※クリックで拡大

図2 検疫ネットワーク

　ウイルス／ワーム対策という名の下で、しばしば名前が挙がるのが「検疫ネットワーク」だ。検疫ネットワークとは、PCがウイルスに感染していたり重大なセキュリティホールを残したままになっていないかを検査し安全を確認するための、社内LANから独立した検査用ネットワークのことである。

　検疫ネットワークのモデルを図2に示した。社外から持ち込んだPCは、社内LANに接続する前に検疫ネットワークに接続される。そこで、ウイルスやワームへの感染・セキュリティパッチの適用状況・ウイルス対策ソフトのパターンファイルの適用状況を検査し（1）、その検査に合格すると社内LANへの接続が許可される。検査結果が不合格だった場合、そのPCはセキュリティパッチの適用やパターンファイルのアップデートを行ったりして、検査に合格するところまでセキュリティレベルを引き上げる（2）。その後、持ち込みPCの検査を再び行い、合格すれば社内LANへの接続を許可する（3）。

表1　検疫ネットワークの主な実現方式

　この検疫ネットワークには、決まった方式というものはない。

　たとえば、接続先に検疫ネットワークか社内LANかを切り替える方式として、「DHCP方式」「パーソナルファイアウォール方式」「認証スイッチ方式」「ゲートウェイ方式」などがある（表1）。ウイルス／ワームの侵入を水際で防ぐという点で検疫ネットワークは効果的に機能するが、実際に導入・運用していくうえで考慮すべき点は多々ある。

　まず検疫ネットワークを導入する前に、現状のネットワーク構成やセキュリティポリシー、導入後の運用方法を固めておく必要がある。特に、セキュリティポリシーと運用方法は、社内ネットワークの現状を踏まえたうえで決めなければならない。

　例を挙げると、社内で利用するアプリケーションの動作環境の都合で最新のセキュリティパッチが適用できない、というのはよくある話である。だが、このことを踏まえずに、最新のセキュリティパッチを適用するポリシーで検疫ネットワークを運用していると、持ち込んだPCが無条件に隔離されてしまったり、セキュリティパッチが適用されることで業務に支障が出るかもしれない。 　加えて、検疫ネットワークセグメントを増設したり、検疫ネットワークと社内LANの切り替えを行うネットワーク機器を新たに導入する必要性が出てくるなど、費用的な面も含めて簡単に導入するのは難しい。


　また、検疫ネットワークだけでは未知の脆弱性に対応することが困難な点もある。脆弱性の発見からウイルス／ワームの情報が公開されるまでの期間が短くなっている現状では、検査用ソフトが持ち込みPCからすべてのウイルス／ワームを検出できるとはかぎらない。また0dayアタックについても、検疫ネットワークでは対応しきれない。

　検疫ネットワークは、企業内ネットワークのセキュリティレベルを上げる1つのソリューションである。それゆえ、検疫ネットワークさえ導入すれば大丈夫というものではないし、導入後もPDCAサイクルに沿った運用体制の見直しが必要になる。ほかのウイルス／ワーム対策ソリューションと併用しながら、企業内ネットワークのセキュリティを向上させていくのがよいだろう。

嶋倉　茜 ラック　SNS事業本部 2001年ラック入社以来、さまざまな部署で業務を行いながらも、一貫して脆弱性に関する調査に従事している。現在はSNS事業本部に所属。