12.1.2 連携製品ごとの検疫システムの概要

連携製品ごとの検疫システムの概要について説明します。

<この項の構成>
(1) JP1/NETM/NMと連携した検疫システムの概要
(2) 認証サーバと連携した検疫システムの概要
(3) NetInsight II -PDと連携した検疫システムの概要
(4) JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要

(1) JP1/NETM/NMと連携した検疫システムの概要

JP1/NETM/NMと連携した検疫システムでは,セキュリティポリシーによる危険レベルの判定結果によって,危険レベルが高いクライアントについてはネットワークへの接続を遮断できます。

JP1/NETM/NMと連携した検疫システムの概要を次の図に示します。

図12-2 JP1/NETM/NMと連携した検疫システムの概要

[図データ]

ネットワークへの接続を拒否されたクライアントはオフライン環境でセキュリティ対策を実施するか,またはJP1/NETM/NMの検疫支援機能を使って,オンライン環境でセキュリティ対策を実施します。

JP1/NETM/NMと連携した検疫システムでの検疫プロセスを次の表に示します。

表12-2 検疫プロセス(JP1/NETM/NM)

項番検疫プロセス内容
1[図データ] クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。
2[図データ] JP1/NETM/NMによって危険レベルの高いクライアントのネットワーク接続を拒否する。
3[図データ] ネットワークへの接続を拒否されたクライアントのセキュリティ対策を実施する。
  • 検疫支援機能を使用する場合
    オンライン環境でセキュリティ対策を実施する。
  • 検疫支援機能を使用しない場合
    オフライン環境でセキュリティ対策を実施する。
4[図データ] 危険レベルを再判定し安全と判断されれば,JP1/NETM/NMによってクライアントのネットワーク接続を許可する。

(2) 認証サーバと連携した検疫システムの概要

認証サーバと連携した検疫システムでは,セキュリティポリシーによってクライアントを判定し,IEEE802.1X認証方式またはMAC認証方式でクライアントを認証します。

危険レベルの判定結果でセキュリティに問題がないと判定された場合,クライアントは社内ネットワークに切り替えられます。セキュリティに問題があると判定された場合は,セキュリティ対策専用のネットワークに切り替えられます。また,ネットワーク接続を拒否することもできます。

このマニュアルでは,動的VLAN環境でのセキュリティ対策専用のネットワークを検疫ネットワークと呼びます。また,固定VLAN環境でのセキュリティ対策専用のネットワークを認証前ネットワークと呼びます。

動的VLAN環境の認証サーバと連携した検疫システムの概要を次の図に示します。

図12-3 認証サーバと連携した検疫システムの概要(動的VLAN環境の場合)

[図データ]

動的VLAN環境の場合,危険レベルの高いクライアントは,検疫ネットワークに接続してセキュリティ対策を実施します。また,スイッチでVLANを作成します。

固定VLAN環境の認証サーバと連携した検疫システムの概要を次の図に示します。

図12-4 認証サーバと連携した検疫システムの概要(固定VLAN環境の場合)

[図データ]

固定VLAN環境の場合,危険レベルの高いクライアントは,認証前ネットワークに接続してセキュリティ対策を実施します。

認証サーバと連携した検疫システムでは,アクションポリシーに基づいたネットワーク接続の許可および拒否は,JP1/NETM/CSC - Agentの接続制御リストに登録されます。接続制御リストに従って,クライアントのネットワーク接続を制御します。

認証サーバと連携した検疫システムでの検疫プロセスを次の表に示します。

表12-3 検疫プロセス(認証サーバ)

項番検疫プロセス内容
1[図データ] クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。
また,IEEE802.1X認証方式またはMAC認証方式でクライアントを認証する。
2[図データ] 接続制御リストに従って,スイッチがクライアントの接続先を次のとおり切り替える。
  • 動的VLAN環境の場合,検疫ネットワーク
  • 固定VLAN環境の場合,認証前ネットワーク
3[図データ] 検疫ネットワークまたは認証前ネットワークに接続されたクライアントのセキュリティ対策を実施する。
4[図データ] クライアントの再認証および危険レベルの再判定を実施し,安全と判断されれば,スイッチがクライアントの接続先を社内ネットワークに切り替える。

(3) NetInsight II -PDと連携した検疫システムの概要

NetInsight II -PDと連携した検疫システムでは,セキュリティポリシーによる危険レベルの判定結果によって,危険レベルが高いクライアントについては,接続しているスイッチのポートを閉じることでネットワークへの接続を遮断できます。

NetInsight II -PDと連携した検疫システムの概要を次の図に示します。

図12-5 NetInsight II -PDと連携した検疫システムの概要

[図データ]

ネットワークへの接続を拒否されたクライアントは,オフライン環境でセキュリティ対策を実施します。

表12-4 検疫プロセス(NetInsight II -PD)

項番検疫プロセス内容
1[図データ] クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。
2[図データ] NetInsight II -PDによって,危険レベルの高いクライアントが接続しているスイッチのポートを閉じることで,接続を拒否する。
3[図データ] ネットワークへの接続を拒否されたクライアントのセキュリティ対策を,オフライン環境で実施する。
4[図データ] 危険レベルを再判定し安全と判断されれば,NetInsight II -PDによって,クライアントが接続しているスイッチのポートを開くことで,接続を許可する。

(4) JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要

JP1/NETM/DM(AMT連携機能)と連携した検疫システムでは,セキュリティポリシーによる危険レベルの判定結果によって,危険レベルが高いクライアントについてはネットワークへの接続を遮断できます。

JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要を次の図に示します。

図12-6 JP1/NETM/DM(AMT連携機能)と連携した検疫システムの概要

[図データ]

ネットワークへの接続を拒否されたクライアントはオンライン環境でセキュリティ対策を実施します。

JP1/NETM/DM(AMT連携機能)と連携した検疫システムでの検疫プロセスを次の表に示します。

表12-5 検疫プロセス(JP1/NETM/DM(AMT連携機能))

項番検疫プロセス内容
1[図データ] クライアントの危険レベルを判定して,危険レベルの高いクライアントを検出する。
2[図データ] JP1/NETM/DMのAMT連携機能によって危険レベルの高いクライアントのネットワーク接続を拒否する。
3[図データ] ネットワークへの接続を拒否されたクライアントのセキュリティ対策をオンライン環境で実施する。
4[図データ] 危険レベルを再判定し安全と判断されれば,JP1/NETM/DMのAMT連携機能によってクライアントのネットワーク接続を許可する。