Tomo’s HotLine

今日は東京ビックサイトで行われたNET＆COMに行ってきました。
隣接会場で大学生のための就職セミナがあったので、ビジネスマンというよりも学生でビックサイトはあふれかえっていました。

ところで、今回展示としてはセキュリティに重みがあるところが多かったです。まずは今年施行される個人情報保護法のための、内部情報漏洩防止のためのソリューションの数々。
全てのファイル操作に対してログ管理をしたり、あるいは外部にファイル漏洩しても暗号化されているために中身が見えないなどのシステムが展示していました。

それよりも気になるのが今話題の検疫システム。

通常のセキュリティソリューションではウィルスが感染した場合にはクライアントソフトがアラームを鳴らして、それによって対処するというのが普通です。検疫システムはそれを一歩先にいったシステムなのです。

まず、ネットワークログイン時には管理セグメントと呼ばれるVLANに一旦入ります。ここで、管理サーバによって、ウィルスソフトのパターンファイルの最新性、Windowsなどのソフトのパッチの更新がされているか、あるいは不要なソフトがインストールされているかチェックします。管理者が定めたポリシーに合致したものだけが通常のネットワーク接続されるというものです。つまり、パスワード＆IDが正しくても、PCの状態が適切でないとネットワークに繋がらないのです。

ところで、例えばウィルスソフトのパターンファイルが最新でないときやWindowsのパッチが適切に対処されてない場合にはどうすればよいのでしょうか？この時にはダウンロードサーバから強制的にPCに対してこれらのパッチやパターンファイルがダウンロードされます。その後通常のNW接続ができるということです。
（※ダウンロード中にウィルスやワームに感染しないように、最小限の接続ができるような管理セグメントにあるファイアーウォールを通してダウンロードするようになっています。）

ちなみにこのようなソリューションは一般的に802.1X対応スイッチ＋RADIUSで構成されているものが多かったです。
つまりRADIUSやそれに類するサーバによって、収容するPCのポートのVLANを制御しているわけです。

社内への持ち込みPCや勝手にインストールしたソフトによって社内ネットワークが汚染されるケースはよくある事例です。検疫システムはウィルスソフトのように一般化的に認知されるシステムに今後なり得るかもしれませんね。