検疫の現実解、次世代検疫ネットワークの違いと重要性
ブロードバンド
セキュリティ
注目記事
/
当時、期待感が先行し、諸事情(後述)から普及には至らなかった検疫ネットワークだが、ITコンシューマライゼーションによって、スマートフォンやタブレットPC等多種多様なデバイスが企業ネットワーク環境で陰に陽に利用される昨今、再び評価を受けるに至っている。
ソフトバンク・テクノロジー株式会社 クラウドソリューション事業部 プラットフォーム技術本部の久保祐人氏による本寄稿記事は、次世代検疫ネットワーク製品の技術資料を根拠に、従来の検疫ネットワークの問題点や、次世代製品の特徴を眺めながら、ITコンシューマ化の企業ネットワークに必要とされる、現実的に使える検疫ネットワークの可能性を考察する。
--
●検疫の概要
検疫とは、PC/スマートフォンなどのIP端末がネットワークへ接続する際に、アンチウイルスやWindowsアップデートによるパッチが適用されているかどうかを確認し、社内リソースへの接続を制御(コントロール)するソリューションです。
2005~2006年頃アンチウイルスのアップデートがされていないPC端末からワームが社内で拡散し話題になりましたが、当時のソリューションでは技術的にも要件的にも導入が難しかったため、日本では検疫ネットワークは普及しませんでした。
近年、スマートフォンやタブレット端末、VPNの一般化によるセキュリティ要求によって、検疫ネットワークが再評価されています。
本資料では「次世代検疫」として、現実的な導入形態と高機能化した検疫システムとして、海外でも10万端末超の大規模組織への実績の多いForeScout社のCounterACTの機能を技術面から紹介します。
●検疫の重要性
「水飲み場攻撃等の正規サイトでの感染」「パスワード付きZIPファイルによる危険なメールからの感染」等々、高度化したサイバー攻撃や、標的型攻撃のほとんどは、既知の脆弱性を利用しており、パッチ適用、定義ファイルのアップデートの重要性が増しています。
そのためには、社内ネットワーク上にある全端末をリアルタイムで可視化し、アップデートやパッチ適用等の管理が重要になります。また、会社が許可していない端末の検知や、Mac、Linux、iOS、Androidも、Windows同様に漏れなく管理する必要があります。
●従来の検疫ネットワークの課題
従来の検疫ネットワークは、証明書や802.1x対応の認証スイッチや認証ゲートウェイを設置し、ポリシーに合わない端末のネットワークへの接続を遮断する方法と、端末へインストールしたエージェントが検疫を検知すると「検疫サーバ」からセグメントごとに設置されたセンサーへ指示を出し、ARPテーブルを書き換えることで遮断する、大きくわけてふたつの方式がありましたが、前者はネットワーク設計が複雑になる問題が、後者はARPの書き換えであるため、ブロック単位しか対応できない問題点がありました。
従来の検疫ネットワークが普及しなかった理由として、「すべて同一メーカーの製品であるベンダーロック」「認証スイッチの導入など、ネットワーク構成変更の必要」「セグメントごとの機器設置」「クライアントへのエージェントのインストール」「Mac/Linuxの非対応」など、多数の阻害要因が存在しました。
●次世代検疫ネットワーク
それに対して、ForeScout社のCounterACT等に代表される次世代検疫ネットワーク製品は、「他社製品と連携するベンダーロックフリー」「ネットワーク構成に影響を与えない」「セグメントにしばられない」「エージェントレス」「Mac/Linuxが検疫対象」「スマートフォン、タブレットもPC同様に検疫可能」「MACアドレスだけでなくPCのプロセスを条件に検疫実施」などの特徴を持っています。
次世代検疫ネットワークは、導入効果として、「社内ネットワークのセキュリティ強化」「会社管理外の端末を確実に検知/排除」「会社管理端末のOSアップデートとパッチ適用」「会社指定の端末のアプリケーションの許可と禁止」「端末のUSBフラッシュメモリなど外付けデバイスの使用禁止」「許可しない無線LANアクセスポイントの発見と排除」などが得られます。
《久保祐人 ソフトバンク・テクノロジー株式会社@ScanNetSecurity》
特集
この記事の写真
/
