検疫ネットワークが必要とされるワケ：特集：ホントに使える？ 検疫ネットワーク再入門（3/3 ページ）

[小山安博，ITmedia]

　ただ、検疫ネットワークも万能ではない。隔離ネットワークにつないで検査をするといっても、その時点での最新のウイルス対策製品でのウイルス検査、修正パッチの適用の有無などを調べるものに過ぎないため、いわゆる「ゼロディ・アタック」には対応できない。

　脆弱性は、修正パッチが完成してから公表されるものばかりではなく、修正パッチが完成していない段階で情報が出回り、実証コードまで公開されてしまう場合がある。仮に悪意のある人がそれを使ってウイルスを作成してばらまいた場合、修正パッチの適用が最新の状態になっていて検疫をパスしても、修正パッチの存在しない脆弱性を突いた攻撃には無防備な状態のままだ。

　また、修正パッチが原因となってシステムに不具合が発生する場合もあるため、企業であればそれを適用すべきかどうか検査することが多いだろう。その検査の間は修正パッチは適用されない。つまり、この期間もやはり無防備な状態にあり、この期間を狙われる危険性もある。

　実際、脆弱性が発見されてからウイルスが登場するまでの期間はどんどん短くなっている。2001年に登場したNimdaは336日、2003年のSlammerは185日だったが、Blasterは26日と急激に短くなっており、Sasserは17日、今年8月のZotobワームにいたってはわずかに5日である。

　同様に、ウイルス対策製品の定義ファイルが最新の状態でも、登場したばかりの最新のウイルスには対応できていない場合がある。そうした場合、たとえ最新の定義ファイルでウイルスチェックをしてもウイルスは発見できず、やはり感染を広げてしまう可能性がある。

　大手の価格比較サイトのページにウイルスが混入していた事件では、当初、多くのウイルス対策ソフトがそのウイルスに対応していなかったことも話題になったが、強制的にウイルス対策製品や脆弱性のチェックをしても、確実に防衛できるわけではない、という点が検疫ネットワークの悩ましいところだ。

　ただ、それは検疫ネットワークが不要であるという意味にはならない。そもそも、検疫ネットワークはセキュリティポリシーに沿ってきちんと対策できていないマシンを企業内に接続させないことが目的なのだから、未対応のためにウイルスチェックを素通りしてしまうことは割り切るしかないだろう。

　検疫ネットワークを導入してユーザーを強制的に隔離させていれば防げたはずの被害を防ぐ――それが検疫ネットワークだからだ。

　また、導入にあたってはコストも無視できない要因だ。方式にもよるが、検疫ネットワークの導入にはそれなりの費用がかかる。高価なスイッチを導入したり、クライアントごとに検査ソフトを導入したりと、費用はさまざまだが、初期費用で数百万円、月額で数十万円といったように、新たなコストが必要とされる。

　しかし、対策が出回っている脆弱性を攻撃する既知のウイルスに感染して情報が漏えいした――そんな被害にあったときの復旧費用や業務停止による損害、被害者への補償などのコストを考えると、保険の意味でも検疫ネットワークの導入を検討する価値はあるだろう。