【 ここから本文 】

• TOP
• >  Topics : PC／クライアント
• >  

PC／クライアント

ソーシャルブックマークに登録 ：
印刷用ページの表示

【解説】
Windows Server 2008「NAP」大解剖

クライアント検疫機能「Network Access Protection」を検証する

（2008年05月20日）

あらゆるクライアントが対象になる
新しいセキュリティ検疫テクノロジー

　企業内におけるセキュリティリスクを軽減するには、クライアントサイドのファイアウォールやウイルス対策、パッチ管理による脆弱性の排除といった複数のセキュリティ対策を確実に行うことが不可欠だ。

　しかし、移動するデバイスを完全に把握し、セキュリティレベルを維持することは困難な作業である。長期間LANから切り離されていると最新のパッチやウイルス定義の更新が受けられずにセキュリティレベルが低下するだろうし、ユーザーが勝手にファイアウォールやウイルス対策ソフトを無効にしているかもしれない。

　また、いくら禁止したとしても、個人のノートブックPCが持ち込まれ、勝手にネットワークに接続されることは大いにあり得る。

　Windows Server 2008の「ネットワークアクセス保護（Network Access Protection）」（以下、NAP）は、ネットワークに接続するクライアントで必要なセキュリティ対策が適切に実施されていることを、より確実にするための包括的なクライアント検疫フレームワークを提供するものだ。

　Windows Server 2003 Service Pack（SP）1でも「ネットワークアクセス検疫制御（Network Access Quarantine Control）」と呼ばれる検疫メカニズムが提供されているが、こちらは検疫対象がダイヤルアップ接続やVPN（Virtual Private Network）接続に限られ、検査のスクリプトやコンポーネントを独自に開発するか、サードベンダーが提供するものを利用しなければならなかった。

　Windows Server 2008のNAPの基本的な動作環境は、次のコンポーネントで構成される。

また、NAPシステム全体のイメージは、図1のようになる。

図1●　NAPのシステム全体の動作イメージ。クライアントはいったん検疫ゾーンに配置され、正常性チェックをパスした時点でセキュアゾーンへのフルアクセスが許可される

　「ネットワークポリシーサーバ（Network Policy Server：NPS）」は、Windows Server 2003の「インターネット認証サービス（Internet Authentication Service：IAS）」に代わるもので、リモート認証ダイヤルインユーザーサービス（RADIUS）サーバとRADIUSプロキシの機能を持ち、IASが提供していたすべての機能をVPNおよびIEEE 802.1xベースの有線／無線接続に対して提供する。また、クライアントの状態評価を行い、アクセスポリシーを決定して、ネットワークへのアクセス許可を与える。

　NAPが有効なネットワークに接続しようとするクライアントは「検疫ゾーン」と呼ばれる制限付きネットワークに一時的に配置され、「システム正常性エージェント（System Health Agent：SHA）」によりシステム状態がチェックされる。その結果は「状態ステートメント（Statement of Health：SoH）」としてNPSに送信され、NPS側の「システム正常性検証ツール（System Health Validators：SHV）」で評価される（画面1）。

画面1●　Windows Server 2008に標準搭載されているSHVは、Windows Vistaのセキュリティセンターの監視項目に対応。スパイウェア対策を除いて、Windows XP向けのNAPクライアントにも対応する

　NPSはSHVにパスする／失敗するの条件に従って、正常性ポリシーに準拠している／していないを判断し、クライアントのアクセスポリシーを決定する。正常性ポリシーに準拠する場合は、アクセス制限のない「セキュアゾーン」へのアクセス権を与え、準拠しない場合は制限付きの検疫ゾーンに残すか、アクセスを禁止するように構成できる（画面2）。決定されたアクセスポリシーをクライアントに強制するのは、NAPクライアントエージェントの役割だ。

画面2●　NPSはクライアントからの要求を「接続要求ポリシー」に従って処理し、クライアントからのSoHを「正常性ポリシー」で評価、「ネットワークポリシー」でセキュアゾーンへのアクセスを許可／制限／拒否する

▲ページの先頭へ戻る