検疫ネットワーク運用術で危険端末を見抜く：IT導入完全ガイド（4/4 ページ）

[小池晃臣，タマク]

　それでは、検疫ネットワークの導入、運用時に注意すべきポイントについてよく聞かれる課題をその解決策を示しながら幾つか挙げてみることにしよう。

「ルールが厳しすぎて業務の遂行に支障が……」の解決策

課題

　最初からガチガチの厳しいルールを適用してしまうと、特にユーザーが慣れない最初のうちはほとんどのPCが正規なネットワークへの接続を弾かれてしまい、業務に支障が生じてしまうことになる。社内で取引先の接客中に「セキュリティパッチを更新中ですので少々お待ちください」などといっていたのではかなり問題だろう。これでは、現場からの非難の声が高まってしまうのも無理はない。

解決策

　まずは情報システム部門など一部の組織で試行的に導入して使い勝手を検証してから徐々に適用範囲を広げていくという方法や、最初はセキュリティポリシーの適用を緩めにして段階的に制限を厳しくしていくといった方法が有効なケースが多い。限られたユーザーについては制限を緩くしてみるのも1つの方法だろう。

　また、検疫ネットワークソリューションの選定時に、ポップアップでパッチの更新を促すなど、なるべく管理者への問い合わせを減らすような機能があるかどうかにも目を向けるべきだ。

　いかに業務を止めず、ユーザーの負担を最低限に抑えつつ、必要なセキュリティレベルを確保するかを心掛けつつ、柔軟な導入が可能なソリューションを検討するようにしたい。

図8 検疫ソリューションのステップアップ導入例（出典：NEC）

「ネットワーク構成をガラッと変えなきゃダメ？」への対応法

課題

　検疫ネットワークには、ネットワーク構成を変える必要がある製品も多く、そのため導入を敬遠しているという声もよく聞く。ネットワーク構成を変えるためには、コストはもちろんのこと、スタッフのスキルや手間も必要となってくるため、二の足を踏むのも無理はない。

解決策

　ネットワークのコアスイッチに接続するタイプの検疫ネットワークソリューションであれば、既存のネットワーク構成そのままでの導入が可能だ。そうしたソリューションにはさまざまなベンダーのネットワーク機器と連携させて検疫を実施できるものも存在する。

　また、パーソナルファイアウォール方式の検疫ネットワークの場合、ネットワーク構成の変更も、ネットワークに対する高度な知識も必要としない。

「全PCへのエージェントインストールが面倒……」への対策

課題

　全てのPCにエージェントをインストールするには相当の手間がかかる。ユーザー自身でやってもらうにせよ、マニュアルの作成や配布が必要だったり、貴重な業務時間が削られることで不満も大きくなりがちだ。

解決策

図9 インストール手順＜その1＞。ポップアップ画面でエージェントのインストール手順をフォロー（出典：ソフトバンク・テクノロジー）

　まず、当然ながらエージェントレス型の検疫ネットワークソリューションであれば、エージェントのインストール作業は不要だ。ただ、エージェント型にはメリットも多いので、いかに容易にエージェントをインストールできるかにも注目すべきだろう。

　例えば、エージェントが入っていない端末から社内ネットワークに接続した場合に、強制的にWebブラウザを起動してインストール手順が書かれたページを表示することができるソリューションもある。このようにすれば、ユーザーに負担をかけずに確実にインストールを行うことができるだろう。

　図9で示す製品ではユーザーに簡単にインストールしてもらえるよう、フォローがされている。

インストール手順＜その2＞、インストール手順＜その3＞

インストール手順＜その4＞、インストール手順＜その5＞（出典：ソフトバンク・テクノロジー）

「Mac端末を制御できない」時はどうする？

課題

　Windows端末についてはかなり細かい制御が可能であっても、Macクライアントはほとんど制御できないという検疫ネットワークソリューションは多い。最近では自社の業務でMacを使用している割合も増えつつあり、さらに自宅のMacからVPNなどで社内ネットワークに接続するようなケースもありがちだ。

　そこで導入してから気づいて大騒ぎするケースも多いという。Macの制御が不十分な理由は、Windowsと違ってMacにはインストールという概念がないため、アプリケーションのコントロールが難しいということもある。

解決策

　これはずばり、Macの制御にも十分に対応した検疫ネットワークソリューションを選ぶようにすべきだろう。そうしたソリューションであれば、アンチウイルスソフトが入っていないことが多いMacであっても、社内ネットワークへの接続時にインストールを促すことができるようになり、多様なデバイスのより安全な利用が実現できる。

コラム：インターネット「抜け穴テザリング」は管理者泣かせ

　ネットワーク機器やサーバアプリケーションなどで社内からのインターネットへの接続をどんなにコントロールしても、社員があっさりと回避できてしまう抜け道がある。それが、Wi-Fi接続タイプやUSB接続タイプのモバイルルーターやスマートフォンに備わっているテザリング機能だ。

　とりわけテザリングは、ほとんどの社員が持ち歩いている私物のスマートフォンで利用可能であることから、気軽に使われやすい。

　例えば、社内からの利用が禁止されているSNSや掲示板サイトに業務上どうしてもアクセスする必要が生じた場合、いちいち許可を取っていては時間も手間もかかり過ぎる。そこでついこっそりと自身のスマートフォンのテザリング機能を使って会社のPCからアクセスしてしまうのである。

　こうしたテザリングによるインターネットへの「勝手接続」で万が一情報漏えいが起きてしまった場合、会社は経緯を追うことができず説明責任が果たせなくなってしまう。このことは、いままさに多くのネットワーク管理者の頭を悩ませている問題なのだ。

　テザリングによる許可されてないネットワーク接続を防ぐ唯一の方法といえるのが、検疫ネットワークの利用だ。エージェント型であればパーソナルファイアウォールによって、たとえテザリングを使ってスマートフォンにWi-Fi接続したとしても、インターネットへのアクセスそのものをブロックしてしまうことができるのである。