【 ここから本文 】

Windows Server 2008

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

Windows Server 2008 World
Windows Server 2008 対応製品(ソフトウェア関連)

【解説】
Windows Server 2008「NAP」大解剖

クライアント検疫機能「Network Access Protection」を検証する

(2008年05月20日)

Windows Server 2008に搭載されたセキュリティ機能「ネットワーク・アクセス保護(Network Access Protection)」(以下、NAP)は、OSの標準コンポーネントだけで基本的なセキュリティポリシーの検疫が実施可能であり、さらに企業ネットワークに存在するあらゆる接続タイプのクライアントを対象に検疫を実施できることで、新たなセキュリティ対策として期待されている。本稿では、NAPの実力を徹底検証する。

三華和夫

あらゆるクライアントが対象になる
新しいセキュリティ検疫テクノロジー

 企業内におけるセキュリティリスクを軽減するには、クライアントサイドのファイアウォールやウイルス対策、パッチ管理による脆弱性の排除といった複数のセキュリティ対策を確実に行うことが不可欠だ。

 しかし、移動するデバイスを完全に把握し、セキュリティレベルを維持することは困難な作業である。長期間LANから切り離されていると最新のパッチやウイルス定義の更新が受けられずにセキュリティレベルが低下するだろうし、ユーザーが勝手にファイアウォールやウイルス対策ソフトを無効にしているかもしれない。

 また、いくら禁止したとしても、個人のノートブックPCが持ち込まれ、勝手にネットワークに接続されることは大いにあり得る。

 Windows Server 2008の「ネットワークアクセス保護(Network Access Protection)」(以下、NAP)は、ネットワークに接続するクライアントで必要なセキュリティ対策が適切に実施されていることを、より確実にするための包括的なクライアント検疫フレームワークを提供するものだ。

 Windows Server 2003 Service Pack(SP)1でも「ネットワークアクセス検疫制御(Network Access Quarantine Control)」と呼ばれる検疫メカニズムが提供されているが、こちらは検疫対象がダイヤルアップ接続やVPN(Virtual Private Network)接続に限られ、検査のスクリプトやコンポーネントを独自に開発するか、サードベンダーが提供するものを利用しなければならなかった。

 Windows Server 2008のNAPの基本的な動作環境は、次のコンポーネントで構成される。

  • ネットワークポリシーサーバ(NPS)
  • NAPクライアントエージェント
  • システム正常性検証ツール(SHV)およびエージェント(SHA)
  • 実施オプションに応じたアクセスデバイス

また、NAPシステム全体のイメージは、図1のようになる。

図1● NAPのシステム全体の動作イメージ。クライアントはいったん検疫ゾーンに配置され、正常性チェックをパスした時点でセキュアゾーンへのフルアクセスが許可される

 「ネットワークポリシーサーバ(Network Policy Server:NPS)」は、Windows Server 2003の「インターネット認証サービス(Internet Authentication Service:IAS)」に代わるもので、リモート認証ダイヤルインユーザーサービス(RADIUS)サーバとRADIUSプロキシの機能を持ち、IASが提供していたすべての機能をVPNおよびIEEE 802.1xベースの有線/無線接続に対して提供する。また、クライアントの状態評価を行い、アクセスポリシーを決定して、ネットワークへのアクセス許可を与える。

 NAPが有効なネットワークに接続しようとするクライアントは「検疫ゾーン」と呼ばれる制限付きネットワークに一時的に配置され、「システム正常性エージェント(System Health Agent:SHA)」によりシステム状態がチェックされる。その結果は「状態ステートメント(Statement of Health:SoH)」としてNPSに送信され、NPS側の「システム正常性検証ツール(System Health Validators:SHV)」で評価される(画面1)。

画面1● Windows Server 2008に標準搭載されているSHVは、Windows Vistaのセキュリティセンターの監視項目に対応。スパイウェア対策を除いて、Windows XP向けのNAPクライアントにも対応する

 NPSはSHVにパスする/失敗するの条件に従って、正常性ポリシーに準拠している/していないを判断し、クライアントのアクセスポリシーを決定する。正常性ポリシーに準拠する場合は、アクセス制限のない「セキュアゾーン」へのアクセス権を与え、準拠しない場合は制限付きの検疫ゾーンに残すか、アクセスを禁止するように構成できる(画面2)。決定されたアクセスポリシーをクライアントに強制するのは、NAPクライアントエージェントの役割だ。

画面2● NPSはクライアントからの要求を「接続要求ポリシー」に従って処理し、クライアントからのSoHを「正常性ポリシー」で評価、「ネットワークポリシー」でセキュアゾーンへのアクセスを許可/制限/拒否する

 |12345 > 次のページへ

関連記事

▲ページの先頭へ戻る

注目のプロダクト

セキュリティ対策&コスト抑制に最適なプリントシステム「ICカード認証プリントマネージャーAS-D1」

Preview Showcace

多くの管理機能を自動化・自律化した最新のiSCSI SANストレージ「Dell EqualLogic PS5000シリーズ」

Windowsアプリケーションデリバリ−のデファクトスタンダード「Citrix XenApp」

Exchange Serverの効率的なバックアップ/リストア実現するデータ保護ソリューション「SnapManager for Microsoft Exchange」

大規模な仮想化環境やサーバ統合に最適なAMD Opteron搭載の2Uラック型サーバ「Sun Fire X4440 Server」

IBM System x、IBM BladeCenter標準添付の高機能システム運用管理ソフトウェア「IBM Director」

Windows Server 2008のNAP導入に最適なインテリジェント型L3スイッチ「CentreCOM 9424T/SP-E、CentreCOM GS900Mシリーズ、CentreCOM FS900Mシリーズ」

インタビュー

プロジェクト責任者に聞く「Windows Server 2008」開発の舞台裏

「前バージョンに比べ最大40%の削減を実現できる」

マイクロソフトのDB責任者に聞く、「SQL Server 2008」の開発目標と導入効果

「リレーショナル・データベースの枠を越えて“顧客の声”にこたえる」

その他のインタビュー

対応製品フォーカス

【クラスタリング・ソフト】
「CLUSTERPRO X 2.0」(NEC)

高精度の障害検知と柔軟なクラスタ構成に対応

【バックアップ・ソフト】
「Backup Exec 12 for Windows Servers」
(シマンテック)

Windows Server2008のデータを確実に保護

その他製品一覧

Videoリポート

【CeBIT 2008】
バルマーCEOがWindows Server 2008の省電力性をアピール

「前バージョンに比べ最大40%の削減を実現できる」

【独占インタビュー】
バルマーCEO、Windows Server 2008発売後の戦略を語る

入門講座

10分でわかるWindows Server 2008

「前バージョンに比べ最大40%の削減を実現できる」

Windows Server 2008への完全移行「6つの重要チェック」

「前バージョンに比べ最大40%の削減を実現できる」

Windows Server 2008が革新するITインフラストラクチャ

SOHOからデータセンターまで、すべてのシステムを支える!

Windows仮想化研究

Windows Server 2008標準の「Hyper-V」

ハイパーバイザ方式を採用した最新サーバ仮想化技術の実力

「Hyper-V RC1」緊急レビュー

Windows Server 2008標準搭載の仮想化ハイパーバイザを徹底解剖

[徹底チェック]
Windows Server 2008ターミナルサービス

新しくなった仮想デスクトップ管理環境の実力を探る

次世代仮想化プラットフォーム「Hyper-V」研究

サーバの仮想化はどう進化するのか!?

Windows Server World オンライン

Windows Server World On-line

実践運用管理

Windows Server 2008「NAP」大解剖

クライアント検疫機能「Network Access Protection」を検証する

「Active Directory」ドメインサービスの7つの強化ポイント

内部統制時代を迎え、進化するディレクトリサービス

システム管理者のための「IIS 7.0」概論

モジュール化を実現した新世代のWebサーバ

NAPとForefront Client Securityが実現するセキュアなネットワーク

安全・堅ろうなITインフラはWindows Server 2008で!

システム運用管理コストを削減する最新管理機能の全貌

確実に仕事を楽にしてくれる新機能が満載!

Vista最適活用講座

「Windows Server 2008&Vista」最適活用講座[Part1]

クライアントの導入・運用コストを削減する管理機能

「Windows Server 2008&Vista」最適活用講座[Part2]

NAPを利用したセキュリティ・レベルの保証

「Windows Server 2008 & Vista」最適活用講座[Part3]

最新テクノロジーによるリソースの効率利用

Windows Vistaとの連携でWindows Server 2008のパワーを最大化する

管理の効率化、可用性の向上、通信の高速化を実現するために

キャッチアップ

Windows Server 2008、日本のサーバ・ベンダーの期待度は?

各社は「信頼性」「可用性」「パフォーマンス」に注目

8割の組織がWindows Server 2008の採用に前向き

メリットは「セキュリティ、セットアップ/コンフィグの改善、仮想化」

“ハイパーバイザ・バトル”を制するのはだれ?――白熱する仮想化市場

王者VMwareに挑む、後発の大手ベンダーたち

Windows Server 2008 アップグレードに足る「9つの理由」

製品出荷の最終段階に入った次期サーバOSのベータ3を徹底検証

トレンド・フォーカス

[米国]早期導入企業から高い評価を得るWindows Server 2008

「セキュリティ」と「パフォーマンス」に賞賛の声(2008年03月03日)

[国内]マイクロソフト、Windows Server 2008 日本語版の開発完了を発表

ボリューム・ライセンス販売を3月1日から開始(2008年02月05日)

[米国]Microsoftの仮想化戦略、ライセンス変更やCitrixとの提携が新たな柱に

未導入ユーザーの獲得でシェア拡大を図る(2008年01月22日)

[国内]マイクロソフト、SQL Server 2008出荷に向けた取り組みを披露

注力点は「製品品質の向上」と「エンジニアの育成」(2008年01月15日)

[米国]Microsoft、仮想化ハイパーバイザ「Hyper-V」のベータ版を2カ月前倒しでリリース

正式版リリースは2008年下半期の予定(2007年12月14日)

[国内/米国]マイクロソフト、仮想化機能の正式名称を「Hyper-V」に決定

Windows Server 2008の価格とライセンス体系もあわせて発表(2007年11月13日)

[米国]Microsoftの仮想化戦略は「他ベンダーとの協調」

共同サポート体制の構築に関して柔軟な姿勢を見せる(2007年11月22日)

[米国]マイクロソフト、「Viridian」の主要APIをOSPの下で公開へ

特許権の非行使などを含め、顧客やオープンソース・コミュニティに無料開示(2007年10月26日)

Weekly Ranking

集計期間:11/28〜12/04

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国