 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
マイクロソフト、“2つの検疫ネットワーク”に関する取り組みを解説 |
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
マイクロソフト株式会社は2月3日、プレス向けの説明会を開催し、サーバープラットフォームビジネス本部 ITインフラストラクチャ製品グループのシニアプロダクトマネージャ、齋藤義憲氏が、同社の検疫制御に対する取り組みを解説した。 ■ ワームの流行によって注目が高まる
そこで、企業のネットワークに接続するPCの状態をチェックし、セキュリティポリシーに違反していなければ接続を認める、といった働きを自動で行う製品を、各ベンダが提供するようになった。これらの製品では、チェックが完了するまでPCをいったん別のネットワークに隔離することになるのだが、これが税関などで行われている「検疫」と似ていることから、「検疫ネットワーク(システム)」と呼ばれており、それがシステム全体の呼び名として使われる場合が多い。 ■ VPNによるリモートアクセスに対応 マイクロソフトでも既報の通り、2005年の前半に提供が予定されているWindows Server 2003 SP1(以下、SP1)より、検疫ネットワークシステムを構築できる「リモートネットワークアクセス検疫制御」を正式な機能として提供する。この段階では残念ながらVPNリモートアクセスに限り、ということになるのだが、「高い製品をさらに追加で買わなくても、標準で利用できる」点を、齋藤氏は強調する。このシステムでは、VPN接続を試みるPCがサーバーへアクセスすると、まず検疫用の論理ネットワークへ接続される。次に、クライアント側に配布しておいたスクリプトがPCの状態をチェックし、セキュリティポリシーに合致していれば、その旨をRQC(通知コンポーネント)からサーバー側のRQS(リスナーコンポーネント)へ通知して、イントラネットへのアクセスを許可してもらう仕組み。もしポリシーに違反している場合はRQSへの通知が行われず、セッションのタイムアウトに伴って通信が遮断される。 ここで利用されるスクリプトは一般的なVBS形式のため、実際にチェックできる項目は管理者が自由に決められるという。たとえばWindowsファイアウォールが有効か、ウイルス対策ソフトが起動しているか、OSのパッチが適用されているか、といった項目が考えられるが、これら以外に、特定のファイルを持つかどうかをチェックする、などということも行える。スクリプトの設定に際してはVBの知識が必要になるものの、「マイクロソフトではTechNetスクリプトセンターでサンプルスクリプト付きの資料を公開しているので、参考にしてほしい」(齋藤氏)とのこと。 また齋藤氏は、統合セキュリティサーバー製品であるISA(Internet Security & Acceleration) Server 2004との併用を強く推奨している。こうした検疫機能はSP1だけでも導入可能なのだが、インターネット側に開かれた窓口としてWindows Server 2003を公開するのは、脆弱性の問題などからリスクが大きい。しかし「ISA Server 2004を併用すれば、それをラッピングできる上、Active Directoryと連動したユーザーごとの細かなアクセス制御など、メリットが増える」と、齋藤氏はその理由を説明した。 なお、現状のWindows Server 2003でも、実は検疫制御の仕組みは利用できるようになっている。しかし、Resource Kitからツールを取り出さなければならず、サポートも提供されていないため、「ほとんどテスト程度の利用にとどまっている」状態だ。齋藤氏が「いくつもの企業が、SP1が提供された時点での導入を検討している」というように、SP1の投入後、徐々に導入が進んでいくものと思われる。
■ ネットワーク全体をカバーする「NAP」、2007年に登場予定
このシステムは、エージェントプログラム「SHA(System Health Agent)」を入れ込んでおき、状態ステートメント(SoH)というファイルをサーバー側とやりとりすることで検疫を実現する。たとえば、クライアントPCがDHCPサーバーに、DHCP要求メッセージとともにSoHを送って認証を求めると、DHCPサーバーはそれを検疫サーバーに送って確認し、問題なければIPアドレスを与えてネットワークに接続させる。一方、条件を満たせずイントラネットへの接続がはじかれた場合には、検疫サーバーから新たなSoHが渡され、SHAがそれに従って最新の修正パッチやウイルス定義ファイルをインターネットからダウンロードして入手する、というような仕組みが導入される予定。 これらのシステムを利用すれば、ネットワークに迫る脅威を減らすことが可能だ。しかし齋藤氏は「リモートネットワークアクセス検疫制御もNAPも、完全にネットワークを防御するシステムではない」点を強調する。あくまでこれらは「ネットワークのセキュリティをあるレベル以上に画一化する」だけであり、ほかのソリューションがまったく不要になるわけではないというのだ。 「しかし、対策しないことに比べれば雲泥の差」(齋藤氏)であることは間違いない。Longhorn Serverへの乗り換えが必要になるNAPはともかく、Windows Server 2003でVPNリモートアクセスを利用しているユーザーなら、リモートネットワークアクセス検疫制御は、さほど追加費用をかけずに利用できる。 マイクロソフトでは、3月14日に開幕するイベント「Security Summit 2005」で、Windows Server 2003やISA Serverの評価版、サンプルスクリプト、ドキュメント資料などが含まれる「ネットワークアクセス検疫評価キット(仮)」を配布するほか、ドキュメント類を少し遅れてWeb上に公開するとのことなので、興味を持たれた方は、検疫ネットワークの導入を一度検討してみてはいかがだろうか。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ ■ 関連記事 ・ 2005年、検疫ネットワークは普及するか?(2005/01/06)
( 石井 一志 )
|
