既存ネットワークを活かす、東京エレクトロンの検疫ソリューション：マルチベンダー対応の柔軟なシステム構築を実現（1/2 ページ）

今まで対応しきれなかったクライアントPCのセキュリティ対策をシステム的に実現できると、検疫ネットワークが注目を集めている。しかし、既存ネットワークにそのまま導入できるか、まだ課題は残る。

[ITmedia]

ソリューション選びのポイントは、「マルチベンダー対応」であること

　企業内ネットワークに悪影響を及ぼす可能性があるのは、何もファイアウォールをかいくぐって侵入してくるウイルスやクラッカーばかりではない。ウイルス対策ソフトの定義ファイルを最新版にしていなかったり、セキュリティパッチを適用していないクライアントPCも大きな問題だ。今までクライアントPCのセキュリティ状況を手作業で管理していたシステム管理者にとって、この負担を軽減できる検疫ネットワークは大きな魅力だろう。

　検疫ネットワークは、エンドユーザーの良識に任されがちなクライアントPCのセキュリティ対策をシステム側で管理するシステムだ。企業内ネットワークに接続しようとするクライアントPCに対して、ウイルス対策ソフトの起動の有無や定義ファイルのバージョン、ウイルス感染の有無などをチェックし、ここで「陽性」と判定されると接続を拒否。最新の定義ファイルをインストールするなどの「治療」を施してから、社内ネットワークへの接続を許す。

　しかし、いざ導入となると、検疫ソリューションによってはチェックできるセキュリティ製品が限定されていたり、大がかりなシステム変更が強いられたりするという問題が立ちはだかる。例えば、検疫の対象とできるウイルス対策ソフトが大手ベンダーの一部にしか対応していなければ、そのほかのソフトを採用している企業は当然のことながら導入できない。また、認証スイッチを使って検疫ネットワークを構築するようなものだと、スイッチの置き換えが必要になったり、初期導入コストだけでかなりの額になってしまう可能性があるのだ。

　「企業ネットワークの歴史は、企業としての歴史の長さに比例する。長ければ長いほど、企業ネットワークは多様な製品によって構成されるのが通常だ」と、東京エレクトロンの水本真樹氏（コンピュータ・ネットワーク事業部エンジニア）は指摘する。つまり、「1つの製品ベンダーに依存する検疫ソリューションでは、完全なセキュリティ対策をとるのは難しい」（同氏）ということだ。マルチベンダーに対応できるかどうか。それが、同ソリューションを選ぶ第一のポイントだ。

既存ネットワークの変更なし、ファイアウォールで検疫を実施する

　このマルチベンダー対応を実現しているのが、東京エレクトロンが提案する検疫ソリューションである。NTTデータ先端技術の検疫システム「NOSiDE Inventory Sub System」（NOSiDE）を中心にしたソリューションで、ジュニパーネットワークスのファイアウォール／VPNアプライアンス「NetScreen」やF5ネットワークスのSSL VPNアプライアンス「FirePass」などとの連係が可能だ。検疫の対象にできるウイルス対策ソフトでは、シマンテックやトレンドマイクロ、マカフィーといった主要ベンダーを確実に押さえ、パーソナルファイアウォールについては、Windowsファイアウォールやシマンテック、RealSecureなどの設定を確認できる。

NOSiDE のOSセキュリティパッチの判定

NOSiDE のウイルス対策ソフトの設定状態の判定

ファイアウォールソフトの設定状態の判定

　ちなみに、マルチベンダーとは、こうしたセキュリティ製品に対応することのみを指すのではない。既存ネットワークを構成する機器をそのまま活かすことができるという意味も含まれる。これは同社の「ファイアウォール検疫ネットワーク」というコンセプトが実現する。

　例えば、NetScreenのファイアウォール／VPNアプライアンスを利用した場合、DMZにNOSiDE構成管理サーバを設置して、NetScreen経由でウイルス対策ソフトのチェックやパッチファイルの有無を確認するだけでよい。境界で検疫を行えば、既存ネットワークの構成を変更しなくて済むということだ。

ファイアウォール検疫ネットワークの構成