導入を実施した事業所(富士通ソリューションスクエア)では、検疫システムにより、セキュリティパッチ更新率を向上させることができた。
以前よりICカードによる入退室管理や、MACアドレス管理による不正接続防止などのセキュリティ対策を実施し効果を上げていたが、ソフトウェアの管理においては以下の課題があった。
検疫システムを導入した結果、セキュリティパッチの更新率を99%以上に高めることが可能となった。
弊社では、検疫不合格の場合、メールサーバへのアクセスを制限する運用としているが、Webサーバやファイルサーバへのアクセスは許可している。近年の一般業務ではメール利用は必然であるため、緊急事態の業務優先を考慮した運用としている。メール利用にターゲットを絞った検疫を行うことにより、セキュリティと利便性の両面を維持した運用を実現した。
検疫サーバ(Systemwalker Desktop Inspection、以下DTI)はクライアントの検査ポリシーを一括管理し、認証ゲートウェイ装置(ネットワークサーバ IPCOM L、以下IPCOM L)を経由して社内ネットワークに接続してきたクライアントのセキュリティ状態のチェックを行う。
このセキュリティチェック結果に基づき、IPCOM LはDTIと連携し、各クライアントについてのアクセス制御を行う。
利用者はブラウザを起動させるだけでシステムが自動的にセキュリティチェックを行う。起動後、3~5秒程度でセキュリティチェック結果が表示され、検疫合格の場合は、そのまま業務サーバ等への通信が通常通り許可される。
また、検疫不合格の場合には、セキュリティパッチのアップデートに必要な最低限の通信のみは許可されているため、最新状態へのアップデート処理を行うことができる。
システム管理者は、DTIの管理画面で、クライアントに対してどのセキュリティパッチを適用させるかを設定する。
また、セキュリティパッチ毎に強制または猶予期間を設けることも可能である。クライアントに対する通信範囲については、IPCOM Lにて設定を行うことが可能。