ネットワークの脅威と対策を一から学ぼう
検疫からシンクライアントまで!情報漏えいを防ぐ製品
2009年10月14日 06時00分更新
PCの接続を管理する検疫ネットワーク
情報漏えい対策のアプローチの1つとして、不正なユーザーやコンピュータの利用を排除するという方法がある。これに加え、正当なユーザーやコンピュータであっても、利用できるサーバやアクセスできる情報をきちんとアクセス制御できると、情報漏えいへの耐性はさらに高くなる。これを実現するのが、「検疫ネットワーク」である。
検疫ネットワーク登場の背景には、持ち込みPCの脅威がある。企業では、情報システムが管理する企業のPCだけではなく、私物のPC(いわゆる持ち込みPC)の利用を許可していることが多い。こうした持ち込みPCを社内ネットワークに接続して、業務で利用するわけだ。
しかし、自宅などでウイルスやスパイウェアに感染したPCを会社に持ち込んだ場合、感染を企業内の他のPCにまで拡大してしまう可能性もある。しかも持ち込みPCの場合、ファイアウォールやIDS・IPS内部のLANに直接接続されてしまうため、事実上感染を個々のクライアントPCに搭載されたアンチウイルスソフトしかない。
こうした持ち込みPCの脅威を防ぐために生まれた検疫ネットワークは、2つのセキュリティレベルでクライアントPCのネットワーク接続を管理する(図3)。まずユーザー認証を行なうことで、事前に利用が許可されていないユーザーのPCをLANに接続させないようにする。さらに、利用が許可されているPCでも、一定のセキュリティポリシーを満たさない限り、接続させない。
ここでいうセキュリティポリシーとは、OSのパッチやアンチウイルスソフトのパターンファイルが最新になっているか、ファイアウォールはきちんと動作しているか、WinnyやShareなど許可されていないP2Pソフトは動作していないか、などである。セキュリティポリシーを満たさないPCは、専用のセグメントに自動的に「隔離」され、アップデートなどを施すことになる。この隔離という動作が、空港などで行なう検疫に近いわけだ。そして、再度認証とチェックを行なって、OKが出たら、そこでようやくLANへのが可能になる。
検疫ネットワークは、スイッチのポートの開け閉めで接続の制御を行なうIEEE802.1x※3をベースにした方法や、専用のアプライアンスとクライアントを連携させて検疫を実現する方法など、いくつの実装がある。
※3:IEEE802.1x スイッチや無線LANアクセスポイントの接続前にユーザー認証を行なって、利用の可否を決めるという技術。専用のクライアントである「サプリカント」を搭載する必要があるほか、対応の認証スイッチやRADIUSなどのデータベースが必要になる。
検疫ネットワークを利用することで、LAN内であっても、不正アクセスを試みようとするPCや、情報漏えいにつながるようなセキュリティ設定の脆弱なPCを排除することが可能になる。認証スイッチやサーバ、クライアントのソフトウェアまでを含めるとトータルのコストがかなりかかるため、大企業以外ではなかなか導入が難しいが、不正アクセスや情報漏えいに強いインフラを構築するにあたっては、注目しておきたいソリューションである。
情報をローカルに格納しないシンクライアント
一方で、情報そのものをクライアントPCに格納しないというより徹底したアプローチを実現するのが、「シンクライアント」である(図4)。
シンクライアントとは、ハードディスクやCPUなどのリソースを潤沢に搭載する既存のクライアントPC(ファットクライアント)に対する用語だ。OSやアプリケーションをネットワーク経由で利用することを前提に、コンピュータのリソースを絞り込んだ端末を指す。
シンクライアントはもともと情報漏えい対策のために開発されたものではなく、クライアントPCの管理コスト削減のため、1990年代後半から登場してきたソリューションであった。シトリックス・システムズを代表とする「サーバベースドコンピューティング」のソリューションでは、専用の配信サーバ上にOSとアプリケーションを登録し、操作画面をクライアントに対して配信する。クライアントにはあくまで操作のための画面を提供しているに過ぎないため、端末の機能や性能で劣ったシンクライアントでも問題ないわけだ。
従来、ネットワーク接続を前提とするシンクライアントは、LANやWAN経由での利用が前提であった。だがインターネットのインフラが整ってくると、持ち運び可能なモバイルシンクライアント※4も現実的になってきた。
※4:モバイルシンクライアント 最近では、専用端末やノートPCではなく、PCと親和性の高いスマートフォンをシンクライアントとして利用しようという動きもある。盗難や持ち出しに備え、遠隔から操作をロックしたり、情報を削除する機能を追加するベンダーもある。
こうした中、シンクライアントは情報漏えい対策の切り札として再度注目を集めることとなった。ローカルに情報を格納しないシンクライアントであれば、置き引きや盗難といった不測の事態があっても安心だからだ。現在では、通常のノートPCからハードディスクを外したシンクライアントも登場している。
この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第10回
TECH
社内の安全を守るセキュリティ製品の進化を知ろう -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第5回
TECH
メールソフトのセキュリティとメールの認証 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第3回
TECH
拡がるWebの脅威と対策を理解しよう -
第2回
TECH
巧妙化する不正プログラムを防ぐには? -
第1回
TECH
不正アクセスを防ぐファイアウォールの仕組み - この連載の一覧へ