検疫システムはどこに向かうのか：特集：ホントに使える？ 検疫ネットワーク再入門（1/3 ページ）

「ワーム対策の特効薬」という切り口から一躍注目を浴びることになった検疫システム。しかしそれは、この仕組みの本質を表したものではない。

[郷間佳市郎，ITmedia]

　検疫システムは一時のブームに過ぎない、という人がいる。確かにここしばらくの検疫システムの動きを見ると、若干、話題先行であった点は否めないかもしれない。

　検疫システムがにわかに脚光を浴びた背景としては、Blasterに代表されるワームの大量感染事件を抜きにしては語ることができない。社会問題にまで発展したこの事件が、それまでステルスモードで動いていたプロダクトを、陽の当たる場所へ急きょ引き出すきっかけとなったと言えるだろう（関連記事）。

　さらに、ちょうどこの頃から、「認証VLAN」のようにユーザーの社内ネットワークへのアクセスを動的に切り替える制御技術が一般化し始めたこともあり、この技術を市場に紹介するシステムのひとつとして、検疫システムが選ばれたという背景もある。

　しかしこうした紹介のされ方は、それ以前からずっと検疫システムについて考えていた人たちにとっては、ある意味で不幸な出来事だったといえる。なぜなら、検疫システムの目的は、決して「ワーム対策の特効薬」ということだけにあったわけではないからだ。

　逆に、ブームが終わったから検疫システムが終わりになることはないだろうと思う。なぜなら、このようなシステムは、実際に、社内システムにおける高い安全性を確保するためには必要不可欠なものだからだ。

　以下、検疫システムの持つ3つの機能要素である「検査」「隔離」「治療」のそれぞれについて、これまでの問題点を踏まえつつ、検疫システムの今後の方向性について考察してみたい。

まずイメージから――「やまいだれ」からの脱却

　先日、ある国外のセキュリティ会社が、検疫システムの説明に「Leper colony」という言葉を使っていたので非常にびっくりしたことがある。

　これはそのまま訳せば「らい病患者収容所」といった意味になる。このような言葉が普通のプレゼンテーションで使われていることに驚いたのと同時に、「検疫」という言葉を使っている限り、どうしてもこのような「病（やまい）」のイメージから抜け出せないのか、と感じてしまったわけだ。

　もともとネットワークセキュリティの世界では、その動作や内容をユーザーにわかりやすく伝えるために、病気に関係するたとえを用いることが多かった。これをよく「やまいだれ系のたとえ話」と呼んでいる。実際、病気関係のたとえ話で説明されると、人はその生々しさに、必要以上に想像力を働かせてしまうものだ。

　ウイルスやワームといったたとえ話は、マーケティング的には成功を収めた例であろう。しかし、「やまいだれ系のたとえ話」は諸刃の剣でもある。こと「検疫」については、逆に高まってしまった想像力が、実際の製品の進む方向とは別の方に向いてしまったような気がしてならない。

「検査」の部分に注目――全体を把握できる仕組みが必要

　これまで、検疫システムというととかく「隔離」の機能にばかり注目が集まってきた。

　これは「検疫」というたとえ話を使ったからかもしれない。検疫といえば、どこか狭い場所に隔離され検査を受けることを想像するものだ。このため、この部分――病気の疑いのある人を他と接触が持てない場所に連れて行く方法――という議論だけが先行してしまったきらいがある。

　たしかに隔離の部分は検疫の重要な機能要素ではある。しかし、「隔離」は「検査」の結果で行われるものだ。どのように検査をするのか、今後はこの「検査」の部分に、もっと注目が集まるようになるだろう。

　検査については、現状はエージェントと呼ばれる小さなプログラムを対象となるPCやネットワーク機器にインストールする方式がほとんどだ。

　しかしエージェントだけでは、これをインストールしていない／できないネットワーク機器は、検疫の対象外になるか、ネットワークに接続できなくなってしまうことになる。このため最近は、検疫システムをネットワーク全体で把握する何らかの仕組みと連動させ、ソリューション全体として、エージェントがインストールされてないネットワーク機器の存在も加味して、ネットワーク全体を管理するといった仕組みのものが多いようだ。

　また、ネットワーク型の脆弱性診断との組み合わせも考えられる。実際、エージェントがインストールされていなくとも、ネットワーク越しに脆弱性を検査し、その結果によってはアクセスを許可するような検疫システムも出てきている。