TOP
>
サーバ構築・運用
> VPN検疫の代表的な手法
企業ネットワーク防御最前線〜検疫LAN/VPNでセキュリティ向上を目指せ!〜
第4回:企業ネットワークにおけるVPN検疫
著者:
NTTデータ先端技術 大西 壮輝
2007/1/12
前のページ
1
2
3
4
次のページ
VPN検疫の代表的な手法
それでは、VPN検疫の代表的な手法を比較し、さらに導入する際のポイントについて解説する。
VPN検疫にはLAN検疫同様、隔離から検疫までのプロセスを行い、さらに不適合の場合にはアクセスを拒否するといったタイプのソリューションと、それに加えて治癒や設定変更などの高度な機能、詳細なログ管理機能が備わったソリューションが存在する。
ビジネスの発展やVPNというサービスの特徴から、社外にある自宅PCや協業他社のPCといった管理対象外の端末を制御することが求められており、後者の高度な機能を備えたものが今もっとも重要視されているポイントである。
図5:VPN検疫の模式図
(画像をクリックすると別ウィンドウに拡大図を表示します)
VPN検疫ネットワークシステムでは、その中核であるインテグリティチェックを行うモジュールの違いによっていくつかの手法が存在する。またVPN検疫ネットワーク機能そのものについても違いがでてくる。これらを総合すると、次の表4のようになる。
表4:手法によるVPN検疫ネットワークシステムの違い
(画像をクリックすると別ウィンドウに拡大図を表示します)
現在もっとも注目されているソフトウェア型のVPN検疫では、まず接続する利用者の認証とともに端末状態の検疫(セキュリティ状態のレベルや端末の設定値)を実施し、すべてを満たした場合にのみアクセスを許可して最終的なVPNセッションを確立する。
さらにソフトウェア型のVPN検疫を利用することで、次のようなメリットを受けることができる。
VPN機器とは「疎」であるために既存のVPN環境に追加して構築できる
様々なセキュリティチェック設定を簡易なGUIを利用して設定できる
セキュリティレベルが満たない端末に修正プログラムやパターンファイルなどで治癒ができる
アクセスログやVPN接続の記録などを管理できる
動的なセキュリティチェック項目の追加/変更が可能
表5:ソフトウェア型VPN検疫のメリット
このように、ソフトウェア型のVPN検疫ソリューションは、運用面において非常にすぐれた機能を持ち合わせているソリューションだといえる。
前のページ
1
2
3
4
次のページ
著者プロフィール
NTTデータ先端技術株式会社
EA事業本部 NOSiDEビジネスユニット 大西 壮輝
京都大学大学院情報学修了後、NTTデータに入社。基盤開発フレームワーク作成を経験。現在ではNTTデータ先端技術に出向し、パッケージ(NOSiDE Inventory SubSystem)のプロダクトマネージャーとして従事。特にセキュリティのコンサルティングやIT資産管理、LAN検疫/VPN検疫などに注力。チーフコンサルタント。
INDEX
第4回:企業ネットワークにおけるVPN検疫
企業ネットワークのVPN検疫
なぜ正規利用者からの情報流出が発生するか
VPN検疫の代表的な手法
VPN検疫導入に関するポイントおよび導入事例
