検疫の現実解、次世代検疫ネットワークの違いと重要性

アンチウイルスソフトがインストールされていないノートPCや、最新のパッチが適用されていないような端末を、社内ネットワークに接続できないようにすることで、ワームやウイルスなどの拡散を防ぐ検疫ネットワーク製品は、2004年秋頃に紹介され大きい注目を受けた。

当時、期待感が先行し、諸事情(後述)から普及には至らなかった検疫ネットワークだが、ITコンシューマライゼーションによって、スマートフォンやタブレットPC等多種多様なデバイスが企業ネットワーク環境で陰に陽に利用される昨今、再び評価を受けるに至っている。

ソフトバンク・テクノロジー株式会社クラウドソリューション事業部プラットフォーム技術本部の久保祐人氏による本寄稿記事は、次世代検疫ネットワーク製品の技術資料を根拠に、従来の検疫ネットワークの問題点や、次世代製品の特徴を眺めながら、ITコンシューマ化の企業ネットワークに必要とされる、現実的に使える検疫ネットワークの可能性を考察する。

技術資料「検疫ネットワークの現実解」
https://archives.netsecurity.ne.jp/a.p/112/
--

●検疫の概要

検疫とは、PC／スマートフォンなどのIP端末がネットワークへ接続する際に、アンチウイルスやWindowsアップデートによるパッチが適用されているかどうかを確認し、社内リソースへの接続を制御(コントロール)するソリューションです。

2005～2006年頃アンチウイルスのアップデートがされていないPC端末からワームが社内で拡散し話題になりましたが、当時のソリューションでは技術的にも要件的にも導入が難しかったため、日本では検疫ネットワークは普及しませんでした。

近年、スマートフォンやタブレット端末、VPNの一般化によるセキュリティ要求によって、検疫ネットワークが再評価されています。

本資料では「次世代検疫」として、現実的な導入形態と高機能化した検疫システムとして、海外でも10万端末超の大規模組織への実績の多いForeScout社のCounterACTの機能を技術面から紹介します。

●検疫の重要性

「水飲み場攻撃等の正規サイトでの感染」「パスワード付きZIPファイルによる危険なメールからの感染」等々、高度化したサイバー攻撃や、標的型攻撃のほとんどは、既知の脆弱性を利用しており、パッチ適用、定義ファイルのアップデートの重要性が増しています。

そのためには、社内ネットワーク上にある全端末をリアルタイムで可視化し、アップデートやパッチ適用等の管理が重要になります。また、会社が許可していない端末の検知や、Mac、Linux、iOS、Androidも、Windows同様に漏れなく管理する必要があります。

●従来の検疫ネットワークの課題

従来の検疫ネットワークは、証明書や802.1x対応の認証スイッチや認証ゲートウェイを設置し、ポリシーに合わない端末のネットワークへの接続を遮断する方法と、端末へインストールしたエージェントが検疫を検知すると「検疫サーバ」からセグメントごとに設置されたセンサーへ指示を出し、ARPテーブルを書き換えることで遮断する、大きくわけてふたつの方式がありましたが、前者はネットワーク設計が複雑になる問題が、後者はARPの書き換えであるため、ブロック単位しか対応できない問題点がありました。

従来の検疫ネットワークが普及しなかった理由として、「すべて同一メーカーの製品であるベンダーロック」「認証スイッチの導入など、ネットワーク構成変更の必要」「セグメントごとの機器設置」「クライアントへのエージェントのインストール」「Mac／Linuxの非対応」など、多数の阻害要因が存在しました。

●次世代検疫ネットワーク

それに対して、ForeScout社のCounterACT等に代表される次世代検疫ネットワーク製品は、「他社製品と連携するベンダーロックフリー」「ネットワーク構成に影響を与えない」「セグメントにしばられない」「エージェントレス」「Mac／Linuxが検疫対象」「スマートフォン、タブレットもPC同様に検疫可能」「MACアドレスだけでなくPCのプロセスを条件に検疫実施」などの特徴を持っています。

次世代検疫ネットワークは、導入効果として、「社内ネットワークのセキュリティ強化」「会社管理外の端末を確実に検知／排除」「会社管理端末のOSアップデートとパッチ適用」「会社指定の端末のアプリケーションの許可と禁止」「端末のUSBフラッシュメモリなど外付けデバイスの使用禁止」「許可しない無線LANアクセスポイントの発見と排除」などが得られます。

技術資料「検疫ネットワークの現実解」
https://archives.netsecurity.ne.jp/a.p/112/