営業員などが出先で使って社内に持ち込むノートPC。そこから社内にウイルスをばらまいてしまうケースが増えている。そこで必要になるのが,疑わしいノートPCを隔離する仕組み。アンチウイルス・ソフトのパターン・ファイルのバージョンなどをチェックし,危ないPCに対してはアクセスできる範囲を動的に制御する。ベンダー各社が製品提供に向け,一斉に動き始めた。

(河井 保博)

表1●持ち込みノートPCからのウイルス侵入を防ぐためのベンダー各社の最近の取り組み
図1●社内ネットに接続しようとするノートPCを,接続前に検疫する
米シスコ・システムズは,アクセス制御機能「ネットワーク・アドミッション・コントロール(NAC)」をルーターやLANスイッチ,無線LANのアクセス・ポイントなどに実装する。LANスイッチのNAC機能を生かせば,検疫の仕組みを実現できる。セキュリティが甘いノートPCを社内に持ち込まれLANに接続されても,社内ネットワークにウイルスなどの被害を及ぼさずに済む。
図2●アクセス制御機能はさまざまなネットワーク機器に実装される
社内LANの各セグメントのほか,本社と拠点を結ぶVPN,無線LAN,リモート・アクセスなど,ウイルスはどこから入り込むか分からない。このため,各種ネットワーク機器にアクセス制御機能が必要になる。
 アンチウイルス・ソフトのパターン・ファイルが最新版に更新されていないなど,社内のセキュリティ・ポリシーに合わないPCを自動的に検出し,社内ネットワークから隔離する――。こうした環境の実現に向けて,ネットワーク機器ベンダーやセキュリティ・ベンダーが製品を投入し始めた。

“疑わしき”を排除し感染の芽を摘む

 各社が目指しているのは,ネットワーク自身が“異物”を検知して,排除する“自己防衛”の仕組み。特に,「多くのユーザーが今手を焼いている社外から持ち込まれるノートPCのウイルス対策を意識している」(日本ネットワークアソシエイツの技術本部長である加藤 義宏氏)。

 ノートPCは,常にネットワークにつながっているわけではないため,パターン・ファイルが最新かどうか疑わしい。加えて,自宅や無線LANアクセス・サービスなど,社内LANに比べてセキュリティが弱いネットワーク環境で使う機会があり,ウイルス感染のリスクも高い。不用意にLANに接続させると,「社内にウイルスをまん延させかねない」(ソニックウォールのシステム エンジニアリング マネージャである寺前 滋人氏)。

 実際,MSブラスターをはじめ,最近は持ち込んだノートPCから社内にウイルスが侵入し,被害に遭う企業が目立っている。

シスコ,NAIなど大手ベンダーが対策

 米シスコ・システムズは11月,「ネットワーク・アドミッション・コントロール」(NAC)というアクセス制御技術を,同社製品に実装する計画を明らかにした(表1[拡大表示])。2004年半ばにも,ルーター製品に実装し,順次LANスイッチや無線LANのアクセス・ポイントにも搭載していく。

 NACは,PCのパターン・ファイル適用状況などをチェックし,最新のパターン・ファイルが適用されていないPCを隔離する技術。持ち込んだPCと同一LANセグメント上にあるPCの防御は難しいが,被害はそのセグメントだけで食い止められる(図1[拡大表示])。

 米ネットワーク・アソシエイツ(NAI)も11月,「McAfee Trusted Connection」(MTC)と呼ぶ戦略を打ち出した。複数のネットワーク機器ベンダーと共同でソリューションを提供する。すでに,イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズ,カナダのノーテル・ネットワークスが対応製品を提供中。シスコもMTC戦略のパートナの1社である。シスコにとっては,NAIはNACプログラムのパートナの位置付けだ。

 国内では,ソニックウォールが11月,「ネットワークアンチウイルス」機能を搭載したファイアウォール製品を発売した。米国では2000年から提供している。国内ではサポート体制が整わず提供を見合わせていたが,日本ネットワークアソシエイツによるユーザー支援の協力体制を整え,販売を始めた。

 マクニカも12月,米サイゲート・テクノロジーズの「Sygate Secure Enterprise」(SSE)を発売した。パーソナル・ファイアウォールとアクセス制御用のゲートウエイ・ソフトからなるアクセス制御ツールである。

リモート接続向けだけでは不十分

 これまで,ノキアのSSL-VPN装置「Secure Access System」,チェック・ポイントの「FireWall-1/VPN-1」,ノーテルのVPN装置「Contivity」など,インターネットVPNを介して社内にリモート・アクセスするPCのウイルス対策をチェックする製品はあった。

 しかし,今問題になっているのは,社外から持ち込んで社内につなぐノートPC。「対策としては,リモート接続されるPC向けだけでは不十分だ」(NAIの加藤技術本部長)。

 このためシスコやNAIは,VPN装置と同時に,LAN機器への対応を進めている(図2[拡大表示])。ソニックウォールの複数セグメント対応機種「SonicWALL TZ170」や,アクセス制御専用ゲートウエイを設置するサイゲートのSSEも,物理的に分かれたLANセグメント間のアクセス制御を実現できる。

ネットがアクセス権限を動的に変更

 仕組みはどのベンダーの手法もほぼ同じだ。

 まず,ファイアウォールやルーター,LANスイッチなどのネットワーク機器が,社内システムへの接続要求を送ってきたPCが安全かどうかをチェックする。通信要求をいったん保留し,そのPCに対して,アンチウイルス・ソフトの有無やパターン・ファイルのバージョンなどの情報を要求する。

 ノートPCには,ネットワーク機器からの問い合わせを受けてセキュリティ情報を返すエージェント・ソフトをあらかじめ搭載しておく。このエージェントが,アンチウイルス・ソフトなどと連携し,パターン・ファイルのバージョンなどの情報を収集。ネットワーク機器に応答を返す。

 ネットワーク機器側は,この応答をポリシー・サーバーに転送。パターン・ファイルが最新版かどうかなど,社内のセキュリティ・ポリシーと照合する。ポリシーに合っていない場合は,ポリシー・サーバーがネットワーク機器のアクセス制御リスト(ACL)を動的に書き換え,通信を制限する。PCにアンチウイルス・ソフトやエージェントが搭載されていない場合でも,ネットワーク機器への応答がないことから,通信を制限できる。

VLANによる“検疫セグメント”も

 シスコのようにLANスイッチにチェック機能を搭載すると,バーチャルLAN(VLAN)機能を使って,ポリシー・サーバーにしか接続できないような“検疫セグメント”も構築できる。最初のアクセス時は,IEEE802.1xのポート認証機能を使って検疫用のVLANを割り当てる。

 その後,安全性を確かめられたら社内ネットワークに接続できるVLANを割り当て,安全でないと見なした場合はパターン・ファイルを管理するサーバーにしか接続できないなど制限付きのVLANを割り当てる。

エージェントをアンチウイルスに合体

 ただし,こうしたアクセス制御機能をLAN環境に導入するのはそれほど簡単ではない。問題はPCにエージェントを搭載しなければならない点。リモート接続と違って,LANに接続するPCには特別なクライアント・ソフトは必要ないからだ。

 そこで,対策の実効性を上げるため,ベンダー各社は工夫を凝らす。

 シスコは,NAC対応エージェント・ソフト「Cisco Trust Agent」のインストールを強いるのは難しいと判断。NAIのほか,米シマンテック,トレンドマイクロに,Trust Agentをライセンス供与し,各社のアンチウイルス製品に組み込んで提供する形態を採用した。企業は,導入済みのシスコ製機器とアンチウイルス・ソフトをバージョンアップするだけでNAC機能を利用できる。

 一方NAIは,ポリシー・サーバー「ePolicy Orchestrator」(ePO)の機能強化を進める。ePOは,社内の各PCにエージェント・ソフトを組み込んで,レジストリからOSの種類やバージョン,サービス・パックのレベルなどの情報を収集し,管理する機能がある。次期版では,このエージェントを強化し,パターン・ファイルのバージョンなども取得できるようにする。ePOを導入済みの企業は,ソフトを追加することなく,LANに接続したPCからのアクセスを制限できる。

出典:2004年1月号 59ページ
記事は執筆時の情報に基づいており、現在では異なる場合があります。