ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2008/07/30 掲載

検疫ネットワークとは(3)導入後の運用管理とユーザーの操作性(2/2)

NETWORK Guide 2006 Summerより

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。

ログイン時のユーザーサポート

 一般的に検疫ネットワークでは、通常のネットワークログイン時よりも時間がかかる。この状況をユーザーが把握し、どのようなパッチの適用やパターンファイルの更新、ファイアウォールの有効化などを行えばよいのか誘導してくれるインタフェースが必要になる。

 たとえば、「治療」が完了したPCは再度検疫を受けるための再起動が必要である。そのため検疫終了時に強制的に再起動させるか、ユーザー側へ再起動を促す分かりやすい指示がなされなければユーザーはとまどうものである。そのたびに管理者が呼ばれれば、新たな負担増につながりかねない。また、資産管理ソフトやパーソナルファイアウォールを利用したエージェントタイプの検疫ネットワークでは、エージェント自体をPCにインストールできないケース、インストール後にPCのパフォーマンスが大幅に下落するケースなど、PC固有の問題が発生する場合がある。このように実際に検疫ネットワークを導入してみると、思いがけないところでつまずくことがある。いずれにしても経験豊富なインテグレーターに相談し、実績のある製品の選択をおすすめする。

OSや機器を選ばない「脆弱性スキャナ方式」検疫ネットワーク

 上述のエージェントに関する問題の対策として、また隔離された特定用途向けのネットワークなどクライアントの管理ができない環境において、ActiveXやIPSを利用したエージェントレスタイプの「脆弱性スキャナ方式」検疫ネットワークが提供されている。最近ではLinuxやMacOSといったWindows以外のOSやPDA機器などへも対応が進み、よりいっそう使い勝手が向上している。

 この脆弱性スキャナは、文字通りシステムの脆弱性をスキャニングするツールであり、この脆弱性スキャナと認証スイッチを連携させる検疫ネットワークでは、クライアントに対してエージェントのインストールが不要となるため、Windows以外のOSへの対応も可能となるのである。

 脆弱性スキャナとしてはオープンソースソフトウェアであった「Nessus」が有名であるが、最近では検疫機能を持ったアプライアンス製品も提供されはじめており、各社の認証スイッチと連携することも可能である。この方式での検疫ネットワークの特徴は、PCやサーバだけでなくPDAやIP電話、プリンタといったネットワーク機器全般を検疫の対象とできること、従来の検疫における「検査」よりも細かい定義が可能となることである。

 ここでは、Enterasys社のTrusted End System(TES)を使って、脆弱性スキャナ方式による検疫ネットワークがいかなるものかを紹介する(図2)

図2 Trusted End System の仕組み
図2 Trusted End System の仕組み


 TESは、認証スイッチ、脆弱性スキャナ、STAG(注2)、STAM(注3)、治療用Webサーバから構成され、ユーザーの認証時にポリシーを割り当てるというEnterasysの認証スイッチの機能(Secure Networks)を利用したものである。ポリシーの検疫フローは次のようになっている。

 まず、ユーザーが接続されると認証スイッチからの認証リクエストに応じてRADIUSがユーザー認証を行なう(1~4)。同時にSTAGは脆弱性スキャナに対してセキュリティの評価・査定を行うように命令を発行する(5)。このとき、クライアントには評価・査定用のポリシーが割り当てられ、脆弱性スキャナサーバへアクセス可能となる(6、7)。アクセスの結果得られたセキュリティ上の評価値はSTAGに通知され(8、9)、STAGはエンドシステムの再認証を強制的に行う。問題があればRADIUSサーバのFilter-IDを「Quarantine(隔離)」に設定する(10)。

 このTESの結果は、ブラウザにより容易に状況が把握できる。評価、隔離の各ポリシーをクライアントに割り当て、HTTPパケットのToSフィールドの値を書き換えてポリシーを設定することにより、修復用のWebサーバに結果が返され(11)、その状況に応じたページを表示するのである。

 検疫ネットワークが話題になりはじめてから3年ほど経っているが、当初はさまざまな制限が多くあり、実環境への導入は難しいとされていた。しかし、現在では50社を超える企業から関連製品やサービスが提供されており、運用面や利便性も考慮されたソリューションが多くなっている。今回取り上げた「脆弱性スキャナ」型もその一例である。

(注2)STAG
Sentinel Trusted Access Gatewayの略。RADIUSサーバおよび脆弱性スキャナと認証スイッチの間に配置され、認証要求を転送するプロキシ。

(注3)STAM
Sentinel Trusted Access Managerの略。SATGの設定・管理を行うマネージャ。

岡本 孝
アクシオ
企画室 室長
1985年、昭和電線電纜に入社。ネットワーク機器の開発・設計に従事。その後アクシオに出向し、プロダクトマーケティングを担当。数年前から無線LANを含む認証ネットワークにフォーカスし、最近では検疫ネットワークを紹介している。
(※肩書きは当時のものになります)

評価する

いいね!でぜひ著者を応援してください

  • 0

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 0

  • 0

  • 0

  • 0

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line

関連コンテンツ

日光ケミカルズが「ネットワーク運用」にメスを入れたワケ、IT部門はどう変わった?

富士通、Linuxコンテナで1秒以内に仮想ネットワークを自動構築する技術を開発

リモートワークで見えた限界…今こそ「脱VPN」すべき理由
関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample