【解説】
Windows Server 2008「NAP」大解剖

クライアント検疫機能「Network Access Protection」を検証する

（2008年05月20日）

組織全体のセキュリティレベルを向上させる
NAP活用のシナリオ

　NAPは、NPSとNAPクライアントの両方が構成され、Active Directoryドメイン環境があって初めて機能することに注意してほしい。つまり、もともと管理対象外の不特定なコンピュータに対し、アクセスを許可するために利用することはできないのである。例えば、ビジネスホテルの客室インターネット接続サービスや、公衆無線LANのアクセスポイントに接続してくるクライアントを、セキュリティレベルを上げてから接続させるということはできない。

　NAPは、セキュリティレベルを満たさないクライアントを排除／修復することで、企業や組織のネットワークのセキュリティレベルを維持するという目的に有効活用できる。クライアントはすべて管理者が把握している“正規のコンピュータ”であるということが前提の環境である。

　NAPを利用することで、長期間、LANから切断されていたモバイルクライアントが再接続した際に、マルウェア対策のエンジンや定義ファイル、セキュリティ更新プログラムが最新の状態になった時点で、ネットワークへの完全なアクセスを許可するといった使い方だ。

　LAN内のデスクトップコンピュータについても、ユーザーが好ましくない目的で勝手にWindowsファイアウォールやマルウェア対策ソフトを無効にしても、アクセスを制限したり、自動的に有効に切り替えたりすることができるので、クライアントのセキュリティレベルが低下するのを効果的に防止できる。

　NAPはNAPクライアントの正常性ポリシー準拠／非準拠以外に、NAP対応／非対応という条件でもネットワークポリシーを設定できる。これにより、管理者が把握していない個人所有のコンピュータをネットワークに接続されてしまった場合でも、アクセスを完全に拒否したり、あるいは制限される理由や許可を得る方法を記したWebサイトに誘導したりといった対処が可能になる（画面10）。

画面10●　正常性ポリシーに非準拠のクライアントや、NAP非対応のクライアントを、制限付きネットワークからアクセス可能なWebサイトに誘導できる

　NAPは有線／無線、VPN、TSゲートウェイなど、企業や組織の内部／外部からのあらゆる接続タイプをカバーできるので、VPNクライアントを対象としたWindows Server 2003 SP1のネットワークアクセス検疫制御とは異なり、企業や組織のネットワーク全体のセキュリティレベルを高く維持することが可能なのである。

　なお、NAPをサポートするのは、Windows XP Professional SP3以降になるが、それ以前のNAP非対応クライアントや異種プラットフォーム（Mac OSやLinuxなど）が混在する環境においても、NAP非対応クライアントに対しては無条件でフルアクセスを許可するというかたちで運用が可能だ。

(Windows Server World)

前のページへ < ｜1｜2｜3｜4｜5｜