エクストリーム ネットワークス BlackDiamond 8800 シリーズ アグリゲーション・スイッチで 検疫ネットワークを構築しよう
個人情報保護法実施を目前に控え、エンタープライズネットワークでは持ち込みクライアントPCなどの管理の重要性が叫ばれている。ネットワークの信頼性を保つための「検疫ネットワーク」とは何か？ またその構築方法とは？

　エクストリーム ネットワークスのBlackDiamond 8800 シリーズは、PoE（Power over Ethernet）、Gbit／10Gbit対応のハイパフォーマンス・レイヤ3スイッチである。ネットワーク全体の信頼性を高めるための機能も豊富に組み込まれており、多様な接続性と高可用性を両立する設計になっている。

　BlackDiamond 8800 シリーズが実現する機能にはさまざまなものがあるが、今回は「検疫ネットワーク」について紹介する。

　検疫とは、伝染病の感染拡大防止などの目的で人や物の出入りを監視して必要な検査を行い、安全確認を行うことだ。現実世界では、伝染病流行地域から到着した旅行者や、病原菌や有害生物の付着が疑われる農作物の所持者に対するチェックが空港などで行われている。

　同様に、コンピュータ・ネットワークでもウイルスやワームといった有害プログラムが蔓延しており、適切な防御手段を講じていないとあっという間に感染が拡がり、業務に支障を来たすこともある。

　防御策としては、インターネットと社内LANの接続点にファイアウォールを設置することが一般的だが、ファイアウォールですべての脅威からシステムを防御できるわけではない。2003年に大流行して社会問題ともなったBlasterでは、被害を受けた企業の多くで感染源となったのは、社員が自宅等から持ち込んだノートPCだとも言われている。インターネットとの接続点に設置されたファイアウォールは、インターネットから直接侵入しようとするウイルスやワームを遮断することはできても、ファイアウォールを通過せずに直接LAN内に持ち込まれた場合には無力である。

　検疫ネットワークは、こうしたファイアウォールの限界を補うもので、社内ネットワークに接続される個々のPCの安全性を確認し、LAN内部での感染を未然に防ぐことを目的とする。

　エクストリーム ネットワークスのBlackDiamond 8800 シリーズやSummit 200／300／400では、クライアント認証機能として、IEEE 802.1x ネットワークログインをサポートしている。これまでは、802.1x は無線LANでの利用が中心だったが、機能的には無線LANに限定されるものではなく、有線接続でも利用可能だ。有線／無線を問わず、接続されるすべてのPCを対象に認証を行うことが可能になる。

　加えて、通常802.1xは物理ポートに対し、アクセスを許可するか否かを認証するが、一度認証され、オープンな状況になった物理ポートに対しては、その後にアクセスするクライアントが無条件にアクセスできてしまう。が、BlackDiamond 8800 シリーズのように、ネットワークログイン機能が実装されていれば、ポート配下にハブなどを設置して、個別端末への個別認証ができる。

　ネットワークログイン機能によって、スイッチのレベルでユーザー認証を行えば、不正アクセスユーザーを排除することができる。しかし、Blaster流行の際に見られたように、正当なアクセス権を持つユーザーが、不注意で有害プログラムを持ち込んでしまう可能性もある。こうした脅威に対応するのが、検疫ネットワークである（図1）。

図1　BlackDiamond 8800 シリーズの検疫ネットワークで内外の脅威から社内資産を守る

　BlackDiamond 8800 シリーズやSummit 200／300／400の検疫ネットワーク機能は、エクストリームの代表的なパートナーであるSygate社のロケーションベース・エンドポイントセキュリティ・ソリューション「Sygate Secure Enterprise」が補っている。クライアントPCにインストールされたクライアント・エージェントがPCをチェックし、ウイルス対策ソフトのパターンファイルが最新のものに更新されているか、OS等のセキュリティアップデートが実行されているか、といったチェックを実行する。ネットワーク側に用意されたSygate LAN Enforcerは、ネットワークに接続されたクライアントをチェックし、PC上でクライアント・エージェントが動作しているかを調べ、さらにアンチウイルスソフトウェアやセキュリティパッチなど、LAN側で決めれたセキュリティ・ポリシーとPCの状態を比較し、条件に適合しているかを判断する。この端末チェック機能（ホストインテグリティ）により、社内LANに接続できるPCは、セキュリティ・ポリシーに合致した、充分な安全対策を実施したPCのみに限定される。

　セキュリティ・ポリシーに合致しない場合は、BlackDiamond 8800 シリーズに代表されるスイッチング機能も活用して対応を行う。BlackDiamond 8800 シリーズではスイッチ側で、アクセスしてきたクライアントごとにポートを制御できるので、セキュリティ・ポリシーに合致しないクライアントに対してポートを遮断することで排除できる。また、クライアントごとにVLANを割り当てることができるため、セキュリティ・ポリシーに合致しないクライアントをまず業務用のネットワークからは切り離されて安全が確保された「検疫ネットワーク」に接続し、そこでソフトウェアのアップデートなどの作業を行い、安全が確認されたところで改めて社内LANに接続し直す、という処理ができる。

　単に接続拒否だけでは、業務に支障が生じることも考えられるが、ポリシーに合う状態になるよう、必要なソフトウェアのインストールやアップデートを自動実行できるため、実用性は飛躍的に高まる。セキュリティ関連のアップデートなどの作業をユーザーに任せると、忙しくてつい忘れたなどということが起こり、社内全体が足並みを揃えて一斉に対応するのは困難だ。しかし、検疫ネットワークの機能を利用すれば、確実に一定のセキュリティ・ポリシーに基づいてクライアントPCを管理することが可能になる。外部からのPCの持ち込みがない環境でも、内部の既設のPCのセキュリティ維持にも役立つ機能である。