ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2008/07/30 掲載

検疫ネットワークとは(3)導入後の運用管理とユーザーの操作性(2/2)

NETWORK Guide 2006 Summerより

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。

ログイン時のユーザーサポート

 一般的に検疫ネットワークでは、通常のネットワークログイン時よりも時間がかかる。この状況をユーザーが把握し、どのようなパッチの適用やパターンファイルの更新、ファイアウォールの有効化などを行えばよいのか誘導してくれるインタフェースが必要になる。

 たとえば、「治療」が完了したPCは再度検疫を受けるための再起動が必要である。そのため検疫終了時に強制的に再起動させるか、ユーザー側へ再起動を促す分かりやすい指示がなされなければユーザーはとまどうものである。そのたびに管理者が呼ばれれば、新たな負担増につながりかねない。また、資産管理ソフトやパーソナルファイアウォールを利用したエージェントタイプの検疫ネットワークでは、エージェント自体をPCにインストールできないケース、インストール後にPCのパフォーマンスが大幅に下落するケースなど、PC固有の問題が発生する場合がある。このように実際に検疫ネットワークを導入してみると、思いがけないところでつまずくことがある。いずれにしても経験豊富なインテグレーターに相談し、実績のある製品の選択をおすすめする。

OSや機器を選ばない「脆弱性スキャナ方式」検疫ネットワーク

 上述のエージェントに関する問題の対策として、また隔離された特定用途向けのネットワークなどクライアントの管理ができない環境において、ActiveXやIPSを利用したエージェントレスタイプの「脆弱性スキャナ方式」検疫ネットワークが提供されている。最近ではLinuxやMacOSといったWindows以外のOSやPDA機器などへも対応が進み、よりいっそう使い勝手が向上している。

 この脆弱性スキャナは、文字通りシステムの脆弱性をスキャニングするツールであり、この脆弱性スキャナと認証スイッチを連携させる検疫ネットワークでは、クライアントに対してエージェントのインストールが不要となるため、Windows以外のOSへの対応も可能となるのである。

 脆弱性スキャナとしてはオープンソースソフトウェアであった「Nessus」が有名であるが、最近では検疫機能を持ったアプライアンス製品も提供されはじめており、各社の認証スイッチと連携することも可能である。この方式での検疫ネットワークの特徴は、PCやサーバだけでなくPDAやIP電話、プリンタといったネットワーク機器全般を検疫の対象とできること、従来の検疫における「検査」よりも細かい定義が可能となることである。

 ここでは、Enterasys社のTrusted End System(TES)を使って、脆弱性スキャナ方式による検疫ネットワークがいかなるものかを紹介する(図2)

図2 Trusted End System の仕組み
図2 Trusted End System の仕組み


 TESは、認証スイッチ、脆弱性スキャナ、STAG(注2)、STAM(注3)、治療用Webサーバから構成され、ユーザーの認証時にポリシーを割り当てるというEnterasysの認証スイッチの機能(Secure Networks)を利用したものである。ポリシーの検疫フローは次のようになっている。

 まず、ユーザーが接続されると認証スイッチからの認証リクエストに応じてRADIUSがユーザー認証を行なう(1~4)。同時にSTAGは脆弱性スキャナに対してセキュリティの評価・査定を行うように命令を発行する(5)。このとき、クライアントには評価・査定用のポリシーが割り当てられ、脆弱性スキャナサーバへアクセス可能となる(6、7)。アクセスの結果得られたセキュリティ上の評価値はSTAGに通知され(8、9)、STAGはエンドシステムの再認証を強制的に行う。問題があればRADIUSサーバのFilter-IDを「Quarantine(隔離)」に設定する(10)。

 このTESの結果は、ブラウザにより容易に状況が把握できる。評価、隔離の各ポリシーをクライアントに割り当て、HTTPパケットのToSフィールドの値を書き換えてポリシーを設定することにより、修復用のWebサーバに結果が返され(11)、その状況に応じたページを表示するのである。

 検疫ネットワークが話題になりはじめてから3年ほど経っているが、当初はさまざまな制限が多くあり、実環境への導入は難しいとされていた。しかし、現在では50社を超える企業から関連製品やサービスが提供されており、運用面や利便性も考慮されたソリューションが多くなっている。今回取り上げた「脆弱性スキャナ」型もその一例である。

(注2)STAG
Sentinel Trusted Access Gatewayの略。RADIUSサーバおよび脆弱性スキャナと認証スイッチの間に配置され、認証要求を転送するプロキシ。

(注3)STAM
Sentinel Trusted Access Managerの略。SATGの設定・管理を行うマネージャ。

岡本 孝
アクシオ
企画室 室長
1985年、昭和電線電纜に入社。ネットワーク機器の開発・設計に従事。その後アクシオに出向し、プロダクトマーケティングを担当。数年前から無線LANを含む認証ネットワークにフォーカスし、最近では検疫ネットワークを紹介している。
(※肩書きは当時のものになります)

関連タグ

関連コンテンツ

記事
ネットワーク管理・アナライザ

日光ケミカルズが「ネットワーク運用」にメスを入れたワケ、IT部門はどう変わった?

ハイブリッドワークの普及、ITシステムの複雑化、IoT機器の業務利用の進行などによって、IT部門の負担が増大している。慢性的な人材不足という状況もあり、DXの推進やIT戦略の立案・実行など、IT部門が本来取り組むべき業務が進んでいない。こうした現状を打破するために、非常に効果的なのが実は「ネットワーク運用管理」の見直しだ。クラウドネイティブなネットワーク基盤を活用することによって、IT部門の効率化をいかに実現するのか、日光ケミカルズの事例などから考察する。

記事
ネットワーク管理・アナライザ

リモートワークで見えた限界…今こそ「脱VPN」すべき理由

コロナ後のニューノーマル時代に備えて、多くの企業がリモートワーク導入を進めている。それを支えるため、VPNインフラの増強を急ぐ企業も多い。今後、リモートワークが常態化することを考えると当然の選択に見える。しかし、それは本当に正しい選択だろうか?そこには、VPN増強によって深刻化する別の問題が潜んではいないか。既存の企業ネットワークが抱える本質的な課題を整理する。

記事
ネットワーク管理・アナライザ

ドワンゴ ニコニコ担当者が明かす、85万人超のオンラインイベントを支えたITインフラ

ネットワークエンタテインメントコンテンツの企画開発から運用までを行うドワンゴでは、2013年末に動画共有サービスのニコニコ動画と、その中のライブストリーミングサービスであるニコニコ生放送とを併せた年越しカウントダウンのオンラインイベントを実施し、最終的に総来場者数85万人超の参加を実現した。大規模ライブストリーミングで、カウントダウンというリアルタイム性が重視される難しいサービスを成功に導いたドワンゴ サービス企画開発部 ニコニコ生放送セクション 担当セクションマネージャの吉村総一郎氏とニコニコ事業統括本部 プラットフォーム事業本部 副本部長の宮崎賢一氏がその具体的な取り組みを明かした。

記事
ネットワーク管理・アナライザ

クラウド時代の「ネットワークトラフィック監視」その重要性とは

テレワークによる働き方改革や、2020年10月にOffice 2010のサポートが終了するなどの背景から、SaaSやIaaSといった「クラウド」を利用する企業が増えている。しかし、その利用が増えるにつれてネットワークトラフィックやセッションも増加するため、ネットワークトラフィック監視は非常に重要な課題となる。ネットワーク監視ツールなどIT運用管理ソフトウェアを開発・提供するZoho Corporationの日本法人、ゾーホージャパンの小泉 陽平氏、および後藤 浩介氏と、ソフトバンクで最先端ネットワーク技術を見ている大前 好司氏が、ネットワーク監視に関する課題をどう解決すべきか語り合った。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample