この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
検疫ネットワークによるセキュリティの確保、方式や注意点も解説
PCやタブレットなどのITデバイスを企業や組織の外部に持ち出して利用する場合のセキュリティ確保は、情報システム部門やIT担当者の頭を悩ませる問題です。ITインフラや業務の内容により状況は様々ですが、外部で利用する際のネットワーク接続と外部からデバイスを持ち帰った際のネットワーク接続が注意すべきポイントとなります。
外部からデバイスを持ち帰った場合、マルウェア感染などのリスクが存在します。社内のネットワークに接続し、マルウェア感染が広がってしまった場合には、被害は甚大となることが予測されます。
このような事態を防ぐための対策が検疫ネットワークです。社内に持ち帰ったデバイスを検疫ネットワークにつないで検査し、問題があればその修復を行い、問題がなければ社内のネットワークへの接続を許可する仕組みです。
本記事では、セキュリティ確保策の1つである検疫ネットワークについて、概要やメリット、方式、導入時の注意点などを紹介します。
目次
検疫ネットワークとは?
検疫ネットワークとは、企業や組織においてデジタルデバイスの持ち出し後にマルウェア感染などのセキュリティ問題を、社内ネットワークに持ち帰らせないための仕組みです。デジタルデバイスが持ち帰られた際に、検疫ネットワークに接続して下記のような問題がないかをチェックします。
- マルウェアへの感染
- OSなどの最新化が行われていない
- セキュリティソフトのパターンファイルが最新化されていない
- 企業のルールで禁止されたソフトウェアがインストールされている
もし、何らかの問題がある場合には社内ネットワークへの接続をさせず、他のデバイスへの被害拡大を防ぐために隔離を行います。問題を取り除いた後に、社内のネットワークへの接続を許可します。
まるで空港などにおける入国時の検疫のような仕組みのため、検疫ネットワークと呼ばれています。
検疫ネットワークの仕組み
検疫ネットワークは検査、隔離、治療の3ステップによって構成されています。各ステップについて、仕組みを紹介します。
検査
社外から持ち帰ったデバイスを社内LANに接続しようとした際に、デバイスの接続先を検査用のネットワーク(サーバー)への接続に誘導します。検査用のネットワークから通信を行い、マルウェアの感染、OSやセキュリティソフトの最新化などをチェックします。
問題がなければ社内ネットワークへの接続を許可します。
隔離
検査により問題が発覚した場合、該当の端末を社内ネットワークから隔離します。マルウェアの自己繁殖など、ネットワーク内の他のデバイスへの被害拡大を防ぐためです。隔離された端末は、治療用のネットワーク(サーバー)に接続します。
治療
発覚した問題に対し、治療用ネットワーク(サーバー)が対処を行います。マルウェアに感染している場合は、マルウェアの除去を行います。OSやセキュリティソフトが最新化されていない場合には、アップデートを適用し最新化を実施します。
問題が取り除かれた後、再度検査を実施し、問題が無ければ社内ネットワークへの接続を行います。
検疫ネットワークのメリット
検疫ネットワークを導入することにより、以下のメリットを得ることができます。
- 管理者の定めたセキュリティポリシーの適用の厳格化、仕組み化
- セキュリティポリシー管理コストの削減に貢献
- 企業全体のセキュリティ確保により情報漏洩や流出を未然に防ぐ
- マルウェア感染の拡大による被害の防止
- OSなどの脆弱性に対する攻撃を未然に防止
もし、検疫ネットワークがない場合には、下記が発生することが考えられます。
⇒マルウェア対策の課題を解決!方法やポイント・注意点まで解説
- 社内ネットワーク内のマルウェア感染の拡大
- 業務停止
- 情報漏洩、情報流出
- 被害に対する謝罪、賠償
これらの大きな問題を遠ざけておくためにも、セキュリティ対策は適切に組み合わせて適用しておかなければなりません。
検疫ネットワークの方式
検疫ネットワークには検査、隔離を実現する仕組みが備えられているのですが、その方式について紹介します。
認証DHCP方式
IPアドレスの動的設定(DHCP)を利用した方式です。
デバイスをネットワークに接続しIPアドレスを自動設定する際に、検査ネットワークへの接続アドレスが振り出されるため、必ず検査ネットワークにつながるという仕組みです。検査に合格後、社内LANに接続できるIPアドレスが振り出され、社内ネットワークに接続できるようになります。
メリット
認証DHCPサーバを用意するだけで済むため、構築は比較的容易です。既存ネットワーク機器を継続利用できるためコストを抑えることができます。
デメリット
固定IPアドレスの場合は利用できません。
検疫済みと未検疫の端末がネットワーク内で通信できてしまう可能性があります。
こんな場合におすすめ
コストを抑えて検疫ネットワークを導入したい場合におすすめです。
認証スイッチ方式
IEEE802.1X認証に対応したL2スイッチやAPなどの機器を使用する方式です。
機器への認証時に検査を行い、問題があれば隔離ネットワーク、なければ社内ネットワークに接続するという仕組みです。
メリット
証明書を利用することで高いセキュリティを実現することが可能です。
確実な隔離が実現できることもメリットに挙げられます。
デメリット
PCが接続するスイッチを対応機器にすることが必要なため、コストがかかります。
こんな場合におすすめ
高いセキュリティを確保したい場合におすすめです。
パーソナル(クライアント)ファイアウォール方式
パーソナルファイアウォール(PCなどにインストールするソフトウェアのファイアウォール)を利用した方式です。ネットワークへの接続の制御はパーソナルファイアウォールが行います。
メリット
シンプルで導入しやすい方式です。
機器の変更も不要です。
デメリット
ユーザ認証がなくセキュリティ強度は弱いです。
パーソナルファイアウォールをOFFに設定すると、無効化されてしまいます。
こんな場合におすすめ
検疫ネットワークへの接続振り分けをパソコンの設定によって完結したい場合におすすめです。
認証ゲートウェイ方式
認証ゲートウェイを社内LANに設置し、ゲートウェイとの通信で認証を行う方式です。ゲートウェイはネットワーク上のセキュリティを強化したい任意の箇所に設定することが可能です。
メリット
ゲートウェイの設置個所は任意に選択することができ、セキュリティを高めたい場所に設置するなどの柔軟な導入が可能です。
認証スイッチの導入は不要で、既存機器が利用できます。
デメリット
検疫済みと未検疫のデバイス間の通信は、完全分離ではありません。
端末からゲートウェイまでの通信は、未認証でもできるため、認証スイッチ程セキュリティ性能は高くないです。
こんな場合におすすめ
既存のネットワークは変更したくないが、高いセキュリティを求める場合におすすめです。
導入や運用の注意点
検疫ネットワークによるセキュリティチェックシステムの導入や運用において、気を付けておきたい注意点には下記があります。
検疫システムを使ってもすべての感染は防げない
検疫ネットワークでも、未確認のマルウェアに感染している場合(ゼロデイ攻撃)など、すべてのマルウェア感染を防ぐことはできません。万全のセキュリティを確保するためには、他のセキュリティ対策と併用することが必要です。
設備や運用のコスト
仕組みの導入には設備や運用コストが必要となります。コストに合ったメリットが得られるかどうかは、事前に検討しておくポイントです。方式選択の指針ともなります。
検疫ネットワークシステムのアップデートが継続的に必要
セキュリティに関する技術的進歩は非常に速い速度で続いています。そして、サイバー攻撃の進歩も同様です。
検疫ネットワークシステムを導入し運用していくうえで、アップデートも継続的に行うことが必須です。
まとめ
大手企業だけでなく中小企業や公共機関が、マルウェア感染により事業を一時停止するような事態が増えています。サイバー犯罪者は攻撃範囲を広げ、ますます勢力を増していると言えそうです。
業務上、デバイスを持ち出して利用することは避けられないことが多いでしょう。そのような場合には、検疫ネットワークで対策強化することが求められます。
また、検疫ネットワークだけでなく、その他の様々なセキュリティ対策と併用することも重要です。その他のセキュリティ対策についてもっと知りたい方は、ぜひセキュリティ大全資料をご覧ください。セキュリティの基本から最新の脅威動向、セキュリティ対策まで、セキュリティに関する情報が1冊に詰まった資料となっております。
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...