アークシステムの業務事例

オープン基盤ソリューションの事例

ネットワークの再構築・改善・最適化の事例

簡単にセキュリティ強化!DHCPサーバーのみで不正PCを排除

企業の情報を守るためのセキュリティ対策として、不正なPCを社内ネットワークにアクセスさせないしくみを検討する際、一般的には実現レベルと費用の兼ね合いで選定に多くの時間がかかり迅速な対策が打てない状況にあるようです。

本稿では不正PCを排除するしくみを、既存のDHCPサーバーを活用するだけで、追加投資なく、簡単かつ迅速に実現した大規模企業の事例を紹介いたします。

お客様の業種

情報

お客様の目的

早急かつ安価な不正PC排除のしくみの実装

アークシステムの支援の特徴

設計視点に偏ることなく、運用のやり易さにもこだわりを持ってシステム化構想をまとめ、従来のスタンダード手法にとらわれず知恵を絞る取り組み姿勢。ミニマムコストで必須の要件を過不足なく満たす実現力

プロダクト

(DHCPサーバー)

ポイント

  • 既存のDHCPサーバーを有効活用するのみで、社内システムネットワークから不正PCを排除
  • 追加投資なく、企業の情報セキュリティ対策として不正PCを排除するしくみを簡単かつ迅速に実現

概要

企業の情報を守るためのセキュリティ対策として、多くの企業が不正なPCを社内ネットワークにアクセスさせないしくみを検討しています。実現方法としてこれまでに様々な製品が発表されており、セキュリティ対策の目的とコスト見合いに応じて選択の幅(実現レベル)が広がっていますが、一般的には、

  • 802.1x対応などのためネットワーク機器を高価なものに変更する必要がある・・・
  • Macアドレス収集や制御のため追加の制御装置を導入する必要がある・・・
  • クライアントPCにエージェントを導入する必要がある・・・

など費用や実装負荷が高まるケースがあるため、選定に多くの時間がかかり迅速な対策が打てない状況にあるようです。

しかし大規模企業A社では、既存のDHCPサーバーを活用するだけで、追加投資なく、簡単かつ迅速に、不正PCを排除するしくみを実現いたしました。

DHCPサーバーのみで不正PC排除の概要

実現方法

DHCPサーバーにはclass ID optionという機能があります。この機能をDHCPサーバーとクライアントPCに実装しておけば、社内システムネットワークから不正PCを排除するしくみが、追加投資なく、簡単かつ迅速に実現できます。

【前提】

  • DHCPサーバーに、class ID optionにてIPアドレスのリース可否を制御する機能を実装していること
  • クライアントPCに、 class ID optionを設定できること(Windows 2000/XP/vista/7 は設定可能)

【しくみ】

  • 管理対象のPCには、事前に企業特有のclass ID値を設定しておきます。DOSコマンド1行で設定が可能です。
  • クライアントからのIPアドレスリース要求時に、DHCPサーバー側でclass ID値の整合性を確認し、値の一致したクライアントにのみIPアドレスをリースします。不一致の場合はIPアドレスをリースしません。
  • 不正PCはclass ID値の不整合を起すため、ネットワークに接続できたとしてもIPアドレスを取得できません。通信が不可能なので社内システムに不正アクセスすることができません。

DHCPサーバーのみで不正PC排除の実現方法

リスクと対応

このDHCPサーバーのみで不正PCを排除するしくみのリスクと対応は次の通りです。

◆class ID値が設定されたPCでclass ID値を参照できるため、それらの情報を取得されると不正PCにて成りすまし行為を許してしまう。

 ⇒参照した値だけ見ても同じ値を設定できないよう「ひと工夫」する(工夫内容はセキュリティの要であるため割愛)。

◆この方式は、IPアドレスの動的リースにて不正PCを排除する仕掛けであり、固定のIPアドレスを設定されたPCに対しては、制御の対象とならない。

 ⇒第1段階の安価かつ迅速なセキュリティ対策と割り切る。さらに強固にする必要がある場合は、予算との兼ね合いで別途検討する。


企業情報システムのセキュリティ対策を迅速かつ安価に実現したいとお考えの方や、社内ネットワークに関する課題をお持ちの方は、どうぞお気軽にご相談ください。

お問い合わせ・資料請求

このページの先頭へ