検疫ネットワークとは?(3)
さて、検疫ネットワークを実現する方法について、3つの方法があるということを説明しましたね。
今回は「認証スイッチ方式」についてのお話です。
■認証スイッチ方式
これは、複数台のPCをネットワークに繋げるための「スイッチ」に、検疫の機能を持たせるものです。
普通はLANケーブルを持ってきて、PCとスイッチを繋げば、社内のネットワークに参加することができますよね。
でも単純につなげるだけではなくて、繋げた後に「認証」をクリアしない限りは、スイッチが社内ネットワークへの接続を制限します。
流れとしては、
1. 持ち込みノートPCをスイッチに繋げます。
2. PCの今の状態(パッチを適用しているか/ウイルス対策が最新か)を認証スイッチに伝えます(※1)
※1. 通常はスイッチに状態を伝えるためのソフトがノートPCに入っています。
3. もしノートPCの状態が安全だと判断されない場合には、スイッチによって、PCは「検疫ネットワーク」へ隔離されます(※2)
※2. 製品によっては、PCの状態が安全なだけでは許可せず、ユーザがWebブラウザでIDとパスワードを入力する必要があったりします。PCが安全かどうかだけじゃなくて、正規のユーザかどうかもチェックするわけですね。
4. 検疫ネットワークに送られたノートPCは、パッチを適用したり、ウイルス対策ソフトを最新にアップデートした後に、再度スイッチ による認証を受けます。
5. 接続を許可されたPCは、スイッチ経由で社内ネットワークに接続ができるようになります。
というような流れですね。
上記はあくまでも、認証スイッチ方式の一般的な動作についての解説なので、認証スイッチを提供しているメーカーによっては、ちょっと違った動きをする場合もありますので、ご了承くださいね。
また、認証スイッチ方式を実現するためには、単純にPCを繋げるスイッチだけじゃなくて、「こういうユーザなら繋げてもOK」とスイッチに指示を与えるための検疫サーバや、ID・パスワードを管理するための認証サーバなども同時に必要となります。
認証スイッチ方式の注意点としては、認証機能を持ったスイッチは普通のスイッチよりも値段が高い点です。
大きな企業だと、スイッチは数百台あったりもしますので、これを全部認証スイッチにするとなると、結構なお金が必要になるため、コストとも相談しないといけないということになります。