連載
» 2015年08月24日 05時00分 UPDATE

その知識、ホントに正しい? Windowsにまつわる都市伝説(39):NAPとワークプレース参加はどこに? ――Windows 10から消えた二つの企業向けネットワークセキュリティ機能 (1/2)

Windows 10では多くの新機能が追加されていますが、削除された機能もいくつかあります。前回は提供方法が変わったサードパーティのVPNクライアントを紹介しました。今回は、「ネットワークアクセス保護(NAP)」と「ワークプレース参加」機能のWindows 10対応状況を説明します。

[山市良,テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

連載目次

企業クライアントPCのWindows 10化は計画的に

 Windows 7およびWindows 8.1ユーザーには無料ということもあって、7月29日以降、Windows 10にアップグレードした個人ユーザーの方は多いと思います。また、企業向けのWindows 10 ProやWindows 10 Enterpriseのボリュームライセンス提供も開始されたことで、クライアントPCのWindows 10へのアップグレードや新規導入を考えている企業もあるでしょう。

 もし筆者が、今、Windows 10を導入するべきかどうかと問われれば「ノー」と答えるでしょう。正式リリース以後、毎週のように累積的な更新プログラム(再起動が伴う)が提供されている今の状況を考えると、更新プログラムのリリースサイクルが落ち着くまでしばらく待った方がよいと思いますし、業務アプリケーションや企業ネットワークとの互換性問題をしっかりと解決してから、計画的にアップグレードや新規導入を開始するべきです。

 例えば、企業ネットワークとの互換性問題として、Windows 8.1以前では利用できていたのに、Windows 10では利用できなくなるセキュリティ機能があります。

Windows 10はNAPクライアントに“なれません”

 Windows 7やWindows 8.1からWindows 10にアップグレードすると、「アクションセンター」(Windows 10では「セキュリティとメンテナンス」)コントロールパネルから、セキュリティ項目が一つ消えていることに気が付くでしょう。消えたセキュリティ項目は、「ネットワークアクセス保護」です(画面1画面2)。

画面1 画面1 Windows 8.1の「アクションセンター」にある「ネットワークアクセス保護」の項目。NAPクライアントとしてセットアップされている場合に「有効」。個人のPCなら「無効」になっているのが普通
画面2 画面2 Windows 10の「セキュリティとメンテナンス」(アクションセンターから名称変更)には、「ネットワークアクセス保護」の項目もNAPクライアントのサービスも存在しない

 「ネットワークアクセス保護(Network Access Protection:NAP)」は、Windows Server 2008で初めて登場したネットワーク検疫機能です(画面3)。Windows XP Service Pack(SP)3以降のWindowsにはNAPのクライアントコンポーネントが標準搭載されており、企業ネットワークに直接あるいはVPN(Virtual Private Network)接続やリモートデスクトップ接続経由で接続してくるクライアントPCを、ファイアウオール設定やマルウエア対策の状態、自動更新の設定、Windows Updateの適用状況などのセキュリティ状態に基づいて検疫し、接続を拒否したり、自動修復したりするものです(画面4)。

画面3 画面3 Windows Server 2012 R2でNAPの検疫機能を提供する「ネットワークポリシーサーバー」(NPS)
画面4 画面4 NAPにより、マルウエア対策が無効化されたPCの接続が、リモートデスクトップゲートウェイによって拒否された様子

 企業ネットワークでWindows Server 2008以降のNAP環境を展開していない限り、クライアントPCの「アクションセンター」にある「ネットワークアクセス保護」は「無効」の状態で問題ありません。個人PCの場合は、通常「無効」であり、「無効」だからといってセキュリティが低下することはありません。NAPクライアントは、NAPが有効な企業ネットワークに接続する際、企業側のネットワークを脆弱(ぜいじゃく)性があるかもしれない接続元PCから保護するためのセキュリティ機能を提供します。

 NAPは現行バージョンのWindows Server 2012 R2でもサポートされていますが、「非推奨」の機能という位置付けになっています。そして、2016年にリリース予定のWindows Server 2016では、NAPのサポートは削除される予定です。プレビュー版のWindows Server Technical Previewからは、すでにNAPのサポートが削除されています。

 前出の画面2を見ると分かるように、Windows 10にはNAPクライアント機能を提供する「Network Access Protection Agent」サービスが存在しません。また、NAPクライアントとして構成するための、「NAPクライアントの構成」スナップイン(Napclcfg.msc)も存在しません。つまり、Windows 10はNAPクライアントのコンポーネントを搭載しておらず、NAPクライアントとして構成することができないのです。

 現在、企業ネットワークにNAPを展開している場合は、Windows 10をNAPのセキュリティ機能の対象にしようとしてもできないという問題が発生します。Windows 10に対して企業ネットワークへのアクセスを提供するには、“NAP非対応のクライアントとして例外的にアクセスを許可する”などの回避策を講じる必要があるでしょう(画面5)。しかしそれは、せっかくNAPで維持してきたセキュリティレベルを低下させることにつながりかねません。

画面5 画面5 NAPが有効な保護された企業ネットワークにWindows 10を接続させるために、“NAP非対応クライアント”として例外設定を行う
       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。