・「検疫ネットワーク」については、IPAの試験を受けた人は、ある程度聞き慣れた言葉として認識していると思われる。・マルウェアに感染したかもしくは感染した疑いのあるPCだけ社内のネットワークから隔離して、別のネットワークにつなぐことかなと思われたら、ほぼ正解である。

・出張等で持ち歩いていたPCを社内のネットワークに有線もしくは無線接続するときに、まず検疫サーバ（セキュリティソフトやOSの更新を配信し、各端末に適用したり、ウィルススキャンをさせたりする）とだけ通信できる状態にし、検疫が完了したら、社内ネットワークと通信できるIPアドレスをPC(端末）に払い出す。

・以上の作業を自動的に行う仕組みを、「検疫ネットワーク」といい、認証機能のあるスイッチや無線APとRADIUSサーバと検疫サーバなどを組み合わせた、セキュリティ製品あるいはセキュリティサービスとして様々なベンダーから販売されている。かなり高価なシステムである。

・小規模なオフィスなどでは導入が難しいことは間違いない。家庭用ルータを使って、インターネットだけを共用し、社内LANにつないでいる他の端末とは相互に通信できない仕組みを作ろうと思い検証した。OSやセキュリティソフトの更新、クラウドを使ったスキャンの実行にはインターネットだけが利用できればいい。（プライバシーあるいはポート）セパレータ（機能）という用語が思い浮かぶなら、それですよ。

・すでにウィルスに感染しているPCをインターネットにつなげることは、情報漏えいの可能性があるので、あくまで検証ということで、ご理解ください。「検疫ネットワーク的」は社内LANとの間の通信をできないようにするだけで、インターネット間はただのルータです。本格的に行うなら、検疫作業に必要なURLやドメインのみへの通信のみを許可するようにプロキシサーバを構成し、「検疫ネットワーク的なもの」のルータと対象PCの間に設置することが必要です。

・UTM（IPS）などのセキュリティゲートウェイがすでにあるなら、それらのセキュリティ機能を利用できるように検疫ネットワーウ的なルータを設置するというのも手ですが、ウィルスに感染したPCの情報漏えいをブロックできるかは、自己責任で調べて、判断してください。

・検疫ネットワーク的な仕組みのルータの設定は、社内ネットワークとは異なるネットワークアドレスを設定します。WAN側は社内ネットワークのIPアドレスの一つを自動または手動で割当。LAN側は異なるセグメントとします。以下の事例では、社内LANが192.168.1.0/24のネットワークで、インターネットに接続する際のDG(デフォルトゲートウェイ）は192.168.1.1です。検疫ネットワーク的なネットワークは192.168.11.0/24で、そのDGは、192.168.11.1です。

・あとは、今回追加した家庭用無線ルータのパケットフィルタを以下の図のIPフィルタ登録情報のように設定します。社内LANの元からあるルータの設定ではないので、注意してください。メーカ・機種が違う場合は適宜マニュアルを見ながら設定します。リストの上下の順番は同じにしないとうまく動きません。上から条件に合うものを適用していくイメージです。

・リスト４番めは必須ですが、社内LANから検疫ネットワークへの通信ができるようにルーティングされていなければ、リスト３番めは不要ですが。今回は、２つのネットワーク間の相互通信を確認するため、一旦ルーティング設定をしたので、必要でした。また、リスト２番目は社内LANのルータの設定を確認する必要があり入れていますが、運用開始後は削除したほうがいいです。通過させるべきパケットの宛先と送信元のIPアドレスを考えればその理由はわかると思います。社内LANのUTM等を利用する場合は、ご自身で、許可が必要なパケットの宛先と送信元のIPアドレスがどのようになるかを考慮して工夫してください。




※２つのネットワークでインターネットが利用できること、ping コマンドで２つのネットワーク間で相互に通信できないことを確認する。以上です。