込むノートPCを通じて社内ネットワークに入り込み、大きな被害を与えた。その教訓を踏まえ、ウイルスやワームの蔓延から企業を守る手段として注目されているのが検疫システム／ネットワークだ。

　そして現在、市場には数多くの検疫システムが投入されている。企業ネットワークにアクセスしてくるPCのセキュリティパッチ適用状況やウイルス対策ソフトの更新状況などを検査し、企業が求める基準（ポリシー）を満たさない限り接続を許可しないというコンセプトは同様だが、ネットワーク機器と連携して認証VLANを活用するもの、DHCPサーバを組み合わせるものなど、それを実現する仕組みはさまざまだ。

　こうした仕組みを用いて脆弱なPCを水際で食い止め、企業システム内でウイルスが蔓延するリスクを抑えることができれば、セキュリティ上有用なことは間違いない。しかし、検疫システム導入に当たって大きなハードルがある。既存のネットワークに手を加えたり、追加投資を行う必要がある点だ。

　マイクロソフトでITインフラストラクチャ製品グループ シニアプロダクトマネージャを務める斉藤義憲氏は、Windows Server 2003ベースの検疫システムならばそもそもそういった問題は発生しない、と述べた。「わざわざお金を出して検疫システム専用の製品を買わなくとも、Windows Server 2003を用いてリモートアクセス時の検疫を実現できる」（同氏）。

専用製品は不要

　マイクロソフトのリモートアクセス検疫システムは、2004年6月にリリースされたWindows Server 2003 Resource Kitに含まれるコンポーネントを用いて実現できる。ただ、実装に当たっては多少の手間がかかり、サポートも得られないのが実情だ。

　しかし、現在RC1がリリースされているWindows Server 2003 Service Pack 1では、「リモートネットワークアクセス検疫制御」という形で検疫機能が組み込まれ、「プログラムの追加と削除」、つまり標準のインタフェースから実装、設定を行えるようになるという。

　この検疫サービスを利用するには、あらかじめクライアントに、検疫の詳細を記したVBScriptを組み込んだ「接続マネージャ」を配布しておく。VPNアクセス時には、このスクリプトに記された内容にしたがって状態を検査し、その結果をISA Server側に渡してアクセスの可否を決める仕組みだ。

「パスポートを確認する（＝認証）だけでなく、爆弾など危険物を持っていないかどうかもチェックできるのが検疫サービス」と説明した斉藤氏

　スクリプト記述によっては、Windows Firewallの状態を検査項目に加えたり、単なる検査だけでなく条件を満たさない場合に強制アップデートをかけたり、あるいはMBSAなどのツールを用いて脆弱性のチェックを行ったりと、さまざまな作り込みが可能だ。マイクロソフトではスクリプト作成を支援する情報をTechNetスクリプトセンターを通じて提供していく。

ISA Serverの設定画面。検疫機能自体はWindows Server 2003に実装されるが、ISA Serverを用いてファイアウォールおよびDMZの設定を行う

　マイクロソフトでは既に、Windows Server 2003とISA Serverを組み合わせたリモートアクセス検疫システムを稼働させ、社員のリモートアクセスに利用している。また国内でもいくつかの企業がこの検疫システムの検証を開始しており、Windows Server 2003 SP1のリリースとともに導入を計画している顧客もあるという。

　同社では、さらに多くの企業にこの検疫機能を検証してもらうべく、各サーバの評価版とWindows Server 2003 SP1、それにサンプルスクリプトを同梱した「ネットワークアクセス検疫評価キット」を、3月中旬に開催される「Security Summit 2005」で配布する予定だ。

いくつかの課題も

　ただ、マイクロソフトの検疫システムにはいくつか課題もある。

　まず、現時点ではリモートアクセス時の検疫のみに限られており、LANに持ち込まれるPCやLAN内のPCについては検査、制御が行えないことだ。同社はこの課題を、Longhornとともに開発を進めている「Network Access Protection（NAP：ネットワークアクセス保護）」で解決する方針だ。

検疫サービスでチェックを行っているところ。接続環境や頻度によって、検査に2〜3分要することもあるという

　実運用に入れば、接続を試みてから検疫が完了するまで2〜3分の時間がかかることもネックになってくるだろう。もっともこの点について同社は、「検疫を要するのは、ネットワークの奥までアクセスする場合で、そうしたケースはそれほど頻繁には起こらないだろう。アクセスする範囲や利用するアプリケーションに応じて、検疫の不要なポータルサーバやOWA（Outlook Web Access）と使い分ければいい」と説明している。

　そして何より大きな課題は、検疫対象のプラットフォームが同社製品に限られるだけでなく、Windows XPという最新のOSのみとなることだ。Windows 98をはじめとする「古い」OSは、検疫処理に用いるスクリプトが動作しない以上、対象外になるという。確かに斉藤氏が説明するとおり、Windows Server 2003 SP1で標準で実現できるという点で初期投資が抑えられるというメリットはあるが、環境によっては選択至が狭められる可能性もあるだろう。