【解説】
「Windows Server 2008＆Vista」最適活用講座［Part2］

NAPを利用したセキュリティ・レベルの保証

（2008年07月02日）

【Built-in】
Windows Server 2008 ＆ Vistaなら
OSの標準機能だけですぐに実現可能

　NAPのシステムは「ネットワークポリシーサーバ（NPS）」と「システム正常性検証ツール（System Health Validator：SHV）」、実施オプションに応じたアクセスデバイス、そしてクライアント側にNAPクライアントエージェント、SHVに対応した「システム正常性エージェント（System Health Agent：SHA）」で構成される（図1）。Windows Vistaには、NAPクライアントエージェントが標準搭載されている。

図1●　NAPによるクライアント検疫のイメージ。クライアントはいったん検疫ゾーンに配置され、正常性ポリシーに準拠するものだけがセキュアゾーンへのアクセスを許可される

　NPSは、リモート認証ダイヤルインユーザーサービス（RADIUS）サーバとRADIUSプロキシの機能を持ち、VPNや有線／無線LANによる接続要求を認証する機能を持つ。また、クライアントの正常性を評価し、ネットワークポリシーを決定して、クライアントのネットワークへのアクセスを許可／禁止する。

　NAPが有効なネットワークに接続しようとするクライアントは、必ず「検疫ゾーン」と呼ばれる制限付きネットワークに配置され、SHAによってシステム状態が検査される。検査結果は「状態ステートメント（Statement of Health：SoH）」としてNPSに送信され、NPS側のSHVで評価される。

　NPSはSHVの評価により、正常性ポリシーへの準拠／非準拠を判断して、クライアントへのネットワークポリシーを決定する。正常性ポリシーに準拠する場合は、アクセス制限がない「セキュアゾーン」へのアクセス許可を与え、非準拠の場合は引き続き検疫ゾーンに残すか、完全にアクセスを禁止する。正常性ポリシーに準拠するように、自動修復させたり、修復サーバへのルートを提供したりすることも可能だ（画面1）。