【Windows Server 2008 実践評価ガイド】
NAPとForefront Client Securityが実現するセキュアなネットワーク

安全・堅ろうなITインフラはWindows Server 2008で！

（2008年03月14日）

Windows Server 2008とWindows Vistaには、標準で「ネットワークアクセス保護（Network Access Protection：NAP）」と呼ばれるクライアント検疫機能が実装されている。本稿では、NAPの仕組みと展開方法、そしてマイクロソフトが企業向けにリリースしたセキュリティ対策ソリューション「Forefront Client Security」とNAPを組み合わせたセキュアなネットワークの実現方法について解説する。

山市良

【Client Security】
NAPが提供する
クライアント検疫フレームワーク

　企業ネットワークの管理者は、いかにしてクライアントのセキュリティレベルを適切に保ち、ネットワーク全体のセキュリティを維持するかという課題に直面している。一昔前であれば、ファイアウォールを設置することで、外部（インターネット）からの脅威には対抗できた。しかし、現在はウイルスやワームに汚染されたノートブックPCやモバイルデバイスが、容易に企業ネットワークに持ち込まれるリスクが増加している。

　管理者にとって、移動するデバイスを完全に把握し、セキュリティレベルを維持することは困難だ。しかし、管理をユーザーに任せたままでは、適切なセキュリティレベルを保証することはできない。長期間、高速なLANから切り離されたPCは、セキュリティ更新やウイルス定義の更新を受けられずに、セキュリティレベルは低下する傾向にある。

図1●　「ネットワークアクセス保護（NAP）」の動作イメージ。クライアントはいったん検疫ゾーンに配置され、ポリシーチェック後、セキュアゾーンへのアクセスが許可される。NAPでは修復手段の提供も可能だ

　また、ユーザーが作業のじゃまになるからと、ウイルス対策ソフトを無効にしているかもしれない。そのような状況のPCが社外でウイルスやワームに感染していれば、企業ネットワークに復帰した時点で汚染が全体に広がってしまうだろう。

　Windows Server 2008の「ネットワークアクセス保護（NAP）」は、企業ネットワークをこのような状況から保護する包括的なクライアント検疫フレームワークを提供する。NAPによるクライアント検疫は、次の4つのコンポーネントで構成される（図1）。

ネットワークポリシーサーバ（NPS）
NAPクライアントエージェント
検疫モジュール（SHAおよびSHV）
アクセスデバイス

　NAPが有効なネットワークに接続したクライアントは「検疫ゾーン」と呼ばれる制限されたネットワークに一時的に所属し、Windowsファイアウォールやウイルス対策ソフトの状態がチェックされる。

　チェック結果は「状態ステートメント（Statement of Health：SoH）」としてネットワークポリシーサーバ（NPS）に送信され、NPSで定義された正常性ポリシーと比較される。SoHが正常性ポリシーに準拠するか否かで、アクセスポリシーが決定される。

画面1●　正常性ポリシーに準拠しない場合は、アクセスを制限し、修復サーバへのアクセスルートのみを提供する。アクセスを拒否するように構成することもできる

　正常性ポリシーに準拠する場合は、アクセス制限のない「セキュアゾーン」に移動し、社内リソースへの完全なアクセスが許可される。準拠しない場合は、アクセスポリシーに応じて制限付きの検疫ゾーンに残されるか、アクセスが拒否される（画面1）。

　NAPでは、正常性ポリシーに準拠するようにクライアントを修復できるように、検疫ゾーンから修復サーバへのアクセスルートを提供することができる。

　修復サーバとしては、修復のための手順を記したWebサイトに誘導したり、Windows Server Update Services（WSUS）や「System Center Configurations Manager（SCCM）2007」を使用してソフトウェアを更新させたりといったことが可能だ。修復プロセスが完了し、正常性ポリシーに準拠した時点で、検疫されていたクライアントはセキュアゾーンへのアクセスを許可される。

｜1｜2｜3｜4｜ > 次のページへ