連載
» 2005年04月09日 00時00分 公開

特集:検疫ネットワークとは(後編):2つの事例から考える検疫の効果と課題 (2/2)

[山崎潤一郎,@IT]
前のページへ 1|2       

検疫ネットワークを導入する以前にすべきこと

NECソフト・静岡支社ITソフトウェアビジネス部エンジニアリングマネージャー・谷川智彦氏 NECソフト・静岡支社ITソフトウェアビジネス部エンジニアリングマネージャー・谷川智彦氏

 「企業としてのセキュリティを考える場合、検疫ネットワークを導入する以前にやるべきことが2つある」というのは、NECソフト・静岡支社ITソフトウェアビジネス部エンジニアリングマネージャー・谷川智彦氏。検疫ネットワークは、総合的なセキュリティ対策におけるリスクヘッジの一手段であり、それがすべてのように考えるべきではないという。

 その、「やるべきこと」として、まず第1に「会社が認めないクライアントはイントラネットに接続させない。仮に不正接続があってもそれを検知してネットワークにはアクセスできない仕組みを構築することからすべてが始まる」(谷川氏)と力説する。また、不正接続端末を介して情報が流出する、といった事態を避けるためにも、「個人情報保護法対策上このような仕組みを整備することは重要」とも。

NEC・ユビキタスソフトウェア事業部エンジニアリングマネージャー(セキュリティグループ)・福田光司氏 NEC・ユビキタスソフトウェア事業部エンジニアリングマネージャー(セキュリティグループ)・福田光司氏

 第2に、「接続されているクライアントのセキュリティ状況を常に管理しておくことが重要」(谷川氏)と訴える。つまり、各クライアントのパッチの適用状況やウイルス対策の状態を管理する必要があるというのだ。このような日常的なリスク管理体制が整ったうえに検疫ネットワークを導入することで、初めてその真価を発揮するという考え方なのだ。前述谷川氏のコメントを裏付けるように、NEC・ユビキタスソフトウェア事業部エンジニアリングマネージャー(セキュリティグループ)・福田光司氏も、「検疫ネットワークだけを構築しても総合的なセキュリティ対策はできない。普段からセキュリティの一元的なマネジメントを実施しており、そのリスクヘッジとして検疫ネットワークがある」と訴える。

検疫ネットワークを導入しても被害はゼロではない

 NECではグループ会社も含め約26万台のクライアントを、同社のセキュリティ製品である「CapsSuite」で管理している。CapsSuiteはイントラネットに接続されるすべてのクライアントを検知し、それらのウイルス対策状況やパッチ適用率を一元的に管理することのできるシステムだ。検疫ネットワークにはオプションで対応している。

 そもそも、NECが全社的にこのような管理システムを導入した背景には、「ワームに感染してイントラネットが1週間止まった」(谷川氏)苦い経験からだ。それを教訓に同システムを開発し、パッチの適用率とクライアント資産の管理を徹底するようになったという。そして2003年のSQLスラマーやMSブラスター騒ぎの際には「被害を最小限に食い止めることができた」(福田氏)と胸を張る。ただ、被害がゼロではなかった点について、「休眠PCや長期持ち出しで最新のパッチが適用されていないノートPCが感染した」(福田氏)という。

検疫ネットワークの肝は普段からの社員向けセキュリティ教育

NECソフト・プラットフォームシステム事業部ブロードバンドシステムグループセキュリティエキスパート・小杉聖一氏 NECソフト・プラットフォームシステム事業部ブロードバンドシステムグループセキュリティエキスパート・小杉聖一氏

 そのようなこともあり、「パッチの適用率を数値的に管理し、その数値を基に部署間で競争を行っている」(NECソフト・プラットフォームシステム事業部ブロードバンドシステムグループセキュリティエキスパート・小杉聖一氏)と明かす。たた、小杉氏はこうも付け加える「単にCapsSuiteを導入して管理・競争させるだけでは駄目。普段からのセキュリティ教育も欠かせない」という。教育を行うことで社員全員が有事の際の損失を共有認識し、会社のPCやネットワークは会社の資産であり、持ち出しや個人のノートPCの不正接続といったことの防止が徹底されるようになるそうだ。検疫ネットワークの導入は、このような仕組みを構築したうえで行うことが望ましいというスタンスなのだ。

 NECではCapsSuiteで管理されたネットワークに対し、「認証DHCP方式」「認証VLAN方式」「パーソナルFW方式(エッジ認証)」「ポリシーベースFW方式」「VPN機器方式」の5つの方式で検疫ネットワークを提供している。ちなみに、「ポリシーベースFW方式」と「VPN機器方式」は、今回初めて耳にする方式だ。まずポリシーベースFW方式の方は、セキュリティポリシーを満たしていないPCからにアクセスを、ファイアウォールで制御するもの。クライアント側にはエージェントソフトを導入するだけだ。主にサーバ側が検疫ネットワークたるべく機能を提供するもの。パッチやウイルス定義ファイルの配布(治療)は、CapsSuiteのサービスを利用する。一方のVPN機器方式は、ベンダ各社が提供する製品ベースの検疫機能を利用する方法だ。ただしこの場合は隔離までで、パッチの配布など治療を行うことはできない。

2社の検疫ネットワーク事例の特徴
日本システムディベロップメント NEC
クライアント数 100クライアント 26万クライアント
検疫ネットワーク方式 パーソナルFW方式 認証DHCP、認証VLAN、パーソナルFW、ポリシーベースFW、VPN機器方式
導入費用 3万円(1クライアントあたり) 不明
特徴 従来からの端末側の固定IPを活用 自社のセキュリティ一元管理製品「CapsSuite」を利用
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。