第1回 「セキュリティ認証・検疫~MAC VLANでダイナミックに実現~」
 |
| 図1 ウィルス被害総額 |
ネットワークにおけるセキュリティ対策はもはや常識。2003年の日本国内ウィルス被害総額の推計はなんと3,025億円にも及びます。
そのような中、ウィルスに不正アクセス、膨大なデータを送りつけるDoS/DDoS攻撃等への対策を終え、「これで外から守られた」とほっと胸をなでおろしたのも束の間、なぜか情報が社外に漏れて。半信半疑で突き止めた原因は、社員がウィルス感染に気づかず持ち込みPCをLANへ繋いでいた…というような、内部のセキュリティにおける意外な落とし穴は、実はかなり多いのです。
こうした被害への対策として、アラクサラの出した答えとは「PC一つ一つを認証・検疫する」こと。PC単位で認証・検疫を行い、かつダイナミックにVLANを切り替えられるのがアラクサラの特長です。
「エンジニアが語るアラクサラの技術」第1回目は、組織ネットワークにおけるアラクサラの認証・検疫ネットワークソリューション。
今回の語り手は、マーケティング本部の樋口秀光です。
 |
| 図2 内部の脅威 |
Q:ネットワーク内部の脅威というのは?
樋口:本来接続を許されないユーザが組織ネットワークに接続してしまうとか、組織内のPCがウィルス感染し、情報漏えいやデータの破壊・改ざんにつながるといったことです。これらは悪意を持って行う場合もありますが、それ以上に「知らずに」行ってしまう場合も多々あります。組織ネットワーク末端のPCのすべてを管理するというのは非常に手間がかかるためにミスも多く、情報漏えいやデータの改ざんということに結びつきやすいのです。そのためこれらをネットワーク内部の脅威と言えるのです。
Q:セキュリティポリシーに合致しないものをシャットアウトするのではなく、治療してから入れてあげるとは、なんだか人情味を感じますね。
樋口:セキュリティ対策でユーザの利便性を損ねては元も子もないですからね。アラクサラではギャランティード・ネットワークというコンセプトで取り組んでいますが、セキュリティの他にも操作容易性、高信頼、高品質といったことも挙げていまして、ユーザビリティに配慮した設計を心がけています。認証・検疫ネットワークソリューションでは、セキュリティのためにユーザのPCは何度も再認証が求められるわけですが、ユーザに求められるのは、初めにたった一度IDとパスワードの入力だけです。もちろんそれでセキュリティを疎かにしている訳ではなく、背後で高いレベルでのセキュリティ対策を実現しているのです。その仕組みもあわせて、アラクサラの認証・検疫ネットワークソリューションの特徴をご説明しましょう。
Q:ネットワークを利用する上で認証が必要だということは分かるのですが、検疫というのはどういうものなのでしょう?
樋口:確かに認証については銀行であったり役所であったり、生活の様々な場面でよく出くわしますね。IDとパスワードに相当するものを確認し、それによって相手が正規のユーザ、つまり管理者が認めたユーザであるのかどうかが判断されるわけです。悪意のある不正な利用者を排除するというものはネットワークでも当たり前に行われていますので分かりやすいかと思います。それに対しネットワークの検疫機能とは、先ほどお話しましたように、知らずにウィルスに感染しているようなユーザ対策として、そのユーザが(1)管理者の規定したセキュリティポリシーに該当しているかを確認し、(2)該当していない場合は別のLANに隔離、(3)隔離されたLANでセキュリティポリシーに合うよう治療を行い、(4)通常のLANへ再接続するというものです。例えばウィルス定義ファイルのバージョンやOSのパッチ状況といったことが検疫項目となります。
 |
| 図3 認証・検疫ネットワーク |
樋口:まずは認証についてですが、図3のような組織ネットワークに新たなPCが接続されたとします(1)。すると、初めにIEEE802.1Xプロトコルによる認証処理が開始し、アラクサラのスイッチ(2)は認証サーバ(3)に接続可否の問い合わせを行います。そして、認証OKとなったらスイッチはPCを認証・検疫VLANに接続します(4)。この状態で、PCはまだ業務VLAN内のサーバと通信することはできません。PCの安全が確認されるまでは、別VLANに隔離されているわけです。
次にPCは、認証・検疫VLAN内にある検疫サーバ(5)と通信を行い、検疫・治療処理を行います。検疫処理ではPC内のウィルス定義ファイルのバージョンやOSのパッチ等の管理者が規定したセキュリティポリシーへの合致状態を確認します。もし問題があれば、ファイル更新等の必要な処理を治療として行います。そして、検疫処理がOKとなったら、検疫サーバは認証サーバを経由して、PCの所属するVLANを業務VLAN(6)に切り替えるようにスイッチに指示します。これにより、PCは業務VLAN内のサーバ(7)と通信できるようになります。
以上が認証・検疫ネットワークソリューションの仕組みです。
Q:意外にも仕組みは簡単そうに聞こえますが?
樋口:そうですね。ですが、実はこの単純な話の中には、アラクサラの技術が詰まっているのです。
まず一つ目は、IEEE802.1X/RADIUS認証という標準仕様に準拠し、マルチベンダに対応しているということです。現在、認証・検疫ネットワークを構築しようとした場合、アラクサラ製品であれば、製品の選択肢が広がります。
二つ目はMAC VLAN機能を使った動的VLAN切り替えに対応していることです。VLAN切り替えは、これまではポート単位でしか出来ませんでしたが、MACアドレスというPC一つ一つに固有のものを利用することで、PC単位での動的な切り替えを可能としました。途中のスイッチでポートが集約されていても、センタースイッチのみで端末ごとのVLAN切り替えが可能ですし、この場合、エッジスイッチとの間でVLAN Tagを使った管理は必要ありません。さらに、センタースイッチでVLANの集中管理を行うことで運用コストの削減も期待できます。
 |
| ポートVLANの場合、ハブをつなぐとPC-Cが業務VLAN[2]に侵入できてしまう。 |
 |
| MAC VLANでは登録されたMACアドレスに応じてVLANを切り替えるので、MACアドレス未登録のPCは侵入できない |
| 図4 ポートVLANの脆弱性 |
また安全性の面で言えば、ポートVLANだとハブをつないでしまえば認証していないものでも入れてしまう恐れ(図4)がありますし、Tag VLANだとパケットのTagを詐称される可能性もあります。ですがMACアドレスは端末固有のものですので偽れませんし、もしMACアドレスを詐称してつなげようとしたとしても、再認証を一定間隔で送り続けていますので、すり抜ける可能性もない訳です。MAC VLAN機能により、かなり強固なセキュリティを確立することが出来ました。
Q:強固なセキュリティを確保している上に、運用コストの削減にもつながる訳ですね。
樋口:今回は、認証・検疫ネットワークソリューションの基本動作とアラクサラの特長技術についてご紹介しましたが、今後は、他社検疫サーバとの接続検証を行い、お客様のニーズにあったセキュリティソリューションを積極的に提供していきたいと思っています。
