検疫ネットワークを実現する仕組み（前編）：特集：ホントに使える？ 検疫ネットワーク再入門（2/2 ページ）

[小山安博，ITmedia]

認証スイッチ方式

　IEEE802.1x認証に対応したスイッチなどを使い、ユーザー認証を行った後に検疫を実施する方式。VLANによってネットワークを区別して、検査に通らなかったマシンを隔離ネットワークに接続させる仕組みだ。

　一般的には認証はRADIUSサーバによって行われ、まずユーザー認証を行わなければならない点が特徴。ユーザー認証をクリアしなければ、ネットワークにアクセスすることはできないため、安全性は高い。ユーザー認証の際、ソリューションによってはWindowsのログオンも同時に行うことができたり、USBトークンを使って認証強度を高めたりといった機能が用意されている場合もある。

　スイッチを使うため、ポート単位でアクセス制御が行われ、クライアント別に別個の制御が可能になる。部門によってサーバへのアクセス許可・遮断を設定するなど、柔軟な対応が可能だ。なお、無線LANスイッチ製品で、IEEE802.1x認証に対応したものも登場してきている。

　ちなみに、IEEE802.1xを使う場合はサプリカントと呼ばれるクライアントソフトが必要だ。Windows XPには標準でサプリカントが搭載されているが、専用クライアントソフトを要しているソリューションが多い。ただし、ActiveXを利用してWebブラウザだけで利用可能にしているサービスもある。

　問題点としては、認証スイッチを導入していない場合、機器をリプレースする必要があることだ。クライアントの数に応じたスイッチも導入しなければならず、コスト面で問題点を指摘されることが多い。

　この方式では、PFUの「PFU検疫ネットワークシステム」、NECの「UNIVERGE PC検疫ソリューション」などがある。

パーソナルファイアウォール／エージェント方式

　クライアント側に導入したファイアウォールソフトを利用するのがこの方式で、あらかじめソフトを導入しておく必要がある。

　パーソナルファイアウォールは、クライアント内外の通信を制御するためのソフトだが、これを利用し、まず企業ネットワークに接続しようとすると、パーソナルファイアウォールが検疫ネットワークへのアクセスしか許可せず、検疫をパスしたら、そこで初めて制限を解除する、というものだ。

　パーソナルファイアウォール方式では、ネットワーク側の変更が全く不要というのが最大のメリットだ。モバイルPCをVPN経由で社内ネットワークに接続させる場合でも、クライアントのパーソナルファイアウォールを使って同様に検査を行うことも可能だ。

　パーソナルファイアウォールの設定は、集中管理によって管理者が一括して配信できるので、社員が直接設定を行うわずらわしさはない。もちろん、パーソナルファイアウォールとして、いざというときはウイルスやワームの通信をブロックする働きも備える。

　すべてのクライアントにソフトを導入する必要があり、これを導入していないマシンからのアクセスに対して弱い点が問題とされる。そのため、一般的には認証VLAN装置やVPN装置などと併用されるソリューションが用意されている。ただ、最近はWebブラウザを利用することでエージェントソフトの導入を不要とした製品も登場してきた。

　NTT東日本の「検疫ソリューション」、マクニカネットワークスの「Sygate Secure Enterprise」といったソリューションがある。