− 第5回 −

内外からの不正侵入のメカニズムと
その防止策その3 アクセスコントロール
ポリシーに合わせたアクセス制御で社内情報の不正利用や漏えいを防止

検疫ネットワークで持ち込みPCなど端末のセキュリティをチェック

　こうしたユーザーレベルでのアクセス制御に加え、端末レベルのセキュリティ強化も重要になっています。近年は、ユーザーの持ち込みPCによる社内ネットワークのウイルス感染も数多く報告されており、情報漏えい防止やウイルス感染防止の観点からPCの持ち出し、持ち込みを禁ずる企業もあります。「触らぬ神に祟りなし」ではありませんが、セキュリティポリシーとしてPCの持ち出し、持ち込みを禁止してセキュリティを保護する考え方は理解できるものの、「社外でPCを利用できなければ仕事にならない」という営業担当者の声も聞こえてきます。

　そのため、社外からの持ち込みPCなど、社内ネットワークへの接続時に端末のセキュリティ状態をチェックし、アクセスの可否やOSのセキュリティパッチ適用などをコントロールする「検疫ネットワーク」が注目されています。

　これまで企業のセキュリティ対策は、ファイアウォールにしても、ウイルス対策にしても社内ネットワークと外部のネットワーク（インターネット）の出入り口となるゲートウェイで防御する形態が一般的でした。

　この方法は、ネットワーク経由での不正侵入に対して効果的なものの、持ち込みPCのようにゲートウェイを介さず、物理的に社内ネットワークに接続されてしまう場合には無力です。こうした問題を解決する手段となるのが、検疫ネットワークというわけです。

　検疫の仕組みは、社内ネットワークに接続する端末がウイルスに感染していないか、最新のセキュリティパッチやウイルス対策の定義ファイルが更新されているか、といった端末のセキュリティ状態をチェックするというものです。ポリシーに合致している端末は社内ネットワークへの接続を許可し、ポリシーに合致しない端末は接続を拒否する、あるいは一旦隔離して最新セキュリティパッチや定義ファイルを更新後、接続を許可するといった制御をします。

検疫ネットワークとIT資産管理ツールなど、複数のシステムの組み合わせでセキュリティを強化

　検疫するためには、社内ネットワーク接続時に端末を検疫ネットワークに振り分ける必要があります。その方法のひとつに認証スイッチを使うものがあります。これは検疫サーバの認証結果に基づいて、チェックに合格した端末のポートを社内ネットワークへ切り替えて接続する仕組みです。認証スイッチがMACアドレスなどで端末の登録の有無を判別し、未登録の端末は接続を拒否したり、検疫ネットワークに接続してセキュリティ状態をチェックします。

　また、DHCPサーバを用いて検疫ネットワークへ端末を振り分ける方法もあります。これはDHCPサーバが一旦、各端末に検疫ネットワークに接続するIP アドレスを割り当てて検疫サーバでチェックし、チェックに合格した後、社内ネットワークに接続するIPアドレスを再度割り当てることで安全性を確保するというものです。

　 このほかにも、パーソナルファイアウォールと検疫ネットワークを組み合わせて端末のセキュリティ状態をチェックする方法など、さまざまな検疫ネットワークが提案されています。

　持ち込みPCに限らず、システム管理者にとってエンドポイントの端末のセキュリティパッチや定義ファイルをいかに迅速・確実に更新するかが大きな課題といえます。更新はエンドユーザー任せというケースも多々ありますが、更新の不徹底がウイルス感染の被害を招くことにもなりかねず対策が必要とされています。

　検疫ネットワークでは、端末やサーバのOS、アプリケーションの種類、バージョンを管理し、ソフトウェアの自動配布が可能なIT資産管理ツールと連動して最新のセキュリティパッチを強制的に適用する、ウイルス対策ソフトと連動して最新の定義ファイルを自動的に更新するなどの仕組みが用意されており、エンドポイントのセキュリティ強化を可能にしています。

　正社員や派遣社員、あるいは取引先に常駐する社員など雇用形態や勤務形態が多様化する今日、ユーザーの権限に応じた適切なアクセスコントロールが必要とされています。それとともに、セキュリティパッチの適用などポリシーの徹底を自動化して、ウイルス感染や不正侵入を防御する仕組みが欠かせないものとなっているのです。

次のページ「セキュリティ・トリビア」では、情報セキュリティに関する様々な雑学やトリビアネタを紹介します。また、あなたのとっておきのトリビアが採用されると、図書券がもらえます！ぜひ投稿してください。