HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2008 年上期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2008 年上期)

3 検疫ネットワーク技術の標準化動向

馬場 達也

はじめに

  2008 年上期(1 月~6 月)は、ネットワークセキュリティ分野では、SQL インジェクションワームや、PDF ウイルス、USB ウイルスなど、新たなマルウェアの出現があったが、これらのマルウェアの対策技術の一つである、検疫ネットワーク技術の標準化に進展があったため、今回はその標準化動向について報告する。

検疫ネットワークが必要となる背景

  現在、ワームやスパイウェアなどのマルウェアと呼ばれる不正プログラムの被害が深刻となっている。このマルウェアへの対策としては、ネットワークベースの対策とホストベースの対策に分けることができる。ネットワークベースの対策としては、インターネットからのマルウェアの侵入を防ぐために、ファイアウォールやIPS(Intrusion Protection System:侵入防止システム)を導入したり、メールサーバやWeb プロキシサーバに、ウイルス対策ゲートウェイ製品やスパイウェア対策ゲートウェイ製品などのマルウェア対策製品を導入することが実践されている。このようなネットワークベースの対策はインターネットからの侵入に対して効果があるものの、外出先などでマルウェアに感染したノートPC を企業ネットワークに持ち込むことによって感染が拡大するケースに対しては無力である。このような場合は、エンドポイントとなる各クライアントでのホストベースの対策が有効である。
  ホストベースの対策としては、ウイルス対策ソフトやスパイウェア対策ソフトなどのマルウェア対策ソフトの導入や、パーソナルファイアウォールの導入、マルウェアが感染する際に悪用するセキュリティホールを塞ぐためのセキュリティパッチの適用が有効である。しかし、クライアントで対策を行うには、そのクライアントを使用しているユーザが適切な対策を行う必要があるが、それを徹底させることが難しいという問題がある。このため、検疫ネットワークシステムという仕組みが提案されてきた。

検疫ネットワークシステムの定義

  検疫ネットワークシステムは、PC をネットワークに接続する際に、接続PC のセキュリティ対策状態を検査し、その状態が、ネットワークの基準に合格する場合にのみ、ネットワークへの接続を許可する。基準を満たせなかった場合は、検疫ネットワークに隔離され、 基準を満たすために行うべきアクションが指示される。検査されるセキュリティ対策状態には次のようなものがある。

・  マルウェア対策ソフトでリアルタイム保護が有効になっているかどうか
・  マルウェア対策ソフトの定義ファイルが最新になっているかどうか
・  適切なOS のパッチが適用されているか
・  不適切なソフトウェア(P2P ソフトなど)がインストールされていないかどうか
・  利用すべきソフトウェア(パーソナルファイアウォールなど)が動作しているか

  検疫ネットワークシステムの導入の目的としては、(1)マルウェアに感染したPC をネットワークに接続させない、(2)ネットワークに接続されるPC の対策を徹底させる、の2 つが考えられるが、(1)の目的は「検疫」という意味に合致しているものの、実際はネットワーク接続時にマルウェアに感染しているかどうかをネットワーク側がチェックすることは難しい。このため、現段階では、(1)の目的ではなく、(2)の目的で導入する必要がある。
 また、ネットワーク接続時に、ユーザ認証を行うだけのシステムや、MAC アドレスをチェックするだけのシステムは、マルウェア対策という目的に合致しないため、検疫ネットワークシステムには含まれない。

検疫ネットワークシステムの方式

  以上の仕組みを実現するため、検疫ネットワークシステムでは、クライアント上の検疫ソフトウェア、検査を実施する検疫サーバ、ネットワークへの接続を制御するレイヤ2 スイッチや無線LAN アクセスポイント、VPN ゲートウェイなどの様々なコンポーネントが協調して動作する必要がある。
  検疫ネットワークの方式としては様々なものが提案されているが、アクセス制御を実施するポイントで分類すると、「認証スイッチ方式」「ゲートウェイ方式」「DHCP 方式」「パーソナルファイアウォール方式」の4 種類に大別される。
  「認証スイッチ方式」は、PC を有線LAN または無線LAN でレイヤ2 スイッチや無線LAN アクセスポイントに接続する際に、IEEE 802.1X やWeb 認証の仕組みと連携して、セキュリティ対策状態をチェックする。ネットワークのエンドで制御できるので、基準を満たせなければ、全くネットワークに参加できない方式であり、効果が高い方式と言える。しかし、すべてのエンド機器がIEEE 802.1X やWeb 認証に対応していなければならないため、コストがかかるという問題がある。
  「ゲートウェイ方式」は、ネットワーク上の中間ノードであるルータやレイヤ3 スイッチ、ファイアウォール、VPN ゲートウェイなどをトラフィックが通過する際に検査を行う方式である。認証スイッチ方式と比較して、対応機器が少なく済むため、導入のコストを低く抑えることが可能である。ただし、ゲートウェイを通過しない通信はチェックを受けなくても可能となってしまうという問題がある。
  「DHCP 方式」は、DHCP の仕組みを利用した方式であり、ネットワークへの接続時には、限られた範囲しかルーティングされない一時的なアドレスを割り当て、検査に合格した場合にのみ、通常のアドレスを割り当てるという仕組みである。導入が比較的容易な方式ではあるが、DHCPを利用していない環境では導入できないという問題や、静的にアドレスを設定されてしまった場合には効果がないという問題がある。
  「パーソナルファイアウォール方式」は、クライアント上にインストールされたパーソナルファイアウォールでアクセス制御を行う方式である。ネットワーク上には、チェックを行うパーソナルファイアウォールのサーバがあればよいというメリットがあるが、パーソナルファイアウォールがインストールされていないクライアントは、検査を受けなくてもアクセスが可能となってしまうという問題がある。

検疫ネットワークシステムの標準化動向

  検疫ネットワークシステムはさまざまなベンダから製品がリリースされているが、現在、有力とされているのが、以下の3 方式である。

  ・Cisco Systems のNAC(Network Admission Control)
  ・Microsoft のNAP(Network Access Protection)
  ・TCG(Trusted Computing Group)のTNC(Trusted Network Connect)

  このうち、Cisco NAC とMicrosoft NAP は相互接続可能にするために、NAP クライアントとして動作するMicrosoft Windows Vista およびWindows XP SP3 に対して、Cisco NAC の技術である”EAP-FAST”と”EAP over UDP”を提供しており、Windows Vista およびWindows XP SP3 は特別なクライアントソフトウェアを導入する必要なしに、CiscoNAC クライアントとして動作可能となっている。また、Microsoft は、NAP プロトコルをTCG に提供し、TNC の仕様(IF-TNCCS-SOH)としてリリースした。これにより、TCG TNC に準拠したシステムは、Microsoft NAP の機能も持つようになり、Microsoft NAP とTCG TNC は相互接続できるようになる。このように、相互接続のための努力は行われているものの、実際は、それぞれがお互いの仕様を実装しているだけであり、方式が一本化されているわけではない。
  このような状況の中、IETF(Internet Engineering Task Force)では、2006 年7 月にNEA (Network Endpoint Assessment)BOF を実施し、検疫ネットワークシステムのプロトコルの標準化に乗り出した。NEA BOF は2006 年11 月に正式にWG として活動を開始し、前述のCisco Systems やMicrosoft、TCG TNC 陣営のJuniper Networks、Symantecなどのベンダが参加し、プロトコルに対する要求仕様をまとめてきた。そして、この要求仕様が固まり、2008 年6 月にRFC 5209 として発行された。これに伴い、NEAWG は具体的なプロトコルの検討に入り、2008 年2 月にTCG TNC 陣営から、PA(Posture Attribute)プロトコルおよびPB(Posture Broker)プロトコルの仕様が提示され、2008年4 月にこれらをWG の正式ドキュメントとして標準化を進めることに合意した。
  IETF NEAWG では、「NEA 参照モデル」にて次の3 つのプロトコルを定義している。

  ・PA(Posture Attribute)プロトコル
  ・PB(Posture Broker)プロトコル
  ・PT(Posture Transport)プロトコル

検疫ネットワークシステムの標準化動向

図1: IETF NEA 参照モデル

  PA プロトコルは、Posture 情報と呼ばれる、セキュリティ対策状態を運んだり、アセスメント結果や改善手順(Remediation)を通知するためのプロトコルである。PB プロトコルはPA プロトコルで運ばれる属性メッセージを集約して運ぶプロトコルであり、総合判断結果(Global Assessment Decision)を通知する役割を持つ。PT プロトコルは、セキュリティを確保しながらPBプロトコルを運ぶ役割を持つトランスポートプロトコルであるが、EAP(Extensible Authentication Protocol)およびEAP を運ぶためのIEEE 802.1X(EAPOL: EAP over LAN)、IKEv2、RADIUS などの既存のプロトコルを使用することとなっており、標準化対象には含まれていない(認証スイッチ方式ではIEEE 802.1X、VPN ゲートウェイ方式ではIPsec のIKEv2 が利用可能)。
  PA プロトコルおよびPB プロトコルは、TCG TNC 仕様をベースに標準化が進もうとしている。PA プロトコルは、TNC のIF-M 1.0 プロトコルとほぼ同一の内容となっており、PB プロトコルは、TNC のIF-TNCCS 2.0 プロトコルとほぼ同一の内容となっている。実のところ、TNC のIF-M 1.0 およびIF-TNCCS 2.0 は、IETF NEAWG が策定したプロトコル要求仕様に従って規定されており、PA プロトコルおよびPB プロトコルがRFC 化された場合には、TNC のIF-M およびIF-TNCCS 仕様と相互接続性が確保されることになる(TNC IF-M 1.0 およびIF-TNCCS 2.0 は現在、TCG においてパブリックレビュー中というステータスになっている)。

まとめと今後の展開

  複数の方式が乱立していた状態であった検疫ネットワークシステムであるが、IETF NEAWG において、TCG TNC 仕様をベースに具体的なプロトコルの標準化が進み始めた。 現在は、各ベンダがお互いのプロトコルを実装しあうことで相互接続性を確保しようとし ているが、実装のための手間や、相互接続の条件の複雑さなどによる利用者側の混乱など、 様々な問題が発生すると考えられる。
  IETF NEAWG では、2009 年を目途に検疫ネットワークプロトコルをRFC 化すると表 明している。これを機に、各ベンダの検疫ネットワークシステム製品もIETF 標準に準拠 すると予想され、検疫ネットワークシステムが普及するきっかけとなると考えられる。
  また、現在は標準化対象としていないPT プロトコルではあるが、エンドのレイヤ2 ス イッチや無線LAN アクセスポイント、VPN ゲートウェイ以外のファイアウォールやルー タなどでアクセス制御を行う場合には、標準となるプロトコルが存在しないのが現状であ る。Cisco NAC では、中間のルータで検疫を実施するために、IEEE 802.1X で使用され ているEAPOL(EAP over LAN)を、レイヤ3 ネットワークで運べるように拡張したEAP over UDP を独自に開発して利用しているが、このようなプロトコルの標準化が必要にな る可能性もある。

以上

目次へ
次へ