ビジネスお役立ち情報 > ITトレンドWatch

ITトレンドWatchITトレンドWatch 私たちの生活の様々な分野で活用されるITについて最新情報をお届けします。

ITトレンドWatch のトップへ

悪質なプログラムを持ち込ませない
「隔離」「検査」「治癒」の検疫ネットワーク

営業マンのノートパソコンのような、企業ネットワークを出入りするクライアントが悪質なプログラムに感染した場合、セキュリティソフトはどのように対応するのか。これを防ぐ方法はあるのだろうか?

さまざまなシチュエーションで利用され
脅威にさらされる企業パソコン

近年では有線や無線のLAN環境が広まり、社内のどこからでもネットワークに接続できる自由性を生み出している。また、インターネットVPNにより、社内ネットワークへ外部から接続しての業務なども行われるようになってきた。こうした技術の普及により、いつでもどこからでも快適なネットワーク接続ができるというユビキタス環境が整い、その高い利便性がビジネススタイルの変化と業務効率向上などへ貢献している。

しかし一方で、便利さと背中合わせに危険も増加している。自宅のパソコンや持ち運びの営業用ノートパソコンが社内ネットワークに接続できることは、そうしたパソコンからウイルスやワームが感染する危険性、あるいは「なりすまし」による不正アクセスなどの危険性をはらんでいるのだ。社内ではセキュリティが守られているパソコンでも、そこから営業先へ持ち出された場合までは保護も及ばず、社内ネットワークに戻って接続した場合、企業内のマシン全体に危険が拡大することもある。

その典型的な被害の一例が、2003年夏に猛威をふるった「MS Blaster」だ。このMS Blasterは、ノートパソコンなどのクライアントがインターネットに接続しただけで、利用者はメールチェックなど何もせずに感染してしまうネットワークウイルスの代表例である。最新のセキュリティパッチを適用していれば防げたが、実際にはパッチ未適用の持ち込みノートパソコンから被害が拡大した件が多く、パッチやパターンファイルの適用の重要さと管理の必要性が当時は浮き彫りになったのだ。

では、どうすれば良いのだろうか。海外旅行などで帰国した際、病気に感染していないかどうかを空港や港でチェックすることによって国内に伝染病などが持ち込まれるのを水際で防ぐことを「検疫」というが、ネットワークにおいてもこのようなウイルスの感染や不正アクセスなどを水際で防ぐ必要がある。つまり、ネットワークに接続しようとするパソコンをチェックして、セキュリティポリシーに適合したパソコンのみをネットワークに接続させ、それ以外の不適合なパソコンは接続させないというやり方だ。このネットワークの検疫を行うシステムを、「検疫ネットワーク」と呼んでいる。

検疫ネットワークの概念図

検疫ネットワーク3つのシステム「隔離」「検査」「治癒」

検疫ネットワークのシステムは「隔離」「検査」「治癒」の3つのフェーズに分かれている。社内ネットワークに接続してくるパソコンを一時的に退避させておくのが「隔離」、次にセキュリティ設定の問題を調べるのが「検査」、そしてウイルス対策やパッチ管理などパソコンのぜい弱性を修正するのが「治癒」だ。これらの3機能を1つの製品として提供しているケースや、それぞれ別の製品としているケースなど、検疫ネットワークの提供形態はさまざまだ。

隔離

ノートパソコンなどが社内ネットワークへ接続しようとした際、それを他のパソコンとは通信できない仮想的な隔離セグメントに誘導することを指す。隔離セグメントでは、独立した検疫用サーバとのみ通信して処理を行う。

最近はゼロデイ攻撃に象徴されるように、ウイルスの拡散スピードが格段に上がっているので、OSのセキュリティパッチの最新性、ウイルスパターンファイルの最新性などの検査を入念に行う必要がある。持ち込まれたノートパソコンだけではなく、登録されている社内のパソコンも含めたすべてを検査対象とすることが欠かせない。

検査

一時的に隔離されたパソコンの正当性の検査を行う。代表的なチェック項目(検疫ポリシー)は次の通りだ。

  • ・あらかじめ登録され、許可されたパソコンか
  • ・ウイルス対策ソフトはインストールされているか
  • ・ウイルス定義ファイルは最新か
  • ・OSのセキュリティパッチは最新か
  • ・不適切なソフトウェアは起動していないか

これらのチェックを行い、検疫ポリシーを満たしたパソコンのみネットワーク接続を許可する。チェックで問題のあったパソコンについては、さらに治癒を行う。なお、検疫ポリシーは運用ごとに異なるため、ポリシーの定義は柔軟に拡張・変更できるものが一般的だ。

治癒

セキュリティの危険性があった場合、OSのセキュリティパッチやウイルス定義ファイルを更新して問題のあるパソコンをアップデートし、問題を解決する。この治癒が完了した後に再び検査を実施し、問題がなくなったことを確認できれば、社内ネットワークへの接続を許可する。

検疫ネットワークだけではない
セキュリティレベルを高く保つには

検疫ネットワークは単一の製品だけで構築できるものではなく、複数の製品を組み合わせたソリューションとして提供されることが多い。また、社内ネットワークおよびネットワーク上に保管してある情報資産を守る上では非常に有効な手段だが、クライアント単体でのパソコン自身を守る製品やログ収集・解析製品など、他のセキュリティ対策と組み合わせてこそ効果が発揮される。

統合的なセキュリティ対策とは、ウイルス対策だけ、不正侵入防御だけ、そして検疫ネットワークだけを導入して完成ではない。セキュリティ対策にゴールはない。脅威の被害と影響力の大きさをよく理解し、それについてのセキュリティ対策の優先度をつけ、統合的に対策することが何より大切となる。

社内ネットワークのセキュリティを高めるのは、このようにシステム管理者などがトータルで対策を講じる必要があるが、社員それぞれもセキュリティを常に意識し、自身で対策をきちんと行うことも重要である。個人でも気を付け、行うべき主なセキュリティ対策を以下に記したので、まずはこれらをしっかりと実行したい。

  • ・WindowsやInternet Explorerのセキュリティパッチ適用(Windows Updateの実行)
  • ・ウイルス対策ソフトのインストールと定義ファイルの更新
  • ・パーソナルファイアウォールの設定
  • ・Windowsログオン時のパスワードの設定と定期的な変更
  • ・「Winny」などのファイル交換ソフトをインストールしない
  • ・社内で決められたソフトウェアのみを利用

(掲載:2008年3月)

関連リンク

企業のITセキュリティ講座