特集
» 2005年09月01日 00時00分 公開

特集:ホントに使える? 検疫ネットワーク再入門:検疫ネットワークが必要とされるワケ (2/3)

[小山安博,ITmedia]

 検疫ネットワークは、文字通りコンピュータを“検疫”するためのネットワークだ。

 通常の企業内の業務ネットワークのほかに論理的なネットワークを用意し、すべてのパソコンはまずそのネットワークに接続させる。有線LAN、無線LAN、VPNによるリモートアクセスといった、すべての接続が対象となる。

 このネットワークは業務ネットワークやインターネットへは接続できない、“隔離”されたネットワークだ。この段階であれば、たとえウイルスに感染したマシンがあっても、ネットワーク内のマシンやインターネットへ被害が拡大することはない。

 この時点で、「ウイルスに感染していないか」「OSなどのセキュリティパッチが適用されているか」「ウイルス対策ソフトなどのセキュリティソフトが稼働しているか」「パターンファイルは最新のものか」「資産管理ソフトが動いているか」などの項目が検査される。どういった項目を検査するかは、企業のセキュリティポリシーによって決めることができる。

 もしこの検査で問題が発見されると、そのマシンは企業のネットワークには接続できず、セキュリティパッチを強制的にダウンロードして適用させるなどして問題を解消しなければならない。その後再び検査を行いパスすれば、ようやくネットワークに接続できるようになる。

図2 典型的な検疫ネットワークの概念図

 つまり検疫ネットワークは、「ウイルスに感染したマシンを隔離して他に感染を広げないようにすること」と、「セキュリティポリシーに適合しない危険なマシンを安全なものにすること」――この2つを目的としたネットワークだといえるだろう。

検疫ネットワークが注目される理由

 パッチを適用し、ウイルス対策ソフトやパーソナルファイアウォールソフトを導入していれば、基本的に内部からのウイルス感染も防げるはずだ。

 にもかかわらず検疫ネットワークが登場してきた背景には、企業内のクライアントすべてが、適切にパッチを適用し、セキュリティ対策を導入しているかどうか分からない、という実情がある。

 実際、先のBlasterの場合、MS03-026が公表されてからBlasterが登場するまでに1カ月程度の期間があったにもかかわらず、多くのマシンがそれを適用していなかったために感染が拡大した。

 検疫ネットワークが導入されていれば、こうした問題に対処できる。クライアントをいったん検疫サーバに接続させ、検査をした上で治療することで、問題のあるマシンはネットワークに接続できなくなり、「仕事が忙しくて更新するヒマがない」「ウイルススキャンをする余裕がない」などのさまざまな理由で“安全ではない”状態のマシンがネットワークに存在することがなくなるわけだ。

 検疫ネットワークは、方式によってはクライアントにソフトウェアを導入する必要があったり、業務用ネットワークにつなぐ前の検疫に多少の時間を要するといった点が問題視されることもある。しかし、企業のセキュリティポリシーを半ば強制的に実施させ、業務に使用するパソコンのセキュリティレベルを確保できる点は大きなメリットだ。

 また、ネットワークに接続するすべてのクライアントマシンを把握できることから、資産管理ツールと連携させた製品も登場している。セキュリティを目的としたクライアントパソコンの管理に加え、イベントリ収集やライセンス管理などが可能な資産管理ツールを併用するのは自然な流れと言えるだろう。

 資産管理を併用することで、企業の資産として登録されていないのに勝手に持ち込まれるコンピュータの接続を拒否することもできるほか、パッチの適用状況についても、より詳細に把握できるなどのメリットもある。

 このように、セキュリティポリシーを確実に適用するツールとして、資産管理の一環として重要な役割を果たすことができる点で、検疫ネットワークは注目を集めていると言えるだろう。

検疫ネットワークは万能か?

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ