検疫ネットワーク運用術で危険端末を見抜く：IT導入完全ガイド（2/4 ページ）

[小池晃臣，タマク]

検疫ネットワークの3つのゾーンとは

　検疫ネットワークは、次のような3つのゾーンから構成される。

検疫ゾーン

　PCの健全性を確認（ヘルスチェック）

修復ゾーン

　ヘルスチェックの結果、好ましくないと判断されたPCを「治療」。回復したら信頼ゾーンへ

信頼ゾーン

　健全性が保障されたPCだけが参加可能

　この3つに加えて、最近ではゲスト接続のためのゾーンも設けられていることが多い。例えば、ゲストが社内ネットワークにWi-Fi接続した場合、社内システムへのアクセスはブロックするがインターネットへの接続は許可するといった使い方ができるようになる。

図4 検疫ネットワークのゾーン構成

百度（バイドゥ）を使っているPCも一網打尽

　中国のインターネット検索大手「百度（バイドゥ）」が無償提供している日本語入力ソフトウェアを通じて、入力情報が同社に無断送信されていたとされる問題が2014年に入って世間を騒がせている。このソフトウェアを使用していた全国の地方自治体で情報漏えいの可能性が指摘されるなど、あらためて業務で使うクライアントアプリケーションの選択の難しさを実感させられる。

　無論、このような事態でも図5、6のように検知してユーザーに通知することができる。

図5 Baidu検知時のコンソール画面、図6 Baiduユーザーへの通知（出典：ソフトバンク・テクノロジー）

思わぬ恐怖、約9割の企業が検疫ネットワークで「真っ赤」な結果に

　これまで検疫ネットワークを未導入だった企業に新規で適用してみると、8〜9割の企業で管理画面が「真っ赤」なアラートで埋め尽くされるという。セキュリティパッチが当てられていなかったり、アンチウイルスのシグネチャが更新されていなかったりするPCが続々と検出されてしまうのである。日ごろ、いかに社員がパッチの適用などを無視して使い続けているかが分かることだろう。

　また2009年の話だが、クライアント5000台程度のネットワーク規模を持つある企業で、当時流行したウイルスに多くのPCが感染してしまい大問題となった。しかし、検疫ネットワークを部分導入していた500台のPCに関しては一切被害を受けなかったのである。その企業では、事故への対処が一段落すると、真っ先に全社への検疫ネットワークの導入に踏み切ったのである。

　このように、検疫ネットワークの効果というのは、入れてみてはじめて分かるところが大きい。そして導入すれば、どれぐらいの端末がセキュリティポリシーに対応していないかなどが視覚的なレポートにより判明するのである。