検疫ネットワーク
ネットワークに接続する際、セキュリティポリシーを満たしていない場合は利用できないようにできます。
本項では、検疫ネットワークについて説明します。
検疫ネットワークとは
パソコンがWindowsアップデートされているか、ウィルス対策ソフトが導入されているかなどのセキュリティポリシーと照らし合わせ、ポリシーを満たしていない場合は業務で使っているネットワークに接続できないようにすることが可能です。これを、検疫ネットワークシステム(または、単に検疫ネットワーク)と言います。
まったくネットワークが使えないとWindowsアップデート自体ができないため、検疫専用のVLANに接続してアップデートなどができるようにすることも可能です。
検疫向けサーバーとは、WindowsアップデートのためのWSUS(Windows Server Update Services)やウィルス対策ソフトの定義ファイルを配布するサーバーなどです。WSUSなどを配置することで管理者がアップデートをするタイミングを設定したり、パソコンでアップデートが適用されているか確認したりすることができます。
検疫ネットワークの仕組み
検疫ネットワークは、IEEE802.1X認証でダイナミックVLANを利用することで実現可能です。
IEEE802.1X認証ではパソコンを起動した際、ID/パスワードを入力、または証明書により認証・検疫サーバーと通信を行います。
認証されなかった場合は、VLANが割り当てられずネットワークが使えません。
認証された場合、検疫が行われます。検疫サーバーに設定されているセキュリティポリシーに従い、Windowsアップデートやウィルス対策ソフトの導入状況などがチェックされ、ポリシーを満たしていない場合は検疫専用のVLANに接続し、DHCPにより検疫専用のIPアドレスが割り当てられます。
802.1X認証を行うためにはサプリカントというソフトウェアが必要ですが、最近のWindowsでは標準で実装されています。ただし、検疫を行うためには検疫サーバーに対応したサプリカントが必要な場合があります。
このため、新たに検疫ネットワークを導入する場合、あらかじめ社内Webサーバーなどで公示し、サプリカントのダウンロードや自動インストールを促すよう配慮が必要です。
セキュリティポリシーを満たしている場合は業務用のVLANに接続し、DHCPにより業務用のIPアドレスが割り当てられます。業務用のVLANから、社内のネットワークが使えるようになります。
ルーターがあれば、ルーティングして他のネットワークとも通信可能です。
検疫専用のVLAN
検疫専用のVLANは、Windowsアップデート用のサーバーであるWSUS、ウィルス対策ソフトの定義ファイルをアップデートするサーバーなどと通信可能です。
検疫専用のVLANに接続されたパソコンはこれらのサーバーを利用してアップデートし、再度検疫を実行することで業務用のVLANが使えるようになります。
ただし、アップデート専用のサーバーを導入・運用するのはコストと手間がかかります。
中小規模のネットワークでは、それほどお金も手間もかけられない場合が多いと思います。この場合、セキュリティは弱くなりますが、検疫専用のVLANはインターネットにだけ通信可能なようにします。
インターネットと通信可能なため、検疫専用VLANに接続されたパソコンからWindowsや定義ファイルなどのアップデートが可能です。
この方法は比較的安価でWSUS管理などの手間が省けますが、セキュリティが確保されていないパソコンがインターネットと通信できるため、検疫専用VLANはファイアウォールで通信先をアップデートサーバーに限定するなどの対策が必要です。
検疫サーバー
検疫サーバーは、Windowsのパッチ情報やウィルス対策ソフトの最新定義ファイルの情報などを保存して、どのパッチや定義ファイルまで適用されていない場合は検疫専用のVLANに接続するかポリシーを決めることができます。
常に最新でなければいけない設定にすると、多くのパソコンが業務用のVLANに接続できなくなるため、通常は猶予期間を設け、その期間内に適用されなければ検疫専用のVLANに接続するようにします。
検疫サーバーはパッチ情報などを設定する必要があるため運用の手間がかかりますが、検疫サーバーのソフトウェアを販売している会社では推奨定義をダウンロード可能なサービスもあるため、この場合は自動化ができます。
前のページ「ポート認証機能」