NTT東日本オリジナル方式の 「検疫ソリューション」

Ｇ
Ｒ
Ｏ
Ｕ
Ｐ
・
Ｔ
Ｏ
Ｐ
Ｉ
Ｃ
Ｓ
Service
セキュリティ
検疫ネットワーク
情報漏洩対策
NTT東日本オリジナル方式の
「検疫ソリューション」
おきむら
たかゆき
き た
え い じ
ま ち だ
ひろし
沖村 隆幸 /喜多 英司 /町田
NT T東日本
浩
業務用PCのセキュリティ対策を
これらの問題の解決策として，クラ
の容易さの問題」と，不正な持込端
強化することで，情報漏洩やウイル
イアントPCのセキュリティ対策状況の
末に対する制御が不十分である，抜け
ス被害などを未然に防止する検疫シ
チェックを行い，一定の基準をクリア
道が存在するなど「セキュリティの高
ステムが注目されています．NT T東
しないクライアントPCについては社内
さの問題」があり，導入への阻害要因
日本が新たに開発した方式は，お客
ネットワークへの接続を拒否し，必要
となっていました．
さまの既存の通信ネットワークに変
な対策を行った後に接続を許可する検
更を加えることなく容易に導入する
疫システムが注目されています．しか
ことが可能であり，かつ高いレベル
し，既存の検疫システムの構成方式
のセキュリティ環境を実現すること
は，既存ネットワークを大きく変更し
NT T東日本の検疫ソリューション
が可能です．
なくてはならない，数多くの機器をリ
は，お客さまの通信ネットワーク内に
プレースする必要があるなどの「導入
クライアントPCの接続基準をチェック
ソリューションの特徴
検疫ソリューション
NT T東日本は，クライアントPC（企
社内業務サーバ
検疫済みのPCだけ
アクセス可能な
ネットワーク
業や公共機関の業務用PC）のセキュ
リティ対策を強化することで，情報漏
洩やコンピュータウイルス被害を未然
社内ネットワーク
に防止する「検疫ソリューション」に，
クライアントPCのセキュリティ診断機
②VPN
開発の経緯
企業では，情報漏洩やウイルス被害
などを防止する観点から，クライアン
トPCのセキュリティ対策，不正なク
ライアントPCの持込対策を強化した
検疫サーバ
VPN
ゲートウェイ
③VPN（治療）
①VPN（検疫）
正規PC
能を強化した上位メニューを追加し，
本年10月より提供を開始しました．
治療サーバ
セキュリティ検疫項目
・端末認証
・利用期間
・OSセキュリティパッチ
・ウイルス定義ファイル
・アプリケーションインストール
検疫クライアント
検疫ネットワーク
④
パーソナル
ファイア
ウォール
不正持込PC
① 検疫ネットワークにVPN（IPsec）で接続し，セキュリティ検査（検疫）を受ける．
② 検疫合格であれば，社内リソースへのアクセスが可能となる．
③ 検疫不合格であれば，治療手段へのアクセスだけを許可．
④ 不正な持込端末によるセキュリティ被害は，パーソナルファイアウォールおよび
VPN ゲートウェイにより防御される．
■特許出願済み
IPsec：IP security
図１ NTT東日本オリジナル方式の検疫ネットワーク
いというニーズが高まっています．
NTT技術ジャーナル 2005.12
49
ても社内リソースに接続させないため，
構成
方式
認証VLAN方式
認証DHCP方式
パーソナルファイ
アウォール方式
NTT東日本方式
より安全に情報システムを利用できる
環境が実現可能です．
構成
イメージ
(3)
センタ側からのクライアントPCの検
VPN
ゲートウェイ
DHCP
サーバ
運用の柔軟さ
疫結果や接続状況の把握，強制的な
接続
NG
VPN
ルール適用や通信遮断が可能なため，
運用上必須である例外対応や急なア
クセスルール変更に柔軟に対応するこ
VPN
パーソナル
ファイア
ウォール
接続
NG
とができます．またサーバ，クライア
不正
PC
○ポート単位の制御に
セキュリティ よる高い隔離性能
×固定IP利用による
抜け道
の高さ
導入の
容易さ
ントPCでの手動再検疫，ネットワー
ク移動や検疫ルール変更に伴う自動
不正PC
×導入機器数が多い
×既存ネットワークの
設定変更要
△VLAN環境前提
×持込端末には無防備
△パーソナルファイア
ウォールによる防御
○既存ネットワーク
○既存ネットワーク
変更不要
変更不要
○DHCPサーバ追加だけ ○少ない導入機器数
△DHCP環境前提
DHCP：Dynamic Host Configuration Protocol
○パーソナルファイア
ウォールによる防御
とVPN接続による社
内リソースの防御の
併用
○少ない導入機器数
○既存ネットワーク
変更不要
：設定変更
：新規追加
再検疫など，一度検疫を通過した後
でも，状況の変化に対応してアクセス
制御を行うことが可能です．
関連ソリューション
図２ 他検疫ネットワーク構成方式との比較
N T T 東 日 本 では， 検 疫 ソリュー
ションのほかに，ログ管 理 ソリュー
するための「検疫ネットワーク」を，
や社内リソースとの通信を禁止します．
ションやデスクトップ管 理 ソリュー
NT T東日本が独自に開発した，VPN
検疫ソリューションには，次の３つ
ションなど，クライアントPCのセキュ
（Virtual Private Network）とパー
の特徴があります．
ソナルファイアウォールを動的に制御
(1)
導入の容易さ
する方式（図１）を用いて構成しま
VPNとパーソナルファイアウォール
す．この方式により，
「セキュリティの
を動的に制御するNT T東日本方式で
高さの問題」と「コスト面・技術面
は，お客さまの既存の通信ネットワー
での導入の容易さの問題」の双方を
クのルーチングやV L A N （ V i r t u a l
バランスよく解決しました（図２）．
LAN）などの論理的変更が不要であ
検疫ソリューションでは，クライア
り，導入する機器数も少ないため，お
ントPCの厳密なハードウェア認証と利
客さまの通信ネットワークに大きな変
用可能期間のチェックに加え，クライ
更を加えることなく検疫ネットワーク
アントP C のセキュリティ対 策 状 態
が構成可能です．
（①セキュリティパッチの適用状況，
②ウイルス定義ファイルのバージョン，
(2)
セキュリティの高さ
ネットワーク上のVPNゲートウェイ
③必要・不要なアプリケーションソフ
（クライアントPCとの間でVPN通信を
トウェアのインストール状況等）を
行うネットワーク機器）とクライアン
チェックします．そして，管理者の決
トPC上のパーソナルファイアウォール
めた基準をクリアしているクライアン
が連携することにより，クライアント
トPCに対してだけ，社内リソース（業
PCと社内リソースを，不正な持込端
務サーバや社内ネットワーク）へのア
末による攻撃やウイルス感染から防御
クセスを許可します．不備のあるクラ
します．またクライアントPCのセキュ
イアントPCにはセキュリティパッチ適
リティレベルのチェックによりセキュリ
用のためのアップデートサーバへの誘
ティパッチやウイルスパターンファイル
導を行うとともに，他クライアントPC
等に不備があるクライアントPCについ
50
NTT技術ジャーナル 2005.12
リティ向上を目的とした各種ソリュー
ション・アウトソーシングサービスを
提供しています．
（左から）沖村 隆幸/ 喜多 英司/
町田
浩
NTT東日本では，クライアントPC のセ
キュリティを実現する各種ソリューション
を取りそろえています．ぜひTm@Solution
ホームページへアクセスしてください．
◆問い合わせ先
NTT東日本
ビジネスユーザ事業推進本部
ビジネスソリューション部
第３システムグループ
TEL 03-3830-5242
FAX 03-3830-3544
E-mail [email protected]
URL http://www.ntt-east.co.jp/tms/index.html