危険端末を見抜く!検疫ネットワーク運用術

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

危険端末を見抜く!検疫ネットワーク運用術

2014/02/17

 BYODをはじめとして私物のモバイル端末を業務利用する機会が増えたことなどから、いま改めて注目を集めているのが「検疫ネットワーク」だ。未許可端末の社内ネットワーク接続を遮断したり、最新のセキュリティパッチが適用されていないPCを隔離して適用を促したりする検疫ソリューションの、導入・運用時における注意点を挙げながら、効果的な活用方法を紹介していこう。

検疫

※「検疫/危険端末を見抜く!検疫ネットワーク運用術」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「検疫/危険端末を見抜く!検疫ネットワーク運用術」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1怪しいデバイスはつながない!「検疫ネットワーク」とは

 2000年代半ばに一度脚光を浴びた後、いまいち浸透しきれなかった感のある検疫ネットワークがここに来て再注目されている。その背景には、BYODに代表されるようなスマートフォンやタブレット、モバイルPCなどの私物デバイスの業務利用の普及、それに標的型攻撃のような複合的な攻撃手法の増加がある。特に内部からの脅威に対しては、ファイアウォールなどの既存のネットワークセキュリティ機器では防ぎきれないことから、検疫ネットワークへの期待が高まっているのだ(図1参考)。

図1 持ち込みデバイスがもたらす脅威
図1 持ち込みデバイスがもたらす脅威
資料提供:日本電気

 検疫ネットワークを使えば、セキュリティパッチが当たっていなかったり、アンチウイルスソフトが入っていない、もしくは入っていてもシグネチャを最新のものに更新していなかったりするPCをいったん隔離して、更新した後に正規のネットワークに接続させることができるようになる。セキュリティパッチをあてていないPCというのは攻撃者から最も狙われやすいので、そうしたリスクを解消できる効果も大きい。

図2 接続後画面例
図2 接続後画面例
利用登録されていないPCがネットワークに接続すると……
資料提供:ソフトバンク・テクノロジー

+拡大

図3 検疫ネットワークの役割
図3 検疫ネットワークの役割
資料提供:日本電気

1-1検疫ネットワークの3つのゾーンとは

 検疫ネットワークは、次のような3つのゾーンから構成される。

検疫ゾーン

PCの健全性を確認(ヘルスチェック)

修復ゾーン

ヘルスチェックの結果、好ましくないと判断されたPCを「治療」。回復したら信頼ゾーンへ

信頼ゾーン

健全性が保障されたPCだけが参加可能

 この3つに加えて、最近ではゲスト接続のためのゾーンも設けられていることが多い。例えば、ゲストが社内ネットワークにWiFi接続した場合、社内システムへのアクセスはブロックするがインターネットへの接続は許可するといった使い方ができるようになる。

図4 検疫ネットワークのゾーン構成
図4 検疫ネットワークのゾーン構成

■百度(バイドゥ)を使っているPCも一網打尽!

 中国のインターネット検索大手「百度(バイドゥ)」が無償提供している日本語入力ソフトウェアを通じて、入力情報が同社に無断送信されていたとされる問題が今年に入って世間を騒がせている。このソフトウェアを使用していた全国の地方自治体で情報漏洩の可能性が指摘されるなど、改めて業務で使うクライアントアプリケーションの選択の難しさを実感させられる。
 無論、このような事態でも、以下図5、6のように検知してユーザに通知することができる。

図5 Baidu検知時のコンソール画面
図5 Baidu検知時のコンソール画面
資料提供:ソフトバンク・テクノロジー

+拡大

図6 Baiduユーザへの通知
図6 Baiduユーザへの通知
htmlファイルを編集することで、通知ページの文言修正などカスタマイズが可能
資料提供:ソフトバンク・テクノロジー

+拡大


!

思わぬ恐怖!約9割の企業が検疫ネットワークで“真っ赤”な結果に…!?

 これまで検疫ネットワークを未導入だった企業に新規で適用してみると、8〜9割の企業で管理画面が“真っ赤”なアラートで埋め尽くされるという。セキュリティパッチが当てられていなかったり、アンチウイルスのシグネチャが更新されていなかったりするPCが続々と検出されてしまうのである。日頃、いかに社員がパッチの適用などを無視して使い続けているかがわかることだろう。
 また2009年の話だが、クライアント5000台程度のネットワーク規模を持つある企業で、当時流行したウイルスに多くのPCが感染してしまい大問題となった。しかし、検疫ネットワークを部分導入していた500台のPCに関しては一切被害を受けなかったのである。その企業では、事故への対処が一段落すると、まっさきに全社への検疫ネットワークの導入に踏み切ったのである。
 このように、検疫ネットワークの効果というのは、入れてみてはじめてわかるところが大きい。そして導入すれば、どれぐらいの端末がセキュリティポリシーに対応していないかなどが視覚的なレポートにより判明するのである。


…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

検疫/危険端末を見抜く!検疫ネットワーク運用術」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「検疫」関連情報をランダムに表示しています。

検疫」関連の製品

添付のOfficeファイルも安心して編集できる標的型攻撃対策とは? 【コネクトワン】 NetSkateKoban(不正接続端末検知・遮断/Network可視化システム) 【ギガ+他】 NX NetMonitor+FireEye NX連携ソリューション 【日立ハイテクソリューションズ】
アンチウイルス 検疫 IPS
添付のOfficeファイルも安心して編集できる標的型攻撃対策とは? 不正端末の接続を検知し、排除。
◎各端末へソフトのインストール不要
◎VLAN対応で、低コスト
◎IPv6対応
◎地図表示によるネットワーク可視化
◎端末の通信誘導(利用限定)
マルウェア対策製品「FireEye NX」と不正PC監視/強制排除製品「NX NetMonitor」の連携により、標的型サイバー攻撃の検知と感染した端末の排除を自動化するソリューション。

検疫」関連の特集


クライアントPCを制するものは企業の危機管理を制する。機能充実の高額ツールから安価なASPサービスま…



企業規模を問わず、セキュリティやコンプライアンスが厳しく問われる時代の頼れるツール「統合運用管理ツー…



初期投資を抑えたい、ネットワークを変更したくない。導入を検討する段階で直面するいろいろな悩みを、5つ…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

検疫/ 危険端末を見抜く!検疫ネットワーク運用術」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「検疫/ 危険端末を見抜く!検疫ネットワーク運用術」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006865


IT・IT製品TOP > ネットワークセキュリティ > 検疫 > 検疫のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ