本記事はNETWORK Guide 2006 Summerより転載したものです。執筆者の肩書きや内容などは当時のものとなります。

　前回は検疫ネットワーク導入時の問題点や考慮するポイントを紹介したが、今回は導入後の運用管理とユーザーの操作性に関して紹介する。検疫ネットワークにおいて一番考慮しなくてはならないのが、実はこの運用管理なのである。

　通常のネットワークの初期段階では、ほとんどの場合サポートが不要であった。しかし、検疫ネットワークでは、検疫の結果によってネットワークに接続できないユーザーが出てくるので状況が異なる。パッチファイルの適用方法やユーザーの操作性を十分に検討しないまま導入した場合には、導入前に比べて管理負荷が大幅に増えてしまう恐れもあるので注意が必要だ。


　検疫ネットワークは「検査」、「隔離」、「治療」の3つの機能から構成される。この中で「検査」と「隔離」については、DHCP方式や認証スイッチ方式など、さまざまな製品やソリューションが提供されている。「治療」機能については特別な製品があるわけではなく、既存のパッチ配布サーバなどと連携させることで実現されるものである。

　基本的には検疫をパスしなかったPCは、VLANやアクセスコントロールにより、SUSサーバ（注1)やウイルスパターンファイルの配布サーバへのみ接続可能な環境に置かれ、アップデートが行われる。このとき、業務LANのSUSサーバや配布サーバと共用すれば、これまでどおりにインターネット経由で自動的にパッチファイルを取得してPCに配布できるが、セキュリティ上検疫LANから業務LANへのアクセスを禁止している場合には、別の配置を行う必要が出てくる。

　また、資産管理サーバのソフトウェア配布機能により「治療」を行う場合には、配布対象とするセキュリティパッチやパターンファイルを配布サーバ（資産管理サーバ）が自動的に取得する仕組みが必要となる（図1）。

図1 治療サーバの役割
治療サーバ自体もウイルス対策サーバからウイルスパターンを、パッチ管理サーバからセキュリティパッチファイルを受け取らなければならない。

　「治療」の方法には、自動的（強制的）にパッチなどを適用する「自動治療」とユーザーがパッチの内容を確認して手動で適用する「手動治療」がある。一般的に「手動治療」の検疫システムが多く紹介されているが、可能であれば全PCのセキュリティポリシーを統一できる「自動治療」のほうがポリシー管理は容易になる。ただし、「自動治療」は強制的に一括でパッチ配布できるものの、検疫対象クライアントに配布するファイルを同一にしなければならないケースもあるので注意が必要である。つまり、パターンファイルは常に最新版を配布すればよいが、セキュリティパッチの適用が一様でない場合などにはそもそも利用できない。また、再起動が必要なセキュリティパッチを複数適用した場合に、再起動を繰り返さないようすべてのファイルを配布するまで再起動しない設定をする必要もある。

---

(注1)SUS サーバ
Microsoft Software UpdateServicesの略。Windowsのパッチアップデートなどを行うサービス。2006年末にはサポート終了予定で、WSUS（WindowsServer Update Services）へ統合される。