Special Issue
<検疫ソリューション特集>さまざまな検疫方式が存在
2008/10/30 19:56
週刊BCN 2008年10月27日vol.1257掲載
企業システムの停止は、損失に直結する。一方で、企業システムはネットワークに接続されているため、脅威との接点は非常に多い。そこで「検疫」により企業ネットワークをクリーンに保とうとする動きが活発化している。従来「検疫」は大企業を中心に導入が進んだが、中堅・中小企業でも導入・運用できる「検疫」ソリューションが登場し、話題となっている。
サブプライム問題に端を発する世界的な「金融危機」が、すでに現実のものとなりつつある。欧米主要国の中央銀行が協調利下げに踏み切っているものの、不安を解消するまでには至っていない。株価の乱高下に一喜一憂する投資家も少なくないだろう。
日本は、失われた10年の経験が生かされたせいか、幸いなことにサブプライムによる影響は比較的少ない。その影響も限定的なものだと言われている。しかし、この間の日本の経済成長は、海外の景気拡大に伴う輸出の高い伸びに支えられてきたのも事実だ。
こうした事態を受け、企業は、あらゆるリスクを回避し、売り上げの拡大を実現すべく展開していくことになるだろう。しかし、企業を取り巻く脅威はあまりにも多い。世界経済による影響以外にも、あらゆる脅威が存在する。企業の資産である「情報」を危険にさらす脅威からも、しっかり防衛しなければならないのだ。
そこで注目されているのが「検疫」である。企業は、基幹システムや業務システムから末端のクライアントPCに至るまでネットワークで接続されている。一方、ネットワークは外部との接点が数多く存在し、脆弱性も拡大している。ネットワークを常にクリーンな状態に保っておかなければ、そこを流れる情報の信憑性も疑わしくなり、重大な情報漏えい事故にもつながる危険性が高くなる。セキュリティや内部統制といった観点からも、何らかの対策が必須だ。
ネットワークをクリーンに保つためには、(1)接続できる機器を限定し、(2)企業側で適切に管理し、(3)それらの機器がウイルスやワームなどへの感染、脆弱性がないことを確認した上で、社内ネットワークに接続させる必要がある。これらの条件に満たない機器が見つかった場合には、その機器をネットワークから遮断することも重要な要素である。
この社内ネットワークに接続する前の機器の状態をチェックする仕組みを活用したソリューションを、「検疫」ソリューションと呼ぶ。MSブラスターなどによるウイルスの大規模感染という苦い経験から「検疫」を導入した企業が多い。大規模感染してしまった企業は、情報システムの停止を余儀なくされた。結果として、ビジネスを止めてしまったのである。その被害が甚大なものであったことは、想像に難くない。
情報システムを止めたくないというのは、企業規模に限らず、すべての企業に共通している。小さなシステムでも高可用性を求めるニーズが高まっているのも、同様の理由からだろう。
低コストでも導入できる「検疫」方式も登場
たしかにニーズはあるものの、「検疫」に関しては「大企業中心」に導入が進んでいる。中堅・中小企業が導入するには障壁が高いと思われているからだ。最近では、導入・運用コストを抑えた「検疫」も登場しており、市場のすそ野も広がりを見せている。
また、企業が管理していない「持ち込みPC」をどのようにすればいいのかという問題も表面化しつつある。「持ち込みPC」による情報漏えい事故も起きており、対策は急務とされている。この課題に応えるソリューションとして、「検疫」が改めて注目されている。
実は、「検疫」を実現する主な方式は、「不正接続防止」「クライアント(パーソナル)ファイアウォール方式」「ネットワーク認証方式」「ゲートウェイ方式」などがある。それぞれの特徴について見ていこう。
「不正接続防止」は、ネットワーク機器に個別に割り当てられているMACアドレスを利用し、企業が管理していないネットワーク機器を接続させないソリューション。社内ネットワークの構成を変えることなく対策できるため、容易な導入・運用が可能だ。
「クライアント(パーソナル)ファイアウォール方式」は、クライアントPCを管理するポリシーサーバーから配信されたセキュリティポリシーに従ってクライアントファイアウォールがネットワークへのアクセス制御を行う。既存のネットワーク環境を変更することなく、導入できるのがメリットである。ただし、すべてのクライアントPCにパーソナルファイアウォールを導入してあることが前提となるため、未導入のPCに対してセキュリティ対策状況をチェックできないというデメリットもある。
「ネットワーク認証方式」は、無線LANなどでも幅広く活用されているIEEE802.1x認証を活用した「IEEE802.1x認証方式」、シスコシステムズが提唱している「NAC(NetworkAdmissionControl)」を利用し、セキュリティポリシーに従って、シスコ製スイッチを制御する「NAC方式」、Windows Server 2008で採用された「NAP方式」、ネットワーク認証時にセキュリティポリシーの適用状況に応じて、DHCPから与えられるIPアドレスを変更する「認証DHCP方式」などに細分化される。「ゲートウェイ方式」は、ネットワーク上にゲートウェイを設置する方法で、ゲートウェイ内部へ持ち込みPCやセキュリティポリシーに適合しないPCのアクセスを遮断する。これらの方式の特徴を熟知し、適切に組み合わせて、多くのユーザーの課題に応えているベンダーも登場している。
「検疫」ソリューションを提供しているベンダーでも、幅広いラインアップを有しているベンダーは数少ない。自社のソリューションに一部の方式しか採用していないベンダーが、すべての顧客に対して適切なソリューションが提供できないのは自明の理だ。今後は、いかに幅広い方式に対応しているかが検疫市場を制するカギとなるだろう。
情報システム基盤としての「検疫」の重要性
「業務を止めたくない」企業に「検疫」の導入が進むサブプライム問題に端を発する世界的な「金融危機」が、すでに現実のものとなりつつある。欧米主要国の中央銀行が協調利下げに踏み切っているものの、不安を解消するまでには至っていない。株価の乱高下に一喜一憂する投資家も少なくないだろう。
日本は、失われた10年の経験が生かされたせいか、幸いなことにサブプライムによる影響は比較的少ない。その影響も限定的なものだと言われている。しかし、この間の日本の経済成長は、海外の景気拡大に伴う輸出の高い伸びに支えられてきたのも事実だ。
たとえサブプライムの影響が限定的であっても、世界経済が減速することにより、大きな影響を受けないとも限らない。そのような不安感をぬぐえるような材料は、当面見あたらない。
こうした事態を受け、企業は、あらゆるリスクを回避し、売り上げの拡大を実現すべく展開していくことになるだろう。しかし、企業を取り巻く脅威はあまりにも多い。世界経済による影響以外にも、あらゆる脅威が存在する。企業の資産である「情報」を危険にさらす脅威からも、しっかり防衛しなければならないのだ。
そこで注目されているのが「検疫」である。企業は、基幹システムや業務システムから末端のクライアントPCに至るまでネットワークで接続されている。一方、ネットワークは外部との接点が数多く存在し、脆弱性も拡大している。ネットワークを常にクリーンな状態に保っておかなければ、そこを流れる情報の信憑性も疑わしくなり、重大な情報漏えい事故にもつながる危険性が高くなる。セキュリティや内部統制といった観点からも、何らかの対策が必須だ。
ネットワークをクリーンに保つためには、(1)接続できる機器を限定し、(2)企業側で適切に管理し、(3)それらの機器がウイルスやワームなどへの感染、脆弱性がないことを確認した上で、社内ネットワークに接続させる必要がある。これらの条件に満たない機器が見つかった場合には、その機器をネットワークから遮断することも重要な要素である。
この社内ネットワークに接続する前の機器の状態をチェックする仕組みを活用したソリューションを、「検疫」ソリューションと呼ぶ。MSブラスターなどによるウイルスの大規模感染という苦い経験から「検疫」を導入した企業が多い。大規模感染してしまった企業は、情報システムの停止を余儀なくされた。結果として、ビジネスを止めてしまったのである。その被害が甚大なものであったことは、想像に難くない。
情報システムを止めたくないというのは、企業規模に限らず、すべての企業に共通している。小さなシステムでも高可用性を求めるニーズが高まっているのも、同様の理由からだろう。
低コストでも導入できる「検疫」方式も登場
たしかにニーズはあるものの、「検疫」に関しては「大企業中心」に導入が進んでいる。中堅・中小企業が導入するには障壁が高いと思われているからだ。最近では、導入・運用コストを抑えた「検疫」も登場しており、市場のすそ野も広がりを見せている。
また、企業が管理していない「持ち込みPC」をどのようにすればいいのかという問題も表面化しつつある。「持ち込みPC」による情報漏えい事故も起きており、対策は急務とされている。この課題に応えるソリューションとして、「検疫」が改めて注目されている。
実は、「検疫」を実現する主な方式は、「不正接続防止」「クライアント(パーソナル)ファイアウォール方式」「ネットワーク認証方式」「ゲートウェイ方式」などがある。それぞれの特徴について見ていこう。
「不正接続防止」は、ネットワーク機器に個別に割り当てられているMACアドレスを利用し、企業が管理していないネットワーク機器を接続させないソリューション。社内ネットワークの構成を変えることなく対策できるため、容易な導入・運用が可能だ。
「クライアント(パーソナル)ファイアウォール方式」は、クライアントPCを管理するポリシーサーバーから配信されたセキュリティポリシーに従ってクライアントファイアウォールがネットワークへのアクセス制御を行う。既存のネットワーク環境を変更することなく、導入できるのがメリットである。ただし、すべてのクライアントPCにパーソナルファイアウォールを導入してあることが前提となるため、未導入のPCに対してセキュリティ対策状況をチェックできないというデメリットもある。
「ネットワーク認証方式」は、無線LANなどでも幅広く活用されているIEEE802.1x認証を活用した「IEEE802.1x認証方式」、シスコシステムズが提唱している「NAC(NetworkAdmissionControl)」を利用し、セキュリティポリシーに従って、シスコ製スイッチを制御する「NAC方式」、Windows Server 2008で採用された「NAP方式」、ネットワーク認証時にセキュリティポリシーの適用状況に応じて、DHCPから与えられるIPアドレスを変更する「認証DHCP方式」などに細分化される。「ゲートウェイ方式」は、ネットワーク上にゲートウェイを設置する方法で、ゲートウェイ内部へ持ち込みPCやセキュリティポリシーに適合しないPCのアクセスを遮断する。これらの方式の特徴を熟知し、適切に組み合わせて、多くのユーザーの課題に応えているベンダーも登場している。
「検疫」ソリューションを提供しているベンダーでも、幅広いラインアップを有しているベンダーは数少ない。自社のソリューションに一部の方式しか採用していないベンダーが、すべての顧客に対して適切なソリューションが提供できないのは自明の理だ。今後は、いかに幅広い方式に対応しているかが検疫市場を制するカギとなるだろう。
