連載
» 2008年05月08日 00時00分 公開

Windows Server 2008の基礎知識:第11回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(前編) (1/5)

新機能「ネットワーク・アクセス保護(NAP)」の概要を解説。前編ではNAPの仕組みを中心に、提供される機能などを解説する。

[田辺茂也(IT Pro エバンジェリスト),マイクロソフト株式会社]
  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 
Windows Server Insider

 

「  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 」のインデックス

連載目次

 Windows Server 2008の新機能の1つに、「ネットワーク・アクセス保護(Network Access Protection、以下 NAP)」がある。NAPは、企業内のネットワークに接続されるコンピュータの「正常性」を検証し、ポリシーを満たしていればフルアクセスを許可し、満たしていなければ、限定的なアクセスに制限することにより、ネットワーク全体の正常性を保つ機能である。もう少し分かりやすくいうと、ネットワークに接続されたコンピュータを何らかの条件や手段で検証し、それが正当ならばネットワーク・アクセスを許可するが、そうでなければネットワークから遮断する(もしくは利用を制限する)という機能である。物理的にネットワークに(イーサネットや無線LAN、VPNなどで)接続したまま、論理的にアクセスを許可したり、制限したりする、というところがキー・ポイントである。

 組織ごとに正常性のチェック項目を決めたり、ポリシーを細かく設定したりできる柔軟性があること、ネットワーク構成に応じて最適なアクセス限定方法が選べること、ポリシーを満たしていない場合にアクセスを拒否するだけではなく、修正できるオプションを提供可能なことなどがNAPの特徴だ。

 本稿では、システム構築を担当するシステム管理者などを対象に、Windows Server 2008のNAPの仕組みと、構築方法を解説していく。前編ではNAPの仕組みを中心に、後編では実際に構築する際のポイントについて解説する。

柔軟な検疫環境構築を可能にするNAP

 「クライアント・コンピュータの正常性を検証し管理する」という検疫のソリューションは、これまでもさまざまな仕組みで提供されてきている。Windows Server 2003 SP1の検疫機能のような、サーバ・ソフトウェアだけで実現されているもの、スイッチ(スイッチング・ハブ)などのネットワーク機器の機能を拡張する形で実現されているものなど、現在でも多様な選択肢がある。しかし、それぞれに制約があったり、導入のハードルが高かったりと、関心は高まっているものの、広く使われる段階には至っていないというのが現実だ。

 例えば、Windows Server 2003 SP1では、リモート・アクセス時にクライアントの状態をチェックする検疫機能が提供されている。外部から社内ネットワークにVPNでアクセスする際に、必要な条件が満たされているかどうかを接続時に検疫する機能だ。これにより、ウイルス対策ソフトウェアが正しくインストールされており、かつウイルス検出のための定義ファイルが最新の状態になっていることを確認したうえで、接続を許可するといったことが可能になり、既知のウイルスに感染しているコンピュータが接続されないようにできる。しかし、検疫はあくまでもVPNによるリモート・アクセス時に限られ、ノートPCを直接、社内ネットワークに接続したときなどには検疫機能が働かない。また検疫スクリプトもある程度の作り込みが必要で、手軽に導入できる機能とはいえなかった。

 一方、ネットワーク機器を中心としたソリューションでは、特定のネットワーク機器を使う必要があり、ネットワーク構成も変更しなければならない場合もあるなど、導入のハードルが低いものではない。また、クライアント・コンピュータに専用のソフトウェアをインストールする必要がある点なども、導入に際しての障害に挙げるシステム管理者も多いと聞く。多くは特定のソリューションで統一しなければならないため、その検疫ソリューションが対応していないOSがあれば、検疫できないままのコンピュータが残ってしまうのも難点として挙げられる。

 これらの問題点を解消し、柔軟に構築運用できる検疫ソリューションが待たれていたが、Windows Server 2008で新しく提供されるNAPは、まさにさまざまな制約を取り払い、上記のようなハードルを大きく下げるソリューションとなっている。そのメリットの1つは、実現方法が複数サポートされており、柔軟な運用が可能な点だ。具体的には、サーバとクライアントのソフトウェアだけで運用するシンプルな方法や、ネットワーク機器と連携する方法などがあり、それぞれを組み合わせることも可能だ。これにより、既存のネットワーク構成を大きく変えることなく検疫環境を構築したり、連携可能なネットワーク機器を導入して、より複雑で高度な検疫環境を構築したりできる。

 またもう1つのメリットは、クライアント側の基本コンポーネントが、Windows VistaやWindows XP SP3に標準で含まれている点だ。これにより、クライアント・ソフトウェアの展開や管理の負担が大幅に軽減される。課題としては、現状でサポートされるクライアントOSが限られている点や、検疫可能な項目が限られている点が挙げられる。とはいえNAPでは、サーバ側、クライアント側ともにAPIが公開されており、機能拡張や独自の検疫手法の開発、相互運用などが可能となっている。今後サードパーティのソフトウェア・ベンダやハードウェア・ベンダが協力し、NAPが適用できるシナリオが拡大していくことが期待されるている。ベースとなるコンポーネントがOSの標準機能として提供されるので、クライアントが増えてもわずかな追加投資で対応できることも利点である。

 この前編では、NAPで何ができるのか、シナリオや構成を見ていくことにする。


       1|2|3|4|5 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。