対象試験と出題頻度
検疫ネットワークは、情報セキュリティマネジメント・ITパスポート・基本情報技術者・応用情報技術者試験で出題されるセキュリティの重要キーワードです。
「検疫」という独特の用語が特徴的で、一度理解すれば確実に得点できます。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
検疫ネットワーク(Quarantine Network)とは、一言で言うと「社内ネットワークに接続しようとする端末のセキュリティ状態を検査し、安全と判断された端末のみ接続を許可する仕組み」のことです。
イメージとしては、「空港の入国審査と検疫所」のようなものです。海外から帰国した人が入国する際、パスポートチェック(認証)だけでなく、感染症にかかっていないかの検疫も行います。
問題なければ入国できますが、感染の疑いがあれば隔離されます。検疫ネットワークも同じで、端末が「健康」(セキュリティ的に安全)かどうかをチェックしてから、社内ネットワークへの「入国」を許可します。
情報処理試験を勉強していると、「認証とは何が違うの?」と疑問に思う方もいるかもしれません。認証は「あなたは誰か」を確認するもの。検疫は「あなたの端末は安全か」を確認するもの。この2つは別の概念です。認証に成功しても、端末がウイルスに感染していれば、社内ネットワークに接続させるわけにはいきません。
📊 検疫ネットワークの基本概念
| 項目 | 説明 |
|---|---|
| 目的 | 安全でない端末を社内ネットワークに接続させない |
| 検査内容 | ウイルス対策ソフトの状態、OSパッチ適用状況など |
| 合格時 | 社内ネットワークへの接続を許可 |
| 不合格時 | 隔離ネットワークに接続し、治療(修復)を促す |
解説
検疫ネットワークは、社内ネットワークをマルウェア感染や脆弱な端末から守るためのセキュリティ対策です。
特に、持ち込みPCや、長期出張から戻った端末、テレワーク端末など、「しばらく社内ネットワークから離れていた端末」が接続する際に効果を発揮します。
検疫ネットワークが必要な理由
従来のセキュリティ対策では、「社内ネットワークは安全」という前提がありました。しかし、現実には以下のようなリスクがあります。
社員が自宅で使っていたPCがウイルスに感染しており、それを会社に持ち込んでしまうケース。出張中にセキュリティパッチの適用が遅れ、脆弱な状態のまま接続してしまうケース。ウイルス対策ソフトの定義ファイルが古いまま接続してしまうケース。
こうした端末が社内ネットワークに接続すると、ウイルスが社内に拡散したり、脆弱性を突かれて攻撃の踏み台にされたりするリスクがあります。検疫ネットワークは、このような「入口での水際対策」を実現します。
💡 検疫ネットワークでチェックする主な項目
① ウイルス対策ソフトの状態:インストールされているか、定義ファイルは最新か
② OSのパッチ適用状況:重要なセキュリティパッチが適用されているか
③ パーソナルファイアウォール:有効になっているか
④ 禁止ソフトウェア:P2Pソフトなど、禁止されたソフトがインストールされていないか
⑤ ウイルス感染の有無:現時点でマルウェアに感染していないか
検疫ネットワークの仕組み
検疫ネットワークの基本的な動作は以下の流れで行われます。
①接続要求:端末が社内ネットワークに接続しようとします。
②検疫ネットワークへの接続:最初は本番の社内ネットワークではなく、隔離された「検疫ネットワーク」に接続されます。
③セキュリティ検査:検疫サーバーが端末のセキュリティ状態を検査します。端末にインストールされた検疫エージェントが情報を収集・報告します。
④合否判定:セキュリティポリシーを満たしているかを判定します。
⑤結果に応じた対応:合格なら社内ネットワークへの接続を許可。不合格なら隔離を継続し、修復を促します(ウイルス対策ソフトの更新、パッチ適用など)。
📊 検疫ネットワークの処理フロー
| ステップ | 内容 |
|---|---|
| 1. 接続要求 | 端末がネットワークに接続を試みる |
| 2. 検疫ゾーンへ | まず隔離された検疫ネットワークに接続 |
| 3. セキュリティ検査 | ウイルス対策、パッチ状況などをチェック |
| 4. 合格の場合 | 社内ネットワークへの接続を許可 |
| 5. 不合格の場合 | 隔離を継続、修復サーバーで治療を促す |
検疫ネットワークの実現方式
検疫ネットワークを実現する技術的な方式には、いくつかの種類があります。
DHCP方式は、DHCPサーバーで検疫用と本番用のIPアドレスを分けて管理する方式です。検査に合格するまでは検疫用のIPアドレスを割り当て、合格後に本番用のIPアドレスに切り替えます。
認証VLAN方式は、IEEE 802.1X認証とVLANを組み合わせる方式です。検査結果に応じて、端末を異なるVLANに所属させることで、ネットワークを分離します。
パーソナルファイアウォール方式は、端末のパーソナルファイアウォールを制御する方式です。検査に合格するまでは通信を制限し、合格後に制限を解除します。
⚠️ 検疫ネットワークの課題
① 導入・運用コスト:検疫サーバー、エージェントソフト、ネットワーク機器の設定など、導入には相応のコストがかかる
② 利用者の利便性:検査に時間がかかると、すぐに業務を開始できずストレスになる
③ BYOD対応:私物端末(BYOD)への検疫エージェント導入は難しい場合がある
④ 完全ではない:検疫をすり抜けるマルウェアや、検査後に感染するケースもある
近年は、NAC(Network Access Control)やゼロトラストセキュリティといった、より包括的なアプローチも普及しています。
試験ではこう出る!
検疫ネットワークは、情報セキュリティマネジメント・ITパスポート・基本情報・応用情報技術者試験で出題されます。「接続前に端末を検査する」という基本概念を押さえておきましょう。
【試験で狙われるポイント】
- 検疫ネットワーク = 接続前に端末のセキュリティ状態を検査
- 安全な端末のみ社内ネットワークへの接続を許可
- 検査項目:ウイルス対策ソフト、OSパッチ、ファイアウォールなど
- 不合格の端末は隔離して修復を促す
- 持ち込みPCやテレワーク端末の管理に有効
試験問題で「社内ネットワークに接続する前にセキュリティポリシーへの適合を検査し、合格した端末のみ接続を許可する」という記述があれば、それは「検疫ネットワーク」に関する記述です。
試験ではここまで押さえておけばOKです。DHCP方式や認証VLAN方式といった実現方式の詳細までは、基本情報レベルでは問われません。「検疫」という言葉から「入国審査のように端末をチェックする」というイメージを持っておけば十分です。
📊 ネットワークアクセス制御の比較(試験対策)
| 対策 | 確認内容 |
|---|---|
| 認証(Authentication) | 「誰か」を確認(ID/パスワード、証明書など) |
| 検疫ネットワーク | 「端末が安全か」を確認(セキュリティ状態) |
| MACアドレスフィルタリング | 「登録済みの機器か」を確認 |
| NAC | 上記を統合したネットワークアクセス制御 |
📝 IPA試験での出題ポイント
検疫ネットワークは「検疫」という言葉がキーポイントです。空港の検疫所をイメージして、「感染していないか(ウイルス対策)」「健康か(パッチ適用状況)」をチェックしてから入国(接続)を許可する、と覚えましょう。
「認証」は「誰か」、「検疫」は「安全か」を確認するもので、両者は別の概念です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 検疫ネットワークに関する説明として、最も適切なものはどれでしょうか?
- A. 攻撃者をおびき寄せるために意図的に設置する「おとり」のシステム
- B. インターネットと内部ネットワークの間に設置し、外部公開サーバーを配置する緩衝地帯
- C. 社内ネットワークに接続する前に端末のセキュリティ状態を検査し、安全と判断された端末のみ接続を許可する仕組み
正解と解説を見る
正解:C
解説:
検疫ネットワーク(Quarantine Network)は、社内ネットワークに接続しようとする端末のセキュリティ状態を検査し、安全と判断された端末のみ接続を許可する仕組みです。「検疫」という言葉のとおり、空港の検疫所のように、端末の「健康状態」(ウイルス対策ソフトの状態、OSパッチ適用状況など)をチェックします。検査に不合格の端末は隔離ネットワークに留め置かれ、修復を促されます。
選択肢Aは「ハニーポット」の説明です。選択肢Bは「DMZ(非武装地帯)」の説明であり、いずれも検疫ネットワークとは異なります。検疫ネットワークは「端末のセキュリティ状態を検査する」点がポイントです。
