いずれにせよ、マルチベンダーをサポートできるソリューションが登場してくれば、それに越したことはないはずだ。そのためには、ベンダー側が間口を開く(インタフェースを提供する)ケースもあるだろうし、またソリューション側がベンダーの垣根を越えるということもあるだろう。どちらに向かっていくのか、今後の動向に注目したい。
さて、次は「治療」についてである。
治療については、パッチ適用ツールとの連携やウイルスチェックソフトの定義ファイルの自動適用機能との連携などが実現されている。検査の結果、問題のあるネットワーク機器は強制的に隔離し、最新のパッチやウイルス定義ファイルの適用を行ってしまうというアプローチだ。
ただし、このような本格的な対処、いわゆるフィックス(FIX)だけが治療ではない。中には、いわゆるワークアラウンド(暫定対処)的なアプローチもある。
具体的には、ネットワークのアクセスコントロールを利用した暫定対処が挙げられるだろう。例えば、発見された問題点によっては、「Webアクセスはできるが、社内データベースへのアクセスは制限する」といった具合に制御する方法だ。
「隔離=できることが極端に制限される環境」という図式だけではなく、検査で発見された問題点の種類によっては、もう少し自由度の高い隔離の仕方をしようというものだ。果たしてこれを「治療」と言って良いのかという意見もあるかもしれないが、ユーザーに治療を促すひとつの方法であろう(もちろん、その場合は、どこが問題なのかをユーザーにわかりやすく知らせる機能は必須となる)。
このような、段階性のある隔離を実現するためには、細かいところまで検査の項目を規定し、その結果、どのような動作が行われるのかという、検疫システム側のルール(狭い意味でのポリシー)が柔軟に記述できる必要がある。今後は、このようなルールの記述様式/能力についても、製品の側で工夫がされていくだろうし、また製品選択の上で重要になってくるだろう。
以上述べてきたように、検疫システムは、ただ単に怪しいPCを隔離するというものではなく、ネットワークを安全に保つための運用をネットワークの中に根付かすものである。つまり、セキュリティポリシーを遵守した運用を実現する仕組みといえるだろう。
実は、検疫システムについては、認証システムの延長線上で考えられていたという側面があることを忘れてはいけない。
認証の基本は、用いられるのが「パスワード」であっても「指紋」や「虹彩」といったバイオメトリクスを利用したものであっても、アクセスした人が本当にその人であるのかということを判断する、いわゆる「本人認証」を実現するためのものだ。
「本人認証」は、社内システムの安全を保持するためには必要不可欠で重要なステップではあるが、これは、「アクセスした人が本当に本人である」ということを証明するだけである。「アクセスしてきた機器が危険なものかどうか」といった判断は、考慮に入っていない。
そこで、本人であるかどうかという判断要素の上に、さらに「安全であるか」という判断要素を付け加えた認証システムはできないか――という考え方が、以前から検討が進められていた。これが、もともとの検疫システムに至った流れのひとつだ。
このように、認証システムに「安全であるかを判断し認識する手段を認証システムに取り入れる」というアプローチは、最終的には、認証が行われているのか検疫が行われているのかわからないくらいにシームレスに連携したシステムへとつながっていくだろう。
この結果、認証やユーザー管理も含め、いわゆるアイデンティティ・マネジメント(IDマネージメント)と検疫システムがシームレスに連携することになると見込まれる。そこで実現されるものは、「ITコンプライアンス」と呼ばれるものになるだろう。
今後は、セキュリティポリシーや法令といったある基準にしたがってネットワークが適正に運用されているということを証明するエビデンス(証拠)として、検疫システムを含めたネットワークのアクセスコントロールの仕組みがいっそう必要とされるだろう。
郷間佳市郎
Copyright © ITmedia, Inc. All Rights Reserved.