検疫の現実解、次世代検疫ネットワークの違いと重要性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

検疫の現実解、次世代検疫ネットワークの違いと重要性

調査・レポート・白書 調査・ホワイトペーパー

アンチウイルスソフトがインストールされていないノートPCや、最新のパッチが適用されていないような端末を、社内ネットワークに接続できないようにすることで、ワームやウイルスなどの拡散を防ぐ検疫ネットワーク製品は、2004年秋頃に紹介され大きい注目を受けた。

当時、期待感が先行し、諸事情(後述)から普及には至らなかった検疫ネットワークだが、ITコンシューマライゼーションによって、スマートフォンやタブレットPC等多種多様なデバイスが企業ネットワーク環境で陰に陽に利用される昨今、再び評価を受けるに至っている。

ソフトバンク・テクノロジー株式会社 クラウドソリューション事業部 プラットフォーム技術本部の久保祐人氏による本寄稿記事は、次世代検疫ネットワーク製品の技術資料を根拠に、従来の検疫ネットワークの問題点や、次世代製品の特徴を眺めながら、ITコンシューマ化の企業ネットワークに必要とされる、現実的に使える検疫ネットワークの可能性を考察する。

技術資料「検疫ネットワークの現実解」
https://archives.netsecurity.ne.jp/a.p/112/

--

●検疫の概要

検疫とは、PC/スマートフォンなどのIP端末がネットワークへ接続する際に、アンチウイルスやWindowsアップデートによるパッチが適用されているかどうかを確認し、社内リソースへの接続を制御(コントロール)するソリューションです。

2005~2006年頃アンチウイルスのアップデートがされていないPC端末からワームが社内で拡散し話題になりましたが、当時のソリューションでは技術的にも要件的にも導入が難しかったため、日本では検疫ネットワークは普及しませんでした。

近年、スマートフォンやタブレット端末、VPNの一般化によるセキュリティ要求によって、検疫ネットワークが再評価されています。

本資料では「次世代検疫」として、現実的な導入形態と高機能化した検疫システムとして、海外でも10万端末超の大規模組織への実績の多いForeScout社のCounterACTの機能を技術面から紹介します。


●検疫の重要性

「水飲み場攻撃等の正規サイトでの感染」「パスワード付きZIPファイルによる危険なメールからの感染」等々、高度化したサイバー攻撃や、標的型攻撃のほとんどは、既知の脆弱性を利用しており、パッチ適用、定義ファイルのアップデートの重要性が増しています。

そのためには、社内ネットワーク上にある全端末をリアルタイムで可視化し、アップデートやパッチ適用等の管理が重要になります。また、会社が許可していない端末の検知や、Mac、Linux、iOS、Androidも、Windows同様に漏れなく管理する必要があります。


●従来の検疫ネットワークの課題

従来の検疫ネットワークは、証明書や802.1x対応の認証スイッチや認証ゲートウェイを設置し、ポリシーに合わない端末のネットワークへの接続を遮断する方法と、端末へインストールしたエージェントが検疫を検知すると「検疫サーバ」からセグメントごとに設置されたセンサーへ指示を出し、ARPテーブルを書き換えることで遮断する、大きくわけてふたつの方式がありましたが、前者はネットワーク設計が複雑になる問題が、後者はARPの書き換えであるため、ブロック単位しか対応できない問題点がありました。

従来の検疫ネットワークが普及しなかった理由として、「すべて同一メーカーの製品であるベンダーロック」「認証スイッチの導入など、ネットワーク構成変更の必要」「セグメントごとの機器設置」「クライアントへのエージェントのインストール」「Mac/Linuxの非対応」など、多数の阻害要因が存在しました。


●次世代検疫ネットワーク

それに対して、ForeScout社のCounterACT等に代表される次世代検疫ネットワーク製品は、「他社製品と連携するベンダーロックフリー」「ネットワーク構成に影響を与えない」「セグメントにしばられない」「エージェントレス」「Mac/Linuxが検疫対象」「スマートフォン、タブレットもPC同様に検疫可能」「MACアドレスだけでなくPCのプロセスを条件に検疫実施」などの特徴を持っています。

次世代検疫ネットワークは、導入効果として、「社内ネットワークのセキュリティ強化」「会社管理外の端末を確実に検知/排除」「会社管理端末のOSアップデートとパッチ適用」「会社指定の端末のアプリケーションの許可と禁止」「端末のUSBフラッシュメモリなど外付けデバイスの使用禁止」「許可しない無線LANアクセスポイントの発見と排除」などが得られます。

技術資料「検疫ネットワークの現実解」
https://archives.netsecurity.ne.jp/a.p/112/
《久保祐人 ソフトバンク・テクノロジー株式会社》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

調査・レポート・白書 カテゴリの人気記事 MONTHLY ランキング

  1. 最も多くパスワードに使われた日本人女性の名前

    最も多くパスワードに使われた日本人女性の名前

  2. 平日と土日で変わるサイバー攻撃傾向~フォーティネット調査

    平日と土日で変わるサイバー攻撃傾向~フォーティネット調査

  3. セキュリティ意識の高まりから長いパスワードが新たにランクイン、2015年版「最悪のパスワード」を発表(SplashData)

    セキュリティ意識の高まりから長いパスワードが新たにランクイン、2015年版「最悪のパスワード」を発表(SplashData)

  4. 「WannaCry」はビジネスを回復不能にする「DeOS型攻撃」の出現を示唆(シスコ)

  5. IoT機器への不正アクセスが目的と思われる、MQTTによる探索行為が増加(警察庁)

  6. 比較的少ない400ノードで毎秒75Gbpsという今期最強のDDoS攻撃を発生(アカマイ)

  7. 2016年の個人情報漏えい調査、件数の減少は小規模漏えいの非公表化か(JNSA)

  8. 3月の「Apache Struts」の脆弱性に最大1日40万件超の攻撃を検知(日本IBM)

  9. 「WannaCry」などのインシデントを防ぐには、アップデートと設定見直しが鍵(ラック)

  10. ウイルスに感染したIoT機器からの攻撃、メキシコでの大規模乗っ取りで急増(横浜国立大学、BBソフトサービス)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×