公衆無線LANの普及などにともない、外出先でノートパソコンを持ち出して仕事をする人が増えてきました。しかしパソコンのセキュリティ対策が不十分だと、インターネットからマルウェアに感染してしまうこともあります。そのようなパソコンをそのまま社内ネットワークに接続してしまうと、ネットワーク内にマルウェアが感染する恐れがあります。

そうならないために、社内ネットワークに接続する前に検査をして安全を確認することが有効です。そのような仕組みを「検疫ネットワークシステム」といいます。今回は検疫ネットワークシステムの仕組みやメリットについて紹介します。

検疫ネットワークシステムとは

検疫ネットワークシステムとはパソコンをネットワークに接続する際に、通常の認証に加えてセキュリティ上の問題がない事を確認して、問題がある場合にはネットワークへの接続を拒否したり、問題点を修正したりするシステムのことを言います。

セキュリティ上の問題点のチェック項目は以下のようなものです。

  • マルウェアに感染していないか
  • セキュリティ対策ソフトのパターンファイルは最新か
  • OSやソフトウェア修正パッチは適用されているか
  • 不要なアプリケーンがインストールされていないか

検疫ネットワークシステムではこれらの項目をチェックして、問題の無いパソコンのみを社内ネットワークへの接続を許可します。

検疫ネットワークシステムの仕組み

検疫ネットワークでは以下の3つの機能を使って社内ネットワークの安全性の確保とパソコンの問題点をチェックします。

1. 検査

社内ネットワークに接続しようとしているパソコンを、まず検査用ネットワークへ誘導します。そこでマルウェアの感染を調べ、セキュリティ対策ソフトやOSのパッチが最新のものであるかどうか検査します。もし問題点がなければ、社内ネットワークへ接続します。

2. 隔離

検査用ネットワークでパソコンをチェックしたのち、問題がある場合は、そのパソコンを隔離します。隔離されたパソコンのネットワークは社内ネットワークとは通信ができないネットワークです。隔離されたパソコンはそこで治療が行われます。

3. 治療

問題のあったパソコンに対して、治療用サーバーが問題の解決(治療)を行います。治療によってセキュリティ対策ソフトのパターンファイルやセキュリティパッチのアップデートなどが行われます。治療が完了すると再度検査が行われ、そこで問題がない状態であることを確認します。問題がなければ社内ネットワークへと接続を行います。

検疫ネットワークシステムのメリット

検疫ネットワークシステムを導入することで、社内ネットワークへのマルウェアの感染などを予防できます。さらにサイバー攻撃等による情報漏洩のリスクの低減につながります。

検疫ネットワークシステムでのチェックは不正な持ち込み端末でのアクセス防止にもつながります。これにより許可されたパソコンのみを認証して社内ネットワークへの接続させることもできます。

検疫ネットワークシステムの種類

検疫ネットワークシステムにてパソコンを検疫するための方式は大きく分類して4つあります。

1. DHCP方式

DHCP方式は検疫サーバーのDHCP機能を利用する方法です。DHCPとはネットワークに接続されたパソコンに対して動的にIPアドレスを割り当てる機能です。

DHCP方式ではまず検疫ネットワークへ接続するためのIPアドレスが割り当てられます。検疫ネットワークへ接続されたパソコンはそこで、検査・隔離・治療が行われて、問題が解決したら社内ネットワークに接続するためのIPアドレスを割り当てられて、社内ネットワークへと接続されます。

DHCP方式では認証スイッチを必要とせず、既存の機器を活用できるため比較的安価で導入できます。しかし固定IPアドレスをもつパソコンでは検疫を行うことができないという特徴があります。

2. 認証スイッチ方式

IEEE802.1X認証に対応しているスイッチを利用してユーザー認証を行った後に検疫を実施する方式です。ユーザー認証にクリアしたパソコンのみをネットワークに接続させるため、安全性が高い方式です。

スイッチのダイナミックVLAN機能を使うことで、安全性が確認されたパソコンは社内用VLANのへと接続し、問題があれば隔離用VLANへ接続して治療を行います。

3. パーソナル(クライアント)ファイアウォール方式

パーソナルファイアウォールとはパソコンにインストールするソフトウェアタイプのファイアウォールで、検疫サーバーと連携して動作します。パソコンをネットワークへと接続した時、まず検疫ネットワークのみに接続できるルールを設定し、パソコンを検査します。パソコンの安全性が確認されたら、社内ネットワークへとアクセスできるようにルールを変更します。

パーソナルファイアウォール方式の特徴として、ユーザー認証を行う事が出来ず、パソコンの設定でパーソナルファイアウォールを無効にしている場合、検疫を行うことができず、セキュリティが弱いという点があげられます。

4. ゲートウェイ方式

ネットワーク上に設置されるゲートウェイを使う方式です。リモートからのアクセス時にはVPN機器を使い、ローカル環境ではルータなどの機器を使います。

パソコンがゲートウェイを通過する際に、検疫済みかどうかを調べ、検疫済みであれば社内ネットワークへと接続し、未チェックであれば検疫ネットワークへと接続します。

ゲートウェイはネットワーク上の任意の場所に導入できるため柔軟性は高くなりますが、ゲートウェイまでネットワークは検査が行われないため、認証スイッチ方式ほどセキュリティは高くならないという特徴を持ちます。

検疫ネットワークシステムの注意点

検疫ネットワークシステムを導入する際に考慮すべき注意点を紹介します。

1. 完全に感染を防ぐことは難しい

検疫ネットワークシステムにより安全性が確認できないパソコンは隔離ネットワークへと誘導されるので、社内ネットワークは安全だと思うかもしれませんが、一概にそうとは言えません。

例えばマルウェアに感染していても、それに対する定義ファイルがリリースされていない「ゼロデイ攻撃」に対しては、検疫ネットワークシステムは有効に機能しません。このような場合、検疫ネットワークシステムに加えてIPSなどの導入も検討する必要があります。

またセキュリティ対策ソフトやOSの最新パッチを適用しようにも、業務で使用しているアプリケーションの動作環境の確認が取れず、適用したくてもできない状況も考えられます。このようなパソコンは検疫ネットワークシステムにより隔離されてしまい、業務で使うことができません。

2. 方式によってはコストがかかる

検疫ネットワークとして上記にて4つの方式を紹介しました。方式により必要となるコストは異なりますが、最もセキュリティ強度が高い認証スイッチ方式は他の方式と比べて高いコストが必要になります。

認証スイッチ方式では全ての機器をIEEE802.1Xや認証に対応させ、パソコンが接続するスイッチも全て認証スイッチにする必要があるからです。そのため導入にあたってはコスト面での負担も考慮する必要があります。

まとめ

BYOD(Bring Your Own Device)の普及やシャドーITなど私物のパソコンやスマートフォンなどを業務に利用するケースが増えてきてます。

例えば大手ゲームメーカーのセガでは個人所有のパソコンやスマートデバイスに対して社内ネットワークへの接続を許可するBYOD検疫運用・導入サービスを取り入れています。これはBYODの導入による業務効率の向上と、セキュリティ対策との両立を実現したソリューションの1つと言えるでしょう。

参照株式会社セガBYOD検疫導入・運用サービスを導入/ソフトバンク・テクノロジー株式会社

セガの例でわかるように、社内ネットワークへ接続されるデバイスの数や種類は増えつつあります。検疫ネットワークシステムは10年以上前から存在するセキュリティ対策の一つですが、未だ決して万能ではありません。これからも技術の発達や、環境の変化に伴い、検疫ネットワークシステムも形を変えて進化していくのだろうと予想されます。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?