検疫ネットワークは、社内ネットワークへ接続する前に端末の安全状態を確認し、条件を満たす端末だけ接続を許可する仕組みです。SG試験で混同しやすいファジングや脆弱性診断との違いを整理します。

sg sg-security-measures malware unauthorized_access access_control

まず結論

  • 検疫ネットワークとは、PCなどの端末を社内ネットワークに接続する前に、セキュリティ状態を確認し、条件を満たす端末だけ接続を許可する仕組みです。
  • SG試験では、「端末を接続してよいかを事前に確認する仕組み」かどうかで判断します。

直感的な説明

検疫ネットワークは、会社のネットワークに入る前の健康チェックのようなものです。

たとえば、人が施設に入る前に、体温測定や本人確認をするイメージです。

ネットワークでも同じように、端末をいきなり社内ネットワークへ入れるのではなく、先に状態を確認します。

確認する内容には、次のようなものがあります。

  • マルウェアに感染していないか
  • ウイルス対策ソフトが動いているか
  • パターンファイルが古くないか
  • OSやソフトウェアに必要な修正プログラムが適用されているか
  • セキュリティ設定が会社のルールを満たしているか

条件を満たしていれば、社内ネットワークへの接続を許可します。

条件を満たしていなければ、隔離用のネットワークに接続させたり、修正プログラムの適用を促したりします。

つまり、検疫ネットワークは「安全が確認できるまで、社内ネットワークに入れない」ための仕組みです。

定義・仕組み

検疫ネットワークは、社内ネットワークへ接続しようとする端末に対して、接続前または接続時にセキュリティ状態を確認し、接続可否を制御する仕組みです。

基本の流れは次のとおりです。

  1. 端末が社内ネットワークへ接続しようとする
  2. 端末のセキュリティ状態を確認する
  3. 会社のポリシーを満たしているか判定する
  4. 条件を満たす端末は社内ネットワークへ接続を許可する
  5. 条件を満たさない端末は隔離、制限、修復用ネットワークへ誘導する

検疫ネットワークで重要なのは、端末の状態を確認してから接続を許可するという点です。

社外に持ち出したPC、在宅勤務で使ったPC、長期間使われていなかったPCなどは、社内ネットワークに戻る時点で安全とは限りません。

そのため、接続前に確認することで、マルウェア感染端末や未対策端末が社内に入るリスクを下げます。

IPAの情報セキュリティ関連資料でも、組織内ネットワークを守るためには、端末の管理やマルウェア対策、アクセス制御などを組み合わせることが重要とされています。基本的な考え方を確認する場合は、IPAの情報セキュリティ対策が参考になります。

どんな場面で使う?

検疫ネットワークは、社内ネットワークに接続する端末を安全に管理したい場面で使われます。

たとえば、次のような場面です。

  • 社員が社外へ持ち出したPCを社内ネットワークに戻す
  • 在宅勤務で使ったPCを社内に接続する
  • 来客用PCや委託先の端末を一時的に接続する
  • 長期間ネットワークに接続していなかった端末を再接続する
  • ウイルス対策ソフトや修正プログラムの適用状況を確認したい

特に、社内ネットワークは一度侵入されると、他のサーバや端末へ被害が広がる可能性があります。

そのため、入口で端末の状態を確認し、危険な端末を社内ネットワークへ入れないことが重要です。

ただし、検疫ネットワークは、ソフトウェアの脆弱性を直接見つける仕組みではありません。

ソフトウェアに異常な入力を与えて脆弱性を探すならファジングです。

既知の脆弱性や設定不備を広く洗い出すなら脆弱性診断です。

検疫ネットワークは、端末をネットワークに接続してよいかを判定する仕組みとして整理します。

よくある誤解・混同

検疫ネットワークは、ファジングや脆弱性診断、マルウェア対策ソフトと混同しやすいです。

混同しやすい用語 判断ポイント
検疫ネットワーク 端末の状態を確認し、社内ネットワークへの接続可否を制御する
ファジング 問題を起こしそうなデータを入力し、ソフトウェアの挙動から脆弱性を見つける
脆弱性診断 システムやアプリケーションの既知の脆弱性や設定不備を洗い出す
マルウェア対策ソフト 端末上でマルウェアの検知・駆除を行う
ファイアウォール 通信の送信元・宛先・ポートなどをもとに通信を制御する

SG試験では、次のような表現に注意します。

  • 「接続するPCのセキュリティ状態を確認する」
    → 検疫ネットワークを疑います。

  • 「条件を満たす端末だけ社内ネットワークへの接続を許可する」
    → 検疫ネットワークです。

  • 「問題を起こしそうなデータを大量に入力する」
    → ファジングです。

  • 「既知の脆弱性や設定不備を一覧化する」
    → 脆弱性診断です。

  • 「通信を許可・拒否するルールを設定する」
    → ファイアウォールに近い説明です。

よくあるひっかけは、検疫ネットワークをマルウェア検査そのものだと思うことです。

検疫ネットワークは、マルウェア感染の有無だけでなく、修正プログラムの適用状況やセキュリティ設定なども確認し、ネットワーク接続を制御する仕組みです。

つまり、マルウェア対策ソフト単体ではなく、端末状態の確認と接続制御を組み合わせた仕組みとして押さえます。

まとめ(試験直前用)

  • 検疫ネットワークは、接続前に端末の安全状態を確認する仕組みです。
  • 条件を満たす端末だけ、社内ネットワークへの接続を許可します。
  • 条件を満たさない端末は、隔離・制限・修復用ネットワークへ誘導します。
  • ファジングは、ソフトウェアへ入力して脆弱性を探す手法です。
  • SG試験では、端末確認と接続可否の制御が出てきたら検疫ネットワークを疑います。

確認問題

検疫ネットワークの説明として、最も適切なものはどれか。

ア. 問題を引き起こしそうな多様なデータを自動生成し、ソフトウェアに入力して応答や挙動から脆弱性を検出する。
イ. 社内ネットワークへ接続する端末のセキュリティ状態を確認し、条件を満たす端末だけ接続を許可する。
ウ. ソースコードを実行せずに解析し、危険な関数やコーディング規約違反を検出する。
エ. 攻撃者の視点で侵入シナリオを作成し、実際に重要情報へ到達できるかを検証する。

回答と解説を表示 正解は **イ** です。 検疫ネットワークは、端末を社内ネットワークに接続する前に、マルウェア対策状況、修正プログラムの適用状況、セキュリティ設定などを確認し、条件を満たす端末だけ接続を許可する仕組みです。 アはファジング、ウは静的解析、エはペネトレーションテストに近い説明です。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る