【NTT 東日本】 導入の容易さと高いレベルのセキュリティを 高次元でバランス良く実現する「検疫ソリューション」の 提供開始について NTT東日本は、企業や公共機関における業務用パソコン(以下、クライアントPC)のセキュリティ対策に強制力を与え、セキュリティ侵害の事前防止を実現する「検疫ソリューション」を平成17年6月より提供開始します。本ソリューションの特徴は、導入の容易さと高いレベルのセキュリティ環境の双方を高いレベルでバランス良く実現するところにあります。 ■提供の背景とソリューションの概要 相次ぐ個人情報漏洩、コンピュータウイルス被害など、企業や公共機関におけるクライアントPCのセキュリティ対策は、もはや企業セキュリティ対策の中心的課題と言っても過言ではありません。多くの企業では何かしらのウイルス対策ソフトを導入しているものの、その運用、動作の確実性については、エンドユーザまかせという状況にあります。 また、個人情報保護法の完全施行をきっかけに、多くの企業では社内のセキュリティポリシー、運用ルールの見直しを実施しました。そこで改めて浮かび上がって来たのが、エンドユーザのモラルにたよらない、強制力のあるセキュリティ対策の必要性です。 この様な問題についての対策の一つが「検疫システム/検疫ネットワーク」と呼ばれる製品です。現在、市場には「認証VLAN方式」「認証ゲートウェイ方式」「認証DHCP方式」「パーソナルファイアウォール方式」など、セキュリティ的に不備のあるPCのアクセスを制限する製品が存在しますが、その多くは、導入時に非現実的な量の機器の設置を伴ったり、社内ネットワークの大幅な変更が必要なものなど「導入が困難」であるか、導入は容易だが抜け道があったり、外部からの不正な持ち込みPCに対して十分なアクセス制限がかけられないなど、「セキュリティ強度が不十分」であるかのどちらかに偏っているというのが実情です。 今回、NTT東日本は前述の問題を踏まえ、新しい検疫方式を開発しました。NTT東日本の「検疫ソリューション」は、お客様ネットワーク内にVPN技術とパーソナルファイアウォール技術を用いた検疫ネットワークを構成することにより、他社の検疫製品では実現できなかった、技術面/コスト面での導入の容易さとセキュリティの高さをバランス良く実現することが可能なところにあります。(特許出願中)検疫ソリューションの構成例、動作概要は図1をご参照ください。 検疫ソリューションの動作概要 (1)正規端末は、検疫ネットワークへVPN(1)で接続し、端末認証、セキュリティレベル検査、利用時刻チェックを受ける。 (2)検疫の結果に問題がなければ、新たにVPN(2)の接続を行い、社内リソースへのアクセスが可能となる。 (3)不正端末によるセキュリティ被害は、パーソナルファイアウォールおよびVPNゲートウェイにより防御される。クライアントの通信も暗号化されている。 ■検疫ソリューションの特徴 (1)既存のお客様ネットワークに大きな変更を加えることなく、検疫ネットワークを構成できます。 本方式は、ネットワーク機器とクライアントソフトウェアが連携してアクセス制御を行うシステムであり、不正な端末からのアクセスを防ぎたいエリア(サーバセグメントなど)の入口にVPNゲートウェイを設置するだけでよいため、認証VLAN方式などのシステムと比べて設置機器の数が少なくてすみます。また本方式は、VLAN構成の変更や、802.1Xへの対応など、既存ネットワークの大幅な論理的/物理的変更の必要がなく、検疫ネットワークを構築することが可能です。 (2)VPN、パーソナルファイアウォール、ハードウェア認証、アクセス制限ルールの暗号化により、強固なセキュリティを実現できます。 クライアントソフトウェアはVPNクライアント機能およびパーソナルファイアウォール機能を実装しているため、不必要な通信にクライアントPC自身をさらす危険を少なくすることが可能であると同時に、自クライアントPCが加害者となることを防ぐことも可能となります。この特徴により、認証ゲートウェイ方式で指摘される、ゲートウェイ配下のNWでは不正PCが野放しになってしまうという問題の持つセキュリティリスクを下げることが可能です。また、クライアントとVPNゲートウェイ間の通信は暗号化が行われるため、ネットワーク上の通信データ盗聴、認証情報の窃盗などを防ぐ事が可能です。 更にクライアントPCは、ハードウェア認証により、登録されたPCそのものであることの確認がなされます。そしてアクセス制御ルールは、当該クライアントPCでのみ利用可能な形で配布、保存され、その内容はクライアントPCの利用者からも秘匿されます。これらの確実な端末認証と設定情報の秘匿性は企業ネットワークのセキュリティレベルをより一層向上させます。 (3)クライアントPCのセキュリティ状態、利用者権限に応じた柔軟なアクセス制御が可能です。 クライアントPCのセキュリティレベル診断結果や、そのクライアントPCの所属組織、認められた権限などに応じて、きめの細かいアクセス制限ルールを設定することが可能です。セキュリティ的に不備のあったクライアントPCにすべての通信を遮断させることも、影響の少ない一部の社内リソースにのみアクセスを許可することも可能です。 検疫システムを運用していくためには、例外への対処が必須となってきます。本システムでは、管理者が確保したいセキュリティレベルとエンドユーザからの業務上の要請という矛盾する要求から生じる、一時的な例外対応や、急なアクセスルールの変更に対応することができます。 (4)LAN 環境、リモートアクセス環境で利用できます。 本ソリューションは、IPネットワーク上であれば柔軟に適用可能な方式であり、インターネットVPN、IP−VPN環境においても利用可能です。この特徴により、セキュリティ的に深刻なリモートアクセスにおけるクライアントPCの認証、セキュリティレベルチェックによるアクセス制限をLAN環境共通の仕組みを用いて実現することが可能です。 ■検疫ソリューションのラインナップと提供時期 「検疫ソリューション」は、次の3つのラインナップをご用意します。 (1)隔離(不正PC接続対策) クライアントPCの端末認証と利用期間をチェックし、不正な持込みPCによるセキュリティ被害を防ぎます。 (2)検査(コンプライアンスチェック) クライアントPCのセキュリティパッチの適用状況、ウイルス定義ファイルのバージョン、必要/不要なアプリケーションのインストール状 況をチェックし、その結果をエンドユーザに通知、適正化を支援します。 「隔離」、「検査」はH17年6月から提供を開始します。「検疫」はH17年8月から提供開始予定です。
|