検疫ネットワークとは？しくみや種類を解説！

セキュリティ

サイバー攻撃や内部不正など、ネットワークセキュリティに関する企業をとりまくリスクは年々高まっています。そのような中、ウイルスやマルウエアに感染していないか、セキュリティ対策ソフトのウイルス定義が最新かといった基本的な日々の検疫は重要性を増しています。
今回は、検疫ネットワークの基礎知識を解説するとともに、しくみやシステムの種類、メリットもご紹介します。

検疫ネットワークとは
検疫ネットワークシステムのしくみ
検疫ネットワークシステムの種類
検疫ネットワークシステムのメリット
検疫ネットワークを実現する「QuOLA＠Adapter＋（クオラアダプタープラス）」

検疫ネットワークとは

検疫ネットワークとは、例えば企業内に構築しているネットワークに接続される端末の安全性を確認し、安全な端末のみを接続する機能を持つネットワークを指します。

検疫ネットワークは、通常、PCに対する一般的な認証に加えてセキュリティ上の問題がないことを確認し、問題がある場合にはネットワークへの接続を拒否したり、問題を取り除いたりするシステムです。

例えば、社員のPCをネットワークに接続したいニーズが生まれた際に、PCのウイルス感染状況をチェックする機能が働きます。チェックの結果、ウイルス感染が見つかった場合には、ネットワークへの接続を拒否するといった処理を行います。

主なチェック項目

検疫ネットワークの主なチェック項目には、次のことがあります。

・ウイルスやマルウエアへ感染していないかどうか
・セキュリティ対策ソフトのウイルス定義が最新かどうか
・OSなどのソフトウエア修正パッチは最新のものに更新され、適用されているかどうか
・ファイアウォール設定は有効かどうか
・不正なアプリケーションがインストールされていないかどうか

検疫ネットワークシステムのしくみ

検疫ネットワークシステムは、主に次の3ステップで行われるしくみとなっています。

検疫の三つの流れ

1.検査
社内ネットワークに接続しようと試みているPCがあれば、まず検査をする専用のネットワークへ誘導します。検査ネットワークに誘導したら、そこで検査を実行します。ウイルスやマルウエアへ感染していないかどうか、セキュリティ対策ソフトのウイルス定義が最新かどうか、OSなどのソフトウエア修正パッチは最新のものに更新され、適用されているかどうかといったことを一通り検査します。検査結果に一切問題が見つからなければ、社内ネットワークに接続されます。

2.隔離
検査用ネットワークでPCを検査した際に、何らかの問題が見つかった場合は、そのPCを隔離する処置がされます。隔離されたPCのネットワークは、社内ネットワークとは通信ができない場所であるため、万が一、マルウエアに感染していた場合にも、二次感染を予防できます。隔離されたPCは、治療が行われます。

3.治療
隔離されたPCの治療は、治療用サーバーがその役割を担います。

例えば、OSの修正パッチが最新ではなかった場合に、最新のものに更新されます。治療が完了したら、改めて検査が行われます。問題がない状態であることを確認し、問題がなければ社内ネットワークへ接続を行います。

検疫ネットワークは、このような一連の流れで随時行われており、社内ネットワークを守っています。

検疫ネットワークシステムの種類

検疫ネットワークを行うシステムには、さまざまな方式があります。主な四つのシステムを解説します。

DHCP方式

DHCP方式とは、DHCPという、ネットワークに接続されたPCに対して動的にIPアドレスを割り当てる機能を利用する方式です。

まずPCに対して検疫ネットワークへ接続するためのIPアドレスが割り当てられ、検疫ネットワークへ接続されます。検査・隔離・治療が行われた後、問題が解決したら、次は社内ネットワークに接続するためのIPアドレスを割り当てられることで、社内ネットワークに接続されます。

DHCP方式を用いると、特別な認証スイッチなどを必要とせず、既存の機器を利用して行えるため、導入は容易に行えます。

一方で、固定IPアドレスを持つPCは検疫を行うことができないため、利用範囲は狭くなります。

認証スイッチ方式
認証スイッチ方式は、802.1X認証やWeb認証などの認証方法に対応したスイッチと呼ばれる複数のデバイス同士を接続する機器を利用し、ユーザー認証を行った後で、検疫を行う方式です。検査に合格したPCは社内ネットワークに、不合格のクライアントは検疫ネットワークに接続され、治療が行われます。

クライアント（パーソナル）ファイアウォール方式

クライアントPCにインストールする、ソフトウエアタイプのファイアウォールである「クライアントファイアウォール」が、検疫サーバーと連携して動作する方式です。

クライアントファイアウォールは集中管理されており、管理サーバーから配信されたセキュリティポリシーの下で、ネットワークへのアクセス制御を行います。

セキュリティポリシー違反と判定されたPCに対しては、クライアントファイアウォールが検疫ネットワークにだけアクセスできるように制限をかけます。

ただし、PC側でファイアウォールを無効にしている場合は、検疫自体を行うことができないという点は留意しておく必要があります。

ゲートウェイ方式

ネットワーク上に設置しているゲートウェイを使う方式です。ゲートウェイとは、異なるネットワーク間で中継するしくみを持つ機器のことで、リモートからの接続にはVPN機器を、ローカルにおける接続にはルーターなどの機器を用います。

PCがゲートウェイを通過する際に、検疫が完了しているPCかどうかをチェックし、検疫が完了しているPCであれば社内ネットワークへと接続し、検疫が行われていなければ、検疫ネットワークに接続します。

ゲートウェイにたどりつくまでネットワークは検査が行われないため、他の方式と比較するとセキュリティが落ちることもあります。

検疫ネットワークシステムのメリット

検疫ネットワークシステムを導入することにより、次のようなメリットが得られます。

情報漏洩防止

PCに、不正ソフトウエアがインストールされている、OSの脆弱性が残ったままなど、セキュリティポリシーに違反したPCを社内ネットワークに侵入させず、隔離することができるので、情報漏洩の予防につながります。

ウイルスに感染したPCをネットワークからの排除

PCが万が一、ウイルス感染していた場合に、検疫がしっかりとされれば、隔離されるため、社内ネットワークからPCを排除できます。

不正な持ち込み端末によるアクセス防止

社内ネットワークに対して、不正に持ち込んだ端末からアクセスされた場合にも、検疫ネットワークシステムがあれば、アクセス防止にもなります。

検疫ネットワークを実現する「QuOLA＠Adapter＋（クオラアダプタープラス）」

エイチ・シー・ネットワークスでは、検疫ネットワークを実現する「QuOLA＠Adapter＋（クオラアダプタープラス）」の提供を行っています。

マルウエア対策の検疫ネットワークに本当に必要な機能を実装するマルチOS対応検疫アプライアンスです。OSの修正パッチやウイルスソフトのパターンファイル最新性などを高速でチェックし、端末の安全な接続環境を実現します。

クライアント常駐プログラムにより、PCのセキュリティ状態をチェックし、ポリシーに合致しないPCがアクセスできるネットワークを制御します。ユーザーをウイルス対策ソフトのパッチ配信サーバーやWSUS（Windows Server Update Services※）などへ誘導し、PCの健全性が有効になった状態で、内部ネットワークへの接続を許可します。

※Microsoftが主に企業向けに無償提供している、更新プログラム適用を制御するためのソフトウエア。

検疫処理が、ユーザーのストレスとならないよう、多数の端末が同時に検疫を実施した場合であっても、高速で検疫が完了できるように設計されています。

企業ネットワークのセキュリティ統制や、さまざまな端末が存在する学校ネットワークの強靭化としても有効です。

詳細に関しましては、ぜひサービス紹介ページをご覧ください。