多くの企業においてノートPCを社外に持ち出して仕事をすることを認めているが、外部で無線LANやPHSやFOMAなどによる通信をした場合、当該ノートPCに対してウィルス混入等やセキュリティパッチが最新ではない、等のリスクが生じる可能性がある。
そこで、考えられているのが「検疫ネットワーク」という考え方のようです。
いくつか、検疫ネットワークについて説明されているサイトがあったので、ここであげておきます。
[ThinkIT] 第1回:検疫ネットワークの市場概況 (1/3)
上記の記事は2~3年前のもの。これは比較的新しいですね。
検疫ネットワークが必要な本当の理由 - TechTargetジャパン
ただ、このTechTargetジャパンの記事は、ユーザー登録をする必要があるようです。無料だったので、早速登録。
細かい内容についてはそれらの記事に任せるとして、これらの情報を元にボクなりに「検疫ネットワーク」について整理してみます。
【検疫ネットワークの目的】
1.社内LANに接続される持込PCに対して、社内で定められたポリシーに従ったセキュリティ対策が全て施されているか、事前に確認して不完全だった場合に完全になるまで社内LANに影響を及ぼさないようにする機能。また、当該PCに対するセキュリティ対策の実施を支援する。
2.現在、社内LANに接続されているPCに対して、常に社内で定められたポリシーに従ったセキュリティ対策が全て施されているかチェックを行い、不完全であれば当該PCに対するセキュリティ対策の実施を支援する。
【「検疫ネットワーク」という考え方と実装支援サービスの混同】
上記の@ITの記事の題名は、「なぜ検疫ネットワーク」は普及しないのかとなっていました。ただ、先述の記事を読んでいると企業においては、検疫ネットワークの考え方に基づいたセキュリティ対策は進んでいるように思えます。
それが、たとえば
・ウィルスチェックソフトによる最新パターンファイルの自動アップデート機能
・Windowsサーバーによる自動パッチ適用サービス
なわけです。一方では実装支援サービスとして
・Trusted Computing Group(TCG)によるTrusted Network Connect(TNC)
・自己防衛型ネットワークSelf-Defensive Network(SDN)戦略に基づく検疫ネットワークソリューションのNetwork Admission Control(NAC)
といった取り組みがなされているかと思います。ただ、こういったソリューションによってシステム構築するとコストが非常にかかるそうです。
ただ、結局は餅は餅屋に頼めばいいじゃないか、という考えの元に
・ウィルスチェックソフトベンダー、OSのメーカー
といったところが(無償で)提供するサービスを利用しているというのが実態のようです。これらを実装することによって上記の目的の大きな部分は満たされるわけです。
つまり、まとめとしてボクが思うのは、
・検疫ネットワークを提供するシステムは普及していないけど、そのシステムで防ぐことができる脆弱性は代替手段によって塞がれている。
というのが実態なのではないでしょうか。
もう少しシステム構築にかかわるコストが下がってきたときに、本来の検疫ネットワークの良さである
・事前に確認して不完全だった場合に社内LANに接続させない。
といった機能を実装できる日がくるのではないかと思うわけです。
0 コメント:
コメントを投稿