検疫システムはどこに向かうのか：特集：ホントに使える？ 検疫ネットワーク再入門（2/3 ページ）

[郷間佳市郎，ITmedia]

　さらに、検査のタイミングの問題もある。現状、検疫システムにおける検査というと、ネットワークへの接続時にだけ実施するものがほとんどだ。つまり、接続時に隔離するか否かが決定される。

　しかし場合によっては、いったんネットワーク機器が正常に接続された後に、それが安全基準を満たさなくなるといった場合もありえる。このため、接続時だけでなく、その後についても追跡検査をする製品も出てきている。また、接続後に、そのネットワーク機器を監視し、通常とは異なる振る舞いをする（たとえば、ランダムなIPアドレスに大量のパケットを送出するなど）ものがあれば、それを隔離してしまうといったソリューションも考えられている。

複数の「隔離」方式を備えたプロダクトの登場――組み合わせが必要

　「隔離」についても、考え方が少し変わってきている。検疫システムを実現する隔離方式については、認証VLAN方式、DHCP方式、パーソナルファイアウォール方式といったものなどがある。ここでは、とくに個々の方式について説明は行わないが、それぞれの方式に得手／不得手があるという現実がある（関連記事）。

　これまでの動向を見ると、とかく、この隔離の方式にこだわった説明と、それにともなう製品の差別化が多かったように感じる。しかし、この隔離の方式のうちどれを選ぶのかということが、製品の選択につながるのだろうか。むしろ、現場では、どれかひとつの方式にだけ絞れないというジレンマに陥ってしまうのではないだろうか。

　隔離の方式を絞ってしまうことは、システムの導入においては間口を狭めてしまい、マイナスの要因として働いてしまう場合がある。なぜなら、ひとつの方式では、実際の社内ネットワーク全体を網羅できないことが考えられるからだ。つまり、どれかひとつの方式を選んでしまうと、それは局所的に検疫システムを実現する手段になってしまうことになる。

　もちろん、社内システムの構成を、特定の隔離方式に都合のいいように構築し直せば、社内システム全体を網羅させることは可能だろう。そして、これは新たなビジネスチャンスを作り出す起爆剤になるという予想もあると思う（これが目的なら、それはそれで良いという人もいるかもしれないが……）。

　しかし、現用の社内ネットワークを簡単に変更、再構築できる企業ばかりではない。この遊離が、ベンダー側の盛り上がりに比べ、企業での実導入があまり盛り上がっていない原因のひとつと言えるのではないだろうか。

　検疫システムは、局所的ではなく大規模に導入した方が良いという考えがある一方で、どれかひとつの隔離方式にこだわっていては、ネットワーク全体をカバーするような大規模導入は難しい場合がある。であるとすれば、隔離の方式によって製品の差別化を図ることは、あまり良い結果を生まないといえるだろう。むしろ、いくつかの方式を取り込み、どうすれば対象となるネットワークシステム全体を網羅できるかを考えるべきだ。

　つまり、隔離の方式で「どれが良いか」といって、ひとつを選んで欲しいという製品の差別化は、実際の現用システムの前では、あまり良い効果を発揮できないということだ。

　こういったことから最近は、特定の方式だけにこだわらず、いくつかの方式を採用して、できるだけ広範囲をカバーできる検疫システムというものが検討されているようだ。

　もちろん、全ての方式を採用することは難しいだろう。しかし、製品が複数の隔離方式に対応していれば、それだけシチュエーションに合わせられる能力が高まる。そのときの環境やニーズに合わせて最も適した隔離方式を選択でき、おのずと守備範囲が広がることにもなる。もちろん、その場合、それを統合管理するための機能も必要となってくるだろう。

マルチベンダーのネットワーク機器をサポートする能力――垣根を越えられるか

　もうひとつ実現が望まれている能力としては、マルチベンダーのネットワーク機器に対するサポートが挙げられる。

　特に認証VLANなどのネットワーク機器の持つ機能を利用した検疫システムに言えることだが、特定のベンダーのネットワーク機器だけで、すべての検疫エリアを網羅することは本当に現実的だろうか。この部分については、もう少し考える必要があるだろう。

　本来、インターネット技術を利用した世界では、異なるベンダーの機器間の相互接続性（インターオペラビリティ）を是としており、複数のベンダーのネットワーク機器が混在して設置されていることが一般的だ。特定のベンダーの環境に依存するような仕組みが本当に良いのか、今一度考えてみるべきではないだろうか。