検疫ネットワークとは?(5)
さて、検疫ネットワークがどうやってノートPCを隔離させるか、一般的な方式を見てきましたが、最後に実際の製品を使った例を見てみましょう。
「DHCPサーバ方式」「認証スイッチ方式」「パーソナルファイアウォール方式」と、3つの方式を説明してきましたが、今回紹介するのはそのどれともちょっと違います。
ゲートウェイ方式、認証ゲートウェイ方式とも言われる方法ですが、「ネットワークアドミッションコントロール(NAC)」と呼ばれるシスコシステムズ(シスコ/Cisco)の技術です。
シスコは、ルーターやスイッチといったネットワーク機器の超大手メーカーですね。
そのシスコのルーターやスイッチが、接続されたノートPCを隔離する役割をします。
まず、以下のような登場機器があります。
[ノートPC] — [Ciscoスイッチ] — [Cisco ACSサーバ] — [Policyサーバ]
これらの機器は、以下のように動作します。
1. まず、ノートPCがネットワークに接続されます。
2. ノートPCにインストールされているシスコのソフト(CTA)が、今のPCの状態をルーターに伝えます。
ノートPC: 「このPCのウイルス対策ソフトのパターン番号は200です」
3. スイッチは、CTAから受け取った情報を自分では判断できないので、Cisco ACSサーバに判断を仰ぎます。
スイッチ:「クライアントは200番のパターンだけど、これって最新のもの?」
4. ただ、ここでACS自身も、ウイルスパターン200番が最新かどうかを調べるための情報はもっていないため、今度はACSが Policyサーバに問い合わせをします。
ACSサーバ: 「200番のパターンというのは最新ですか?」
5. 次にPolicyサーバは、ACSサーバに、パターンが最新かどうかの答えを返します。
Policyサーバ:「最新は210だよ」
6. ACSサーバはその結果に基づいて、スイッチの設定変更をすることでクライアントを隔離します
なんで、スイッチがACSに聞いた後、またPolicyサーバに聞くというような面倒くさい構成になってるんでしょう?
それは、こういう仕組みにすることで、Policyサーバの部分で好きなメーカーの製品を使うことができるためです。
例えば、ウイルス対策製品で言うと、シマンテック、トレンドマイクロ、マカフィーの3社どれを使っていても、それと連携ができるのが利点なんです。
☆ ☆ ☆ ☆
さて、検疫ネットワークってどんなものかイメージできました?
この検疫ネットワークを導入することで、持ち込みPCによるウイルス感染を防ぐことができるとして2004年くらいから各メーカーが製品を開発してますが、2005年の時点ではまだまだ導入事例は少ないみたいです。
やっぱり、社内のネットワーク構成を大幅に変更しないといけないため、コストがかかってしまうことが要因かと思います。
広く導入されるまであまりもたもたしていると、そのうちもっと別の技術に取って代わられてしまうのかもしれませんね。