コンピュータ・ウイルスなどの“異物”を自動検知し、排除することで、ネットワーク全体のセキュリティを自律的に確保するネットワーク。不審な通信やウイルスに感染している可能性が高いパソコンからの通信を遮断する仕組みを持つ。ルーターやLANスイッチ、VPN(実質的な専用線網)装置、無線LANのアクセス・ポイントなどに「検疫」のような機能を持たせることで実現する。最近、こうした仕組みを備える製品が徐々に登場してきた。
例えば、米エンテラシス・ネットワークスや米ソニックウォール、イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズなどが製品を提供中。米シスコ・システムズも対応製品を開発している。アンチウイルス・ソフト・ベンダーのトレンドマイクロも製品を発売した。
自己防衛型ネットワークが必要とされる背景は二つある。一つは、コンピュータ・ウイルスの多くが急激に被害を広げるアウトブレーク型になったこと。代表例は、2003年8月に猛威を振るった「ブラスター」である。こうしたウイルスの多くは、感染すると、自動的にほかのパソコンに攻撃をしかけ、セキュリティ・ホールを突いて感染を広げる。各パソコンのOSなどが抱えているセキュリティ・ホールをふさがない限り、まん延を食い止めることは難しい。アンチウイルス・ソフトを導入している場合でも、パターン・ファイルが作成され、それを適用するまでの間に、ウイルスはまん延してしまう。
もう一つは、ブロードバンドやモバイル環境の充実で企業ネットワークへの接続性が高まったこと。支店や営業拠点から本社などにVPN接続する例はもはや珍しくない。ノート・パソコンを持ち歩き、社内でLANに接続する例も多い。こうした環境では、アンチウイルス・ソフトのパターン・ファイル更新や、セキュリティ・パッチ適用を徹底しづらい。特にノート・パソコンはどこでどんなネットワークに接続し、被害を受けているか分からず、安易に社内ネットワークへの接続を許すと、そこからウイルスが紛れ込む危険性が高い。
そこで、社内ネットワークのあちこちに“関所”を設け、接続されているパソコンの環境が、社内のセキュリティ・ポリシーを満たしているかをチェックし、危険度が高いパソコンからは社内ネットワークを利用できないようにする必要がある。
自己防衛型ネットワークでは、各種ネットワーク機器が、例えばその日初めて通信しようとしているパソコンを見つけ、自動的にパッチの適用レベルやパターン・ファイルの更新状況などをチェック。更新されていなければ接続させない、あるいは専用サーバーに転送して強制的にパッチなどを適用させる。こうすることで危険を最小化できる。また、不審な通信パケットを識別してほかのセグメントへのパケットを遮断すれば、ウイルスに感染したとしても、被害を極小化できる。
