特集:検疫ネットワーク導入の条件

検疫条件としてパラメータを
どのように設定するのか

2005/9/10
根本浩一朗
ソリトンシステムズ


 セキュリティ事故・事件が企業、団体の運営に大きな影響を及ぼし続けています。今年4月の個人情報保護法施行にもかかわらず、これら事故・事件は減るどころか増えているようにも見受けられます。実際筆者が簡単に調べただけでも2005年4月以降150件以上のセキュリティ事故・事件が報告されています。

 これらの状況を反映して、従来のサーバ、端末、インターネットへのセキュリティ対策のみならず、より安全を確保するために「次」の手法が求められています。「次」の手法としていままでセキュリティを考えるうえで空白であったキャンパスLAN、ネットワークインフラへの対策手法が注目され、具体的には認証VLANソリューションやIEEE 802.1xによるポートセキュリティなどが実際に活用され始めました。

 しかし、さらに有力な対策方法の1つとして検疫ネットワークが提唱され、昨年末から今年にかけて、一言で「検疫ネットワーク」と片付け切れないほどさまざまな方式、ツールが提供されるようになりました。検疫ネットワークは市場での注目を浴びるだけでなく実際にソリューションとして導入するユーザーも出てきています。

 本稿では検疫ネットワークの必要性、背景をベースに検疫ネットワークについて、現在さまざまな方法で提供されている検疫ネットワークの実現方式、ソリューションの一部をなるべく平易に解説していきます。

  検疫ネットワークを求められる背景

 キャンパスLANはここ数年で格段の進歩を遂げ、零細企業から大企業まで業種を問わず必要十分の帯域を利用できるようになりました。またLAN制御技術の進歩に伴って「完全停止しない」ネットワーク構築を求めるユーザーも増加し、いつでもネットワークを使用しできる環境を手に入れられるようになりました。キャンパスLANやインターネットの進歩はさまざまな通信方式を使用してきたアプリケーションにTCP/IPへの統一を促進しました。ノートPCの普及に端を発するユビキタス環境の整備により便利さを増すにつれて、ビジネスツールとして必要不可欠な存在にまで成長しています。

・キャンパスLAN管理者を悩ませる問題

 キャンパスLANは企業、団体活動においてのインフラに位置付けられ、必要とされる情報、システムに自由にアクセスできることを前提に整備されてきましたが、その半面、手放しで喜ぶわけにはいかない問題も発生しています。さまざまな問題が発生していますが、その理由の多くは以下の2点に集約されるでしょう。

 ・ウイルス、ワームによる業務停止事故
 ・情報漏えい事件

 ウイルス、ワームにより企業、団体に引き起こされる被害についてはもはや本稿で指摘するまでもないと思いますが、その復旧対応にかかる時間、手間やその時間内で進められたであろうビジネスの機会損失など、被害の代償は決して無視できないものがあります。もちろんウイルスチェッカーなど対策システムの導入でシステム管理者も多くの手間と費用をかけて対策を行っているでしょうし、対策ツールメーカー各社も日進月歩で新製品を市場へ提供しています。しかし、相変わらずウイルス、ワームによる被害が報告され続けています。本来であれば新種のもの以外で感染することはないようにきちんと対策されている企業、団体のキャンパスLANでは少なくなるはずなのに。なぜでしょうか?

 ノートPCの普及により情報資産の機動性が格段に向上した結果、支給された端末を社外、特に自宅に持ち出す利用者が急増しました。また、企業など経費削減により耐用年数を経過しても更新されない支給端末の能力に嫌気が差し、より効率的な業務遂行のために私用の高性能なノートPCを業務兼用としてキャンパスLANへ持ち込むケースも多々見受けられました。これがいわゆる「持ち込みPC」です。

 これら持ち込みPCは頻繁に職場と自宅を往復しキャンパスLAN、インターネット接続を繰り返します。きちんとした管理者がセキュリティ対策を実施しているキャンパスLANとは違い、特段のセキュリティ対策が施されていない自宅などからのインターネット接続ではウイルス、ワームに感染する可能性は格段に高く、しかも感染に気付かないケースもあります。この状態で再び職場のキャンパスLANに接続するとウイルスが拡散を始め、ほかの端末に感染させ、結果として被害をもたらすのです。

 さらに悪いことに、これらウイルスに感染した持ち込みPCが原因で情報漏えい事件を引き起こした事例も新聞などの報道により報告されています。持ち込みPCはもともとは私物であることが多く、Winnyなどのファイル共有ツールがインストールされることも十二分にあり得ます。前述の事件は運悪くウイルス感染した持ち込みPCが、ウイルスにより業務で使用していた名簿ファイルをWinnyの共有フォルダへ移動させたことにより、利用者の意図することなく名簿がインターネット上にばらまかれた事件でした。

・「性善説」から「性悪説」への転換

 利用者が接続するポートはかつてキャンパスLANで最も安全な場所として認識されていましたが、ウイルス、ワーム感染経路のみならず情報漏えいの流出経路でもあることが明らかになった今日では「最も危険な場所」であるという認識に改める必要があります。この「最も危険な場所」からキャンパスLANを守るためにどのような対策を取るべきでしょうか?

 答えは簡単です。ウイルス、ワームに感染したPCがネットワークに接続することがキャンパスLANでの拡散原因なのですから、これらの持ち込みPCをキャンパスLANに接続させなければ良いのです。

 しかし、単純に管理者が呼び掛けるだけでは効果は得られにくいのでシステムとして提供する必要があります。言葉は悪いかもしれませんが「性善説」から「性悪説」へ発想の転換を図ったうえでシステム構築をする必要があります。身内である利用者を疑うのはとても悲しいことではありますが、キャンパスLANと情報資産の全体を守るためにはやむを得ないことです。

 ところで「答えは簡単」と書きましたが、ウイルス、ワームに感染したPCをキャンパスLANに接続させないということを実現するのは実際には難しいことです。キャンパスLANに接続を試みたPCがウイルス、ワームに感染しているかどうかを接続のタイミングで完璧に判断することは現実問題としてほぼ不可能です。しかし、ウイルスチェッカーの導入やWindows Updateを適切に実行しているかどうかなどを判断することはウイルス、ワーム感染の有無を判断することよりはるかに容易に実現可能です。管理者があらかじめ設定した条件以上にセキュリティ対策を実行しているか判断することが「PCの完全性(HostIntegrity)検査」であり、PCの完全性検査に基づいてPCのキャンパスLAN接続を許可または拒否するソリューションが「検疫ネットワーク」なのです。

  検疫ネットワークの標準化はどこまで進んでいるのか

 検疫ネットワークはまだ新しいソリューションであるためTNC(Trusted Network Connect:標準仕様のダウンロードページ、セキュリティ強化のためのオープン仕様、年内リリースへ)など標準化の動き自体は存在していますが、規格として統一されたものはいまだにありません。メーカー、ベンダ各社はそれぞれの手法で独自にソリューションを作りリリースを始めています。市場の注目も高いことから国内外多くのプレーヤーが検疫ネットワーク市場に参入しており、さながら「雨後のたけのこ」のような様相を呈しています。本稿ではこれらすべてを紹介することはとてもできませんが、検疫ネットワークについての一般的な事柄を解説したいと思います。

・ PCの完全性検査だけでない 「検疫ネットワーク」の原点

 いろいろな方式の検疫ネットワークシステムがあり、何をもって検疫システムといえるかの定義は難しいですが、総じて以下のことを実行できるシステムを検疫ネットワークと位置付けて良いでしょう。

 ・検疫機能
 ・隔離機能
 ・治療機能

 検疫機能だけではなく、隔離、治療という概念が検疫ネットワークソリューションの要素として盛り込まれています。キャンパスLANの利用者が万が一接続を拒否されることになっても検疫、隔離、治療という流れでリカバリーの仕組みを用意することで利用者の自主的な対策強化を促す側面があります。以下にそれぞれの機能について説明します。

図1 検疫ネットワークの機能と動作の流れ

 検疫機能は文字通りキャンパスLANに接続を試行する端末が適切なセキュリティ対策を施しているかどうかの検査、いわゆる端末の「完全性検査 (Host Integrity)」を行うものです。具体的にはPCの設定情報(主にレジストリ情報)が管理者の設定した基準以上になっているかを判定します。WindowsのHotFix情報や、インストールされているウイルスチェッカーのエンジンのバージョンやパターンファイルの番号がしきい値として主に用いられます。端末は検疫によって接続に適切と判定されて初めてキャンパスLANへの接続を許可されます。

 ただし、検疫機能は単純に完全性検査のみを行うのではなく、接続を試行するユーザーの確認も併せて実行されることが多く、検疫機能は接続認証の条件の1つと見なしています。筆者自身も検疫ネットワークソリューションの企画、展開を担当しており「検疫はやりたいが認証は要らない」という管理者の声を耳にしますが、基本的には検疫と認証は切っても切れないほど密接な関係にあります。

図2:Windowsやウイルスチェッカーを検疫判定条件とする場合の合否判定の例

・隔離機能

 検疫機能による完全性検査に合格したPCはキャンパスLANへの接続を許可されますが、合格できなかった端末はどのように取り扱われるのでしょうか? 一般的には検疫に合格した端末との通信を拒否するなど一定の条件の下で接続を許可することを「隔離」と定義します。不合格だった端末の接続そのものを拒否するということも考えられますが、実際には後述の治療の妨げになってしまうことにつながるため、いささか乱暴なやり方になります。現実的にこれを選択するユーザーはごく少数に限られると考えられます。

 隔離方法はシステムによってまちまちですが、大きく分類すると以下の2つになります。

VLAN設定による隔離
ACLによる隔離

 VLAN設定による隔離手法はいわゆる「認証VLAN」を応用したものです。特にIEEE 802.1x認証を認証手法として取り入れた検疫システムが採用しています。これはIEEE 802.1x認証とともに接続ポートに自動的にVLANを割り当てられるネットワーク機器が普及してきていることも採用の要因になっているようです。

 ACL(Access Control List)による隔離機能はFirewallや認証ゲートウェイ機器を使用した検疫システムが採用しています。それぞれの比較は別項に譲りますが、いずれの方式もキャンパスLAN上の資産への接続を許可せず、治療のためのシステムに接続することのみを許可します。

・治療機能

 隔離された端末はそのままではキャンパスLANに接続することはできません。管理者が設定した検疫条件以上に端末のセキュリティ対策を高める必要があります。前項で述べたとおり検疫ネットワークシステムは隔離した端末に対して治療するためのシステムへの接続は許可しています。治療システムとはWindowsのSUSサーバや、ウイルスチェッカーのアップデートサーバなどの検疫条件として選択された要素を更新する手段を指します。いったん隔離された端末はWindows Updateを実行したりウイルスチェッカーを更新することで「治療された」ということになります。治療された端末は検疫に合格できる資格がありますので、再度検疫にチャレンジして合格と判断されれば、キャンパスLAN上の資産への接続を許可されます。

・検疫条件として活用される要素

 現在は多くのシステムが前項で説明したWindowsのHotFixやウイルスチェッカーのパターン番号を検疫条件として使用しています。これは持ち込みPCがもたらすウイルス、ワームによってキャンパスLANに被害を及ぼすことを防止するためには有効です。しかし検疫条件として使用できるものはこれに限りません。情報漏えい対策の視点からはまた別の要素を有効な検疫条件として活用することができます。例えば以下の2点も要素として考えられるでしょう。

・接続を試行する端末が正規の端末か、そうでない端末か
・正規の端末であってもふさわしくないツールがインストールされていないか

 正規の端末か否かの判断は端末認証を実施したり、資産管理ツールと連動させて判断させる方法などが考えられます。また、資産管理ツールとの連動は任意のアプリケーション、サービスの稼働や端末のスペックを要素として検疫条件に加えることも可能になります。

 これらに限らずさまざまな要素技術と組み合わせ、より検査精度の高い検疫システムへ発展させるために開発が進められています。

図3:検疫ネットワークを実現する方法による分類

  検疫ネットワークの抱える課題

 検疫ネットワークソリューションはウイルス、ワームをはじめとする諸問題を引き起こす原因となる端末持ち込みを拒否できることから画期的なソリューションとして注目を浴びていますが、まだまだ新しく発展途上である故にシステムとして解決していかなければならない課題もあります。以下の3点について説明します。

 ・検疫システムは予防システム
 ・利用中のウイルス感染などの対策
 ・検疫条件の妥当性

 まず初めに、検疫ネットワークは予防システムであり、すでに感染してしまったウイルス、ワームなどはそれだけで除去されることはありません。「治療」という概念は取り入れられていますが、実際に対応に当たるのはウイルスチェッカーなどのツールが実施します。また、検疫条件としてウイルスチェッカーのパターン番号を使用していることから新種のウイルスなど未知の驚異に対してはほとんどの検疫ネットワークシステムは無力です。

 次に、いったん検疫に合格しキャンパスLANへの接続を許可されても、使用中運悪くウイルス、ワームなどに感染してしまうことがあります。検疫ネットワークでは「再検疫」を実行することにより接続端末の状態を監視し、検疫条件の変更などで「不合格」になった端末を切り離せる機能があるものも多いですが、この再検疫が問題になるケースも考えられます。

 再検疫の間隔は管理者が設定することで決められますが、その間隔が30分、1時間と長くなるにつれ感染した合格端末が野放しにされる時間も長くなり、結果的に拡散を許してしまうことが考えられます。いったん感染した端末の切り離し、対策は迅速に行われることが重要ですが、切り離すべき端末以外では業務を継続しており、これを停滞させるわけにはいきません。従って、切り離すべき端末のリアルタイムな切り離しとそれ以外の端末の利便性確保を両立することが2つ目の課題となります。

 さらなる課題として検疫の検査条件設定の妥当性をどのように判定するかという課題があります。Windows Updateもウイルスチェッカーも一般的には最新のパッチ、パターンファイルを設定していることが望ましいとされています。筆者も検疫条件としてパラメータを最新に保つことが良いとは思いますが、必ずしもそれが最善の選択とはいい切れないのが現実です。これはいくつかの要因があります。以下に要因となり得る要素の例を示します。

 ・利用者の端末利用形態(特にモバイルユーザーに多い)
 ・最新パッチ、パターンファイルの安全性

 利用者のうち、毎日オフィスのみで端末を使用する人は定期的にセキュリティパッチの更新ができます。しかし、PC端末を持ち出して数日、長いときは1カ月以上帰社しない人もいます。このような状況では常に最新のセキュリティパッチが設定されていることがセキュリティ条件だとすれば帰社するたびに検疫検査に不合格となります。急ぎの用事がある場合に治療しなければ必要なリソースにアクセスできず、対処ができないなど本来のビジネスを阻害する要因となってしまうこともあります。

 利用者の端末利用形態に合わせて「最低限必要なレベル」として検疫条件を設定すると安定運用が見込めます。ただし、新種のウイルスが発生した際にはキャンパスLANの安全を保全するため検疫条件も厳しく変更し、柔軟に対処することが望ましいでしょう。

 最新パッチ、パターンファイルの整合性については最新パターンファイルが設定されたウイルスチェッカーがPCの誤動作を引き起こす重大な問題を発生させたばかりということもあり、検疫条件としての設定は慎重に行われる必要があります。

 キャンパスLANはどれ1つとしてまったく同じものはないといわれています。検疫ネットワークを安全に運用するためにはキャンパスLAN管理者が利用者の利用形態を把握し、その上で柔軟な検疫条件の設定などの配慮をすると良いでしょう。

 検疫ネットワークはキャンパスLANのセキュリティに新しい手法をもたらす画期的なソリューションですが、決して万能なシステムでもないことを理解していただけたかと思います。検疫ネットワークの導入を計画している管理者は検疫ネットワークだけに投資すればセキュリティが確保できると考えるのではなく、これらの検疫ネットワークが持つ課題を理解して総合的なセキュリティ対策を講じることが重要です。

 次回はいよいよ検疫ネットワーク導入の条件や方式について説明します。


関連記事

特集:検疫ネットワークとは 感染した持ち込みノートPCから社内のネットワークを守る「検疫ネットワーク」。隔離し、検査、治療のメカニズムと構築方法を紹介する
(1) 持ち込みPCをLANに安全につなぐ検疫とは?
(2) 2つの事例から考える検疫の効果と課題
特集:ネットワーク構築の基本はVLANから 認証無線LANやVoIP、セキュリティ強化を自社ネットワークに導入する際、再構築の基礎となるVLAN。仕組みを確認しよう
(1) VLANの基本的な仕組みを攻略する
(2) VoIPを効率よく運用させるVLANのしくみ
(3) 認証VLANで不正PCを拒否するしくみ
検疫ネットワーク記事一覧

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Master of IP Network 記事ランキング

本日 月間