検疫ネットワークを実現する仕組み（前編）：特集：ホントに使える？ 検疫ネットワーク再入門（1/2 ページ）

一口に「検疫ネットワーク」といっても、それを実現させる仕組みはさまざまだ。今回はその仕組みをより詳細にお伝えしたい。

[小山安博，ITmedia]

　検疫ネットワークとは、社内ネットワークに接続しようとするPCを、まず別の隔離されたネットワークにつなぎ、そこで検疫を行い、ウイルス感染の有無や企業のセキュリティポリシーに適合しているかなどを判断し、社内ネットワークに接続させるかどうかを決定させるための仕組みだ。

　前回のリポートでは、検疫ネットワークが生まれた背景とそのメリットについて述べた。今回は、検疫ネットワークの仕組みについて、より詳細にお伝えしたい。

一口に「検疫ネットワーク」と言っても……

　検疫ネットワークを実現させるためには、「ネットワークにつなごうとしているPCを判別」「そのPCを隔離された検疫ネットワークに接続させる」「検疫」「治療」(または社内ネットワークに接続)という段階が必要となる。

　検疫ネットワークの鍵となるのは、どのようにして社内ネットワークに接続しようとするPCを判別し、検疫ネットワークに誘導するか、という点に尽きる。

　しかし、実はその方式が、ベンダーによってまちまちなのだ。これは、結局は業界標準とも言うべき方式がないためだが、方式は複数あっても、それぞれ一長一短があり、導入しようとしてもどれか一つに決めるのも難しい。

　それでは、検疫ネットワークにはどんな方式があるのか。検疫ネットワークの方式としては、大きく次のような方式に分けることができる。

• ゲートウェイ方式
• DHCP認証方式
• 認証スイッチ方式
• パーソナルファイアウォール方式

　それでは以下、これらの方式について解説していきたい。いずれの方式にもそれぞれ特徴があるほか、製品によっては複数の方式を併用するなど、検疫ネットワークを提供するベンダーにより細かな違いもある。

ゲートウェイ方式

　ネットワークのセグメントに設置されるゲートウェイで接続してくるPCを判別する方法だ。ルータやVPN機器などがこれに当てはまる。接続したPCの通信がゲートウェイに達した段階で、検疫済みかどうかを調べ、済んでいれば社内ネットワーク、そうでなければ隔離ネットワークに接続する。

　最大のメリットは、既存のネットワークに対して大幅な変更が不要な点だ。論理的／物理的なネットワーク変更はほとんど必要なく、必要なセグメントごとにゲートウェイを設置するだけですむため、比較的安価に設置できる点も優位点となる。

　専用のハードウェアを使うことで、検疫も高速に行える。製品によっては1秒程度で検疫が終了するため、クライアント側への負担も少ない。固定IPやDHCP環境を問わずに利用できる点も特徴だ。

　問題点としては、セグメントごとに区切られるため、ゲートウェイ内の通信は検疫されない点が上げられる。セグメントの区切り方にもよるが、セグメント内に関してはクライアントを接続してワーム感染が広がる、といった危険性もある。

　一般的にクライアントソフトの導入を行うため、そのコストも必要となるが、クライアントソフトにセキュリティソフトを組み合わせ、セグメント内のセキュリティを確保するソリューションも提供されている。

　この方式を採用した製品として、NTTデータ先端技術の「NOSiDE Inventory Sub System」（NOSiDE）などがある。

DHCP認証方式

　DHCPは、IPアドレスを動的に割り当てるためのプロトコルで、企業内では一般的に使われているだろう。この企業内のDHCPサーバーを活用し、社内ネットワークと隔離ネットワークに接続するIPアドレスを切り替えることで、検疫ネットワークを実現する仕組みがDHCP認証方式だ。

　この方式を導入した場合、接続しようとするクライアントはIPアドレスを持っていないので、DHCPサーバーがIPアドレスを付与する。このとき、まず検疫ネットワーク用のIPアドレスをリースし、検疫ネットワークに接続させる。

　ここで検疫／治療が行われ、その後正式な社内ネットワーク用のIPアドレスが付与されることになる。

　基本的にソフトウェアベースのソリューションであるため、既存のハードウェアやネットワーク構成に変更がいらないので、導入が容易な点が最大のメリット。クライアントソフトも用意されているが、ActiveXを使うなどしてブラウザベースでも検査が行えるので、クライアント側に新たにソフトを導入する必要がない点もメリットだ。

　あらかじめ接続するクライアントPCのMACアドレスを登録しておくことで、企業が許可していないマシンの接続を拒否する機能もあり、これによって未登録PCの接続も拒否できる。

　ただ、DHCPを利用するため、IPアドレスをクライアントに直接設定していると、検査が素通りされてしまうというなりすましの問題もある。これについては、IPアドレスを直接設定しているような不正な通信があれば、これを自動検知して通信を妨害する、といった対策が用意されている。

　この方式では、日本ヒューレット・パッカードの「HP Quarantine System」やハンモック／武藤工業／アクシオによる「Asset View SECURE」などがある。