簡単にセキュリティ強化！DHCPサーバーのみで不正PCを排除

ポイント

• 既存のDHCPサーバーを有効活用するのみで、社内システムネットワークから不正PCを排除
• 追加投資なく、企業の情報セキュリティ対策として不正PCを排除するしくみを簡単かつ迅速に実現

概要

企業の情報を守るためのセキュリティ対策として、多くの企業が不正なPCを社内ネットワークにアクセスさせないしくみを検討しています。実現方法としてこれまでに様々な製品が発表されており、セキュリティ対策の目的とコスト見合いに応じて選択の幅（実現レベル）が広がっていますが、一般的には、

• 802.1x対応などのためネットワーク機器を高価なものに変更する必要がある･･･
• Macアドレス収集や制御のため追加の制御装置を導入する必要がある･･･
• クライアントPCにエージェントを導入する必要がある･･･

など費用や実装負荷が高まるケースがあるため、選定に多くの時間がかかり迅速な対策が打てない状況にあるようです。

しかし大規模企業A社では、既存のDHCPサーバーを活用するだけで、追加投資なく、簡単かつ迅速に、不正PCを排除するしくみを実現いたしました。

実現方法

DHCPサーバーにはclass ID optionという機能があります。この機能をDHCPサーバーとクライアントPCに実装しておけば、社内システムネットワークから不正PCを排除するしくみが、追加投資なく、簡単かつ迅速に実現できます。

【前提】

• DHCPサーバーに、class ID optionにてIPアドレスのリース可否を制御する機能を実装していること
• クライアントPCに、 class ID optionを設定できること（Windows 2000/XP/vista/7 は設定可能）

【しくみ】

• 管理対象のPCには、事前に企業特有のclass ID値を設定しておきます。DOSコマンド1行で設定が可能です。
• クライアントからのIPアドレスリース要求時に、DHCPサーバー側でclass ID値の整合性を確認し、値の一致したクライアントにのみIPアドレスをリースします。不一致の場合はIPアドレスをリースしません。
• 不正PCはclass ID値の不整合を起すため、ネットワークに接続できたとしてもIPアドレスを取得できません。通信が不可能なので社内システムに不正アクセスすることができません。

リスクと対応

このDHCPサーバーのみで不正PCを排除するしくみのリスクと対応は次の通りです。

◆class ID値が設定されたPCでclass ID値を参照できるため、それらの情報を取得されると不正PCにて成りすまし行為を許してしまう。

 ⇒参照した値だけ見ても同じ値を設定できないよう「ひと工夫」する（工夫内容はセキュリティの要であるため割愛）。

◆この方式は、IPアドレスの動的リースにて不正PCを排除する仕掛けであり、固定のIPアドレスを設定されたPCに対しては、制御の対象とならない。

 ⇒第1段階の安価かつ迅速なセキュリティ対策と割り切る。さらに強固にする必要がある場合は、予算との兼ね合いで別途検討する。