期待高まる「検疫ソリューション」、実導入はこれから：Security Solution 2004

「Security Solution 2004」展示会場では、検疫ネットワークを実現する製品やサービスがいくつか紹介された。

[高橋睦美，ITmedia]

　昨年のBlasterワームの蔓延をきっかけに、個々のマシンに確実にセキュリティパッチを適用し、ウイルス対策ソフトの定義ファイルなどを更新し続けていくことの重要性が見直されるようになった。しかし、運用をユーザー任せにしていては作業ミスや更新漏れは避けられず、そこからワームなどの侵入を受ける恐れがある。

　そこで浮上してきたのが、ネットワークへの接続時に端末の環境を検査し、必要なパッチなどが適用されていない限りアクセスを許可させないようにする検疫ネットワーク（検疫システム）だ。中には、不適切と判断された端末を「治療エリア」に接続させ、パッチを強制的に適用させる仕組みを備えたものもある。

　一口に検疫ネットワークといっても、DHCPサーバを用いるもの、認証スイッチなどネットワーク機器の機能を用いるもの、パーソナルファイアウォールを利用するものなどいくつかの方式がある。国内でもネットマークスとラック、トップレイヤーとクオリティのように、いくつかの企業が提供を開始した。

　10月20日から行われている「Security Solution 2004」展示会場では、認証の強化や暗号化、端末操作の監視／記録などを通じて情報漏洩対策を図る製品が目立ったが、同時に検疫ネットワークを実現するための製品もいくつか紹介された。

本題とは関係がないが、出展社の中には個人情報保護法を意識し、名刺の取り扱いについてこのような文書を用意したところもあった

MSの「NAP」との連携はこれから

　シスコシステムズは「自己防衛型ネットワーク」を掲げ、「Network Admission Control（NAC）」の名称で検疫ネットワークに取り組んでいる。すでにトレンドマイクロ、シマンテック、マカフィーといったウイルス対策ソフトベンダーと連携し、ウイルス感染の有無や定義ファイルの更新状況などを水際でチェックし、不適切な端末のアクセスをブロックする仕組みを展開中だ。

シスコブースでは、NACパートナーの1社であるトレンドマイクロとのデモも紹介されていた

　米Ciscoはこの展示会の直前に、IBMおよびMicrosoftと協力することを明らかにした。

　特に、Microsoftとの協力は大きな意味を持ちそうだ。これまで並立していた、シスコのNACと、Microsoftの検疫システム構想「Network Access Protection（NAP）」という異なる2つの仕組みが歩み寄ることで、「ユーザーの選択肢が広がる」と同社は説明している。

　「先日の発表はトップレベルでの合意であり、現場でどこまでやるのかは未定だ。しかし今後、フィールドでの協力を進めていき、来年には具体的な形を出すことができるのではないか」（同社ブース）。

サービスとして「検疫」を実現

　日本テレコムは、先日リリースしたばかりの検疫ネットワークサービス「SecureLANs」を紹介した。既存ネットワークに、ソリトンシステムズのネットワークアクセス制御アプライアンス「Net'Attest」を追加することで、端末の認証とPCの状態の検疫、アクセス制御といった機能を提供する。

日本テレコムの「SecureLANs」では、認証とWindows Update、ウイルス対策ソフトのアップデート状況をチェックしてアクセスの可否を制御できる（デモ用の画面）

　「（検疫システムを独自に導入するとなると）本社側では運用できたとしても、支社や営業所となると運用管理は困難。SecureLANsの場合、ネットワークにアクセス管理機器を接続すればOKで、認証システムや検疫システムなどはすべて日本テレコムのデータセンターでホスティングされるため、導入や運用が容易だ」と同社は説明している。

　検疫の機能だけでなく、認証とアクセス制御、不適切と判断された端末の「治療」という4つの機能をまとめて提供できることも特徴だという。同社は今後もサービスを拡張し、情報漏洩管理や情報資産管理といったメニューを追加していく計画だ。

　ほかにも、たとえばNECソフトは、NECのレイヤ3スイッチに資産管理／パッチ管理システム「CapsSuite」を組み合わせて実現する検疫システムを紹介していた。

　またエンテラシス・ネットワークスも、同社のレイヤ3スイッチ「Matrix N／Eシリーズ」を用いた検疫の仕組みを紹介している。スイッチがもともと備えていたきめ細かいアクセス制御機能に、Zone Labs（現Check Point）やSygateのパーソナルファイアウォールを組み合わせ、検疫の仕組みを実現するものだ。「後付けではなく、はじめからセキュアなネットワークを志向しているからできること」と同社は説明している。

エンテラシスブースではMatrixシリーズを用いた「Secure Network」構想が紹介された

　このように豊富に出揃ってきた検疫ネットワーク製品／サービスだが、実導入例となるとまだ少ない。「今商談が進んでいるところ」とするベンダーがほとんどだった。検疫ネットワークの真価が問われるのはこれからのことになりそうだ。

　特に、現実にこの手の仕組みを運用するとなると、必ずしも最新のパッチを強制的に適用させることがベストとは限らなくなってくる。というのも、パッチの副作用という問題が生じるからだ。この点を踏まえ、たとえばSecureLANsを提供する日本テレコムも、「最新のパッチを即座に配布するのではなく、顧客と相談の上で適用するかどうかを決定していく」としている。