検疫ネットワークとは？（２）

「検疫」とは、セキュリティ対策の甘い持ち込みノートPCを、安全が確保できるまでは会社のネットワークに繋がせないという考え方でしたね。

安全でないPCについては、一時的に社内ネットワークとは別のネットワークに繋がせます。これを「隔離」と言います。

でも、会社にノートPCを持ってきてケーブルで繋いだら、普通会社のネットワークに繋がってしまいますよね？

これをどうやって「隔離」するのかがポイントになってきます。

色々な実現方法があるんですが、一般的には、

・DHCPサーバ方式
・認証スイッチ方式
・パーソナルファイアウォール方式

と呼ばれる３つの方法があります。

■DHCPサーバ方式

まずDHCPとは、PCに対してIPアドレスを自動で割り当てる技術です。

ネットワークに繋がっているPCは、必ずIPアドレスという番号を持つ必要があるんですが、これを手動で設定するのは面倒なので、DHCPサーバと呼ばれるものが勝手にIPアドレスやネットワークの情報をPCに渡してくれます。

家庭などでは、ブロードバンドルーターが、このDHCPサーバの役割をしていることが多いですね。

まず会社のネットワークにPCを繋ぐと、DHCPサーバから、そのPCに仮のIPアドレスと、ネットワークの情報が渡されます。

このはじめに渡されるIPアドレスなどの情報では、会社のネットワークには繋げないようになっています。

つまりこの時点で隔離された「検疫ネットワーク」にいるわけです。

次に、自分が安全な状態であるかどうかを調査してもらう必要があります。

このチェックを行うのが、「検疫サーバ」と呼ばれるもので、このサーバも検疫ネットワーク内に存在します。

まずPCは、この検疫サーバと通信をして、自分が今どんなパッチが適用されていて、ウイルス対策ソフトなどが最新の状態であるかどうかを、検疫サーバに伝えます。

その情報を見て、検疫サーバがこのノートPCは安全だと判断したら、会社のネットワークに接続ができる新しいIPアドレスをもらうことが出来、晴れて社内に繋げることができます。

でも、もしパッチがあたってなかったり、ウイルス対策ソフトの情報が古いままだったら、いつまでたっても社内にはつなげることができないことになってしまいます。

その場合は、検疫サーバから、WindowsUpdateをすることやウイルス対策ソフトを最新にすることが促されますので、それに従って、まず自分を最新の状態にした後で、再度検疫サーバのチェックを受けます。

こうすることで、ノートPCが安全な状態じゃない限り社内ネットワークには繋げることができないんですが、一点だけ注意点があります。

通常、DHCPサーバからIPアドレスなどの情報をもらうためには、ノートPC側の設定が自動でIPアドレスをもらうように設定されていないといけません。

でも、ユーザが手動でIPアドレスを設定することも可能なんです。

その場合、社内のネットワークのIPアドレス情報を手動で設定してしまえば安全でないPCも社内に接続できてしまうことが可能となってしまいます。

なので、この方式では手動で設定させないように、十分注意をする必要がありますね。