特集
» 2005年09月22日 22時05分 公開

特集:ホントに使える? 検疫ネットワーク再入門:検疫ネットワークを実現する仕組み(後編) (1/2)

ここでは前編に引き続き、検疫ネットワークを実現するさまざまな方式を紹介するとともに、業界の中で注目されている標準化技術に触れていく。

[小山安博,ITmedia]

 前編では、「ゲートウェイ方式」「DHCP認証方式」「認証スイッチ方式」および「パーソナルファイアウォール方式」という検疫ネットワークの4つの方式を見てきた。

 このうちゲートウェイ方式の発展系に「VPNゲートウェイ方式」がある。

VPNゲートウェイ方式

 基本的にはゲートウェイ方式と同じで、ネットワークのセグメントの境界に設置されるVPNゲートウェイがクライアントPCのセキュリティ対策状況をチェックし、接続の可否を判断する方式だ。

 最近では、オフィスに縛られず、自宅や外出先、出張先などさまざまな場所から企業ネットワークにVPNで接続し、仕事をするスタイルが認められつつある。しかし安易なVPN接続は、企業ネットワークの脆弱なポイントになる可能性がある。事実、Blasterウイルスがまん延した際には、VPN接続が「裏口」となり、社内LANに侵入してきたケースがあった。

 VPNゲートウェイ自身がパッチ適用の有無やウイルス定義ファイルの更新状況をチェックすることにより、こうしたリスクを抑えることが可能だ。特に、SSL VPNアプライアンス製品の多くが、「エンドポイントインテグリティ」「エンドポイント検査」といった名称で、こういった検疫機能を実装しつつある。チェック項目も、OSのパッチ適用やウイルス定義ファイルの更新だけでなく、レジストリや動作しているプロセスなど、多岐にわたっている。

 メリットとしては、ゲートウェイ方式同様、既存のネットワークに大きな変更を加えることなく導入できることが挙げられる。リモートアクセスによる利便性とセキュリティの維持を両立する手段として有力だ。

 以上、ここまで5つの方式を紹介してきたが、ソリューションによっては複数の方式をサポートし、ニーズに応じて選択できるものも存在する。

 さらに、BIOSで秘密鍵を管理してクライアント証明を行う「Phoenix TrustConnector」やICカード、USBトークンやワンタイムパスワードなどの認証を組み合わせ、検疫ネットワークをいっそう強化するような仕組みを取り入れるもの、資産管理ツールと連携してパッチの確認から配布までを連動させるものなど、さまざまな仕組みがある。構築を担うシステムインテグレータによっても、手法はさまざまだろう。

 逆に言えば、検疫ネットワークにはまだ業界標準と言えるまでの特定の方式が存在していないということである。現時点ではまだ、どの方式も標準となるには決め手に欠けている、といった状況だ。

業界標準目指す2つのテクノロジ

 そんな中、特に期待を集めつつあるテクノロジがある。Cisco Systemsの「Cisco Network Admission Control(NAC)」とMicrosoftの「Microsoft Network Access Protection(NAP)」だ。両者についてそれぞれ見ていこう。

  • Cisco Systemsの「NAC」

 シスコのNAC構想が最初に打ち出されたのは2003年のことだ。人の免疫機能になぞらえ「コンピュータとネットワークを有機的に協調させるもの」というコンセプトに基づいてさまざまなセキュリティ上の脅威からステムを守ることを狙っている。同社では、セキュリティベンダーなどとアライアンスを組み、さまざまな製品を連携させようとしている。

 NACのキーとなるのは「Cisco Trust Agent」だ。これは、クライアントPCやサーバなどに常駐し、ウイルス対策ソフトなどのセキュリティソフトウェアの情報を収集し、同社製品で構成されたネットワークにその情報を送信する。ネットワーク側はそれに基づいてアクセス許可/拒否を行うといった具合にアクセス制御を実施し、検疫を実現していく仕組みだ。

 具体的には、シスコのルータ/スイッチ製品、認証サーバ「Cisco Secure Access Control Server」などのポリシーサーバ、「CiscoWorks VPN」「Security Management Solution(VMS)」などの管理ソリューション、さらにCisco Trust Agentとそれと連携するサードパーティ製のセキュリティ製品を組み合わせたソリューション全体がNACということになる。

 シスコはすでに、シマンテック、トレンドマイクロ、マカフィーといった主なウイルス対策ソフトベンダー、IBMなどのネットワーク管理/システム管理ベンダーと協業しながらアーキテクチャと仕様を決定しており、業界をあげて取り組んでいく方針という。

 現にシマンテックの「Symantec Client Security」やトレンドマイクロの「ウイルスバスター コーポレートエディション」といった企業向けのウイルス対策ソフトはNAC対応を始めている。もちろん、シスコのルータ製品でもNACをサポートしており、対応は徐々に広がる見込みだ。

 業界でのアライアンスによって実現されるこのNACは、標準化への配慮も考えているといい、ネットワーク機器の巨人の取り組みに注目が集まっている。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -