ネットワーク検疫
目次
ネットワーク検疫とは
ネットワーク検疫とは、PCなどのデバイスをネットワークに接続する際に、PCのセキュリティ状態(ウイルス対策ソフトの機能状態やOSのパッチ状況など)や不審なソフトウェアの存在(指定外のアプリケーションのインストールやマルウェアの感染状態など)をチェックし、状態に応じて隔離を行うシステムのことです。通常の認証に加えて行われます。
ネットワーク検疫の仕組み
まずPCを社内ネットワークに接続する前に、隔離されたネットワークに接続します。次に隔離ネットワークにて検査を実施し、問題があれば修正やアップデートなどの対処を行います。問題がなければ社内ネットワークへのアクセスが許可され、問題が解消できなければアクセス拒否などの措置が取られる仕組みです。
検疫とは、「国内に存在しない病原体による感染症の広がりを防ぐために、港湾や空港で貨物や乗り物、人を検査し対応を行うこと」という意味があります。この意味が転じて、ウイルス感染や不正アクセスのチェックも検疫と呼ばれるようになりました。
ネットワーク検疫の方式には、DHCP機能を利用した「DHCPサーバ方式」、認証機能に対応したスイッチを利用した「認証スイッチ方式」、PCにインストールしたファイアウォールと連携して行う「パーソナル・ファイアウォール方式」などがあります。
ネットワーク検疫の必要性
現在、外部でのノートPCの利用やテレワークなどが広まっている一方で、企業のセキュリティ対策の外での作業時に、マルウェアなどに感染するリスクも増加しています。また、完全に安全な環境であっても、リスクを100%排除するのは困難であり、サイバー攻撃やウイルスの悪意も増してきています。
より確固たるセキュリティ体制を構築するためには、ウイルス対策ソフトによるチェックだけでなく、まず企業内に危険を持ち込まないことが重要です。ネットワーク検疫によって、事前にリスクを排除する仕組みを構築しましょう。
ネットワーク検疫システムを導入するメリット
ネットワーク検疫システムを導入するメリットは次のとおりです。
- 社内ネットワークへのウイルス侵入やサイバー攻撃による情報漏えいやデータ破損のリスクを低減できる
- 不正な持ち込みPCやUSBなどの端末からのアクセスを防止できる
- 社内ネットワークへ接続する前に、ウイルス対策ソフトやOSが最新バージョンかどうかをチェックできる
- 不正ソフトやウイルスなどが検出された場合、管理者などに即座に警告を通知し、問題の早期発見ができる
ネットワーク検疫システムを導入する際は、既存のシステムや社内体制との相性やコストを事前に確認しておきましょう。
MCoreによるネットワーク検疫で解決できること
不正PCを監視してコンプライアンスを推進PCが社内ルールに準拠して適切に使用されているかを定期的に自動でチェックし違反を確認した場合は利用者に警告し、是正を促します。社外から持ち込まれる不正なPCや社内ルールに違反したPCはネットワークから隔離し、さらに是正するために必要な環境にのみアクセスするようにできるため、管理者に頼らず、PCの利用者が自力で改善・復旧することが可能です。セキュリティリスクの低減とコスト低減を両立した形でコンプライアンス遵守の推進を自動化できます。
ネットワーク検疫
柔軟なポリシー定義と情報の自動更新
定期的にチェックするセキュリティポリシーは、管理者があらかじめ用意されている基本ポリシーと自由に定義できる拡張ポリシーを利用して、社内利用ルールにマッチしたポリシーを柔軟に作成することができます。ウイルス対策ソフトのパターンファイルやパッチ情報など頻繁に変更が必要なポリシーはPC資産管理と連動して日々自動で更新します。
シミュレーションで業務への影響を検証可能
新しく作成したポリシーは配布する前にサーバ上のPC資産情報を活用してあらかじめ業務へ与える影響を予測することができます(シミュレーション機能)。ポリシーを見直したり違反PCに対して事前に対策を打つなど業務停止リスクを抑えた運用が可能です。
違反時の是正方法をPC利用者にわかりやすく提示
違反した時に警告するメッセージの内容と通知方法・タイミングはPC利用者にわかりやすく、柔軟に設定することができます。また対策用のポータルサイトを用意してそちらへ誘導するリンク(URL)を表示することも可能です。
ManagementBox(ネットワーク検疫ツール)
高度な検疫機能を手のひらサイズの装置で実現
ネットワークから遮断・隔離するには検疫ボックス【ManagementBox】※を使用します。ManagementBoxは既存のネットワークへ差し込むだけで簡単に設置することができ、エージェントを導入したPCはMACアドレスを登録する必要がありません。汎用サーバにインストール可能なソフト版もご用意しています。
ポリシー違反時は、社内ネットワークの遮断も可能
ポリシーに合格したPCは接続を許可、不合格のPCは接続を遮断します。さらに治癒サーバへは常時接続可能で、自力で復旧させることが可能です。
ManagementBoxの特長
低コスト
既存のネットワーク構成の変更が一切不要で、守りたい部分からのスモールスタートが可能。
簡単導入
手のひらサイズの装置を既存のネットワーク機器に差し込むだけの簡単導入。
治癒可能
特定の治癒サーバへは常時接続が可能で、管理者の手を借りずに自力での復旧を促します。
楽々運用
検疫対象は事前に調査・登録する必要なし。Webコンソールから簡単に集中管理できます。
安心設計
ファンレスで静粛&故障要因を排除した筐体。万一故障しても業務を止めない安心設計。
ハイスケール
1台で約500アドレス/セグメント、全体で50,000アドレスの大規模ネットワークに対応。
※検疫装置APRESIA(APRESIA Systems社製)にも連携できます。お客さまの声
業種:その他サービス / 従業員規模:1000人以上
部門内のPCについて、最新のWindowsアップデートが正しくインストールできているかを常駐して管理している。できていない場合は、アラートを発信してくれるため、アップデートをインストールをせざるを得ない状態になる。
全て見る業種:ソフトウェア・SI / 従業員規模:1000人以上
半期に一度のPC棚卸しにPCの検疫機能を活用。棚卸し期限内にMCoreでインベントリ情報を更新しないとネットワークから遮断される運用を行っているため、インベントリ収集に強制力がある。またWindowsのパッチ適用にも検疫機能を活用。期限内にパッチ適用しないとネットワークから遮断されるため、みんな期限を守ってWindowsのパッチを適用している。これがPCのセキュリティレベル維持に役立っている。
全て見る業種:その他小売・卸売 / 従業員規模:50-100人未満
セキュリティポリシー違反になった場合、違反箇所の確認及び違反した内容を修正し修復したことの確認が行える。そのためセキュリティポリシーを身近に感じることができるツールである。
全て見る業種:ソフトウェア・SI / 従業員規模:1000人以上
検疫システムを追加で導入し、PCのセキュリティ状態によってネットワーク隔離状態が切り替えられ、管理業務の負担が少なくセキュリティを向上できた。
全て見るこのページに関するセミナーも開催しています
【大企業向け】WSUSに頼らないWindowsパッチ管理の実現方法とは? ~1サーバで実現する、運用に手間のかからない管理システムをご紹介~
MCoreがITreview Grid Award 2024 Fall「High Performer」受賞
~IT資産管理ツール部門で4年連続~