【解説】
「Windows Server 2008＆Vista」最適活用講座［Part2］

NAPを利用したセキュリティ・レベルの保証

（2008年07月02日）

【Enforcement】
DHCP、IPSec、IEEE 802.1x、VPN、TSゲートウェイ
5つの検疫実施オプションを用意

　NAPのアクセスポリシーをクライアントに強制する手段としては、「DHCP（Dynamic Host Configuration Protocol）実施オプション」「IPSec（Internet Protocol Security）実施オプション」「IEEE 802.1x（有線／無線）実施オプション」「VPN実施オプション」「ターミナルサービス（TS）ゲートウェイ実施オプション」の5つが用意されている。

　IEEE 802.1x実施オプション以外は、Windows Server 2008の役割や機能がアクセスデバイスとして機能するため、特別なネットワーク機器を用意しなくても利用可能だ。例えば、DHCP実施オプションはWindows Server 2008のDHCPサーバ（画面4）を利用し、IPSec実施オプションにはWindows Server 2008の「Active Directory証明書サービス」が提供するエンタープライズルートCAおよび正常性登録機関を利用する。

　IEEE 802.1x実施オプションは、VLAN（仮想LAN）を利用してスイッチのポート単位でアクセス制御を行うもので、IEEE 802.1x認証スイッチまたは802.1x準拠ワイヤレスアクセスポイントが必要だ。

画面4●　Windows Server 2008のDHCPサーバはNAPに対応。非準拠クライアントにサブネットマスク「255.255.255.255」と、空のデフォルトゲートウェイ、修復サーバへの固定ルートを提供することで、アクセスを制限する

　
【Cecurity Center】
Windowsセキュリティ正常性検証ツールは
セキュリティセンターの監視項目をチェック

　Windows Server 2008が標準でサポートするSHV「Windows正常性検証ツール」は、Windows XP以降の「セキュリティセンター」の監視項目を対象としてクライアントの正常性を評価する。

　Windows Vistaでは、Windowsファイアウォールの状態、ウイルス対策の状態、スパイウェア対策の状態、自動更新の状態、および最新のセキュリティ更新プログラムが適用済みかどうかを検査することが可能で、Windows正常性検証ツールに対応するエージェント（SHA）がWindows Vistaに標準搭載されている（画面5）。

　NAPクライアントとしてはWindows XP SP3もサポートされているが、Windows XPのセキュリティセンターの制約により、スパイウェア対策の状態検査には対応していない。

画面5●　NAPが標準で備える「Windowsセキュリティ正常性検証ツール」は、セキュリティセンターの監視項目を対象に検査を行う

Column
NAPと統合可能なSystem Center Configuration Manager 2007

　Windowsセキュリティ正常性検証ツールおよびエージェントは、Windows Server 2008、Windows Vista、およびWindows XP SP3に標準で含まれるSHV/SHAであり、セキュリティセンターの項目で正常性を検査する。NAPは拡張用APIを提供しているので、サードベンダーが開発したSHV/SHAによる拡張も可能だ。

　「System Center Configuration Manager（SCCM）2007」は、クライアントを正常性ポリシーに準拠させるための修復サーバとして利用できるほか、NAPを拡張するSHV/SHAを提供する。このSHV/SHAは、SCCM 2007で配布されるソフトウェアや更新プログラムの展開状況を検疫条件に設定できる。

　例えば、ゼロデイ攻撃に対する更新プログラムを配布し、それがインストールされるまではネットワークへの完全なアクセスは許可しない、といったことをNAPと連動して実現できる。

●Microsoft System Center
http://www.microsoft.com/japan/systemcenter/default.mspx

●System Center Configuration Manager 2007
http://www.microsoft.com/japan/systemcenter/configmgr/default.mspx
　