第11回　社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（前編）：Windows Server 2008の基礎知識（3/5 ページ）

　基本的なNAPの動作の流れが分かったところで、NAPによって何が実現できるのかについて見ていこう。

■組織全体、ネットワーク全体での正常性の維持管理
　 個々のコンピュータのセキュリティ・レベルの向上、維持管理の技術は年々充実してきているが、組織全体で一定のレベルを維持することは容易ではなかった。NAPでは、個々のコンピュータのセキュリティ・レベルを含む正常性を、ポリシーによって中央で管理することができる。すべてのコンピュータの正常性を管理し、モニタリングすることにより、ネットワーク全体の正常性の維持管理が可能になる。

■コンピュータの正常性チェック
　 接続されるコンピュータの正常性を調査し、組織で決められた正常性のポリシーに照らし合わせて、条件を満たしているかどうかを検証する。例えば、ファイアウォールが有効になっているか、Windows Updateが有効になっており、かつ最新の状態になっているか、ウイルス対策ソフトウェアが最新の状態で動いているかなどを確認できる。ポリシーで設定した必要な条件を満たしているときのみ、社内ネットワークへのフルアクセスを許可する。

　Windows Server 2003 SP1でのリモート・アクセスによる検疫は接続時に行われ、接続された後は、Windows Updateを無効にするなどの設定変更を行っても、アクセスは許可されたままであった。一方NAPでは、クライアント側で常にNAPエージェントが動いているため、何らかのポリシーにかかわる設定変更があると、それを検知してサーバへの通知が行われる。その時点でポリシーを満たさなくなると、すぐさまアクセスが制限されることになる。設定を戻すとNAPエージェントが検知し、再度アクセスが許可される。このように、正常性を常に検出し続けることで、クライアント・コンピュータの設定変更による社内ネットワークの危険性増大を防止できる。

■ネットワーク・アクセスの制限
　 正常性の検証の結果、ポリシーを満たしていない場合は、社内ネットワークへのアクセスが制限できる。一切のアクセスを拒否することもできるが、特定のネットワークやコンピュータのみにアクセスできるようにすることも可能だ。例えば、セキュリティ更新プログラムやウイルス定義ファイルの更新などが行える「修復サーバ」にのみにアクセスできるようにしておけば、コンピュータをポリシーに合致した状態に修正しやすくなる。また、ヘルプデスクのポータルを設置し、そこでマニュアルを見たり、対処方法を調べたりできるようにしておけば、ユーザー／ネットワーク管理者双方の負担を軽減できる。

■コンピュータの状態の修復
　 前述したとおり、ポリシーを満たしていない場合、修復サーバにのみアクセスを許可し、ウイルス対策ソフトウェアの定義ファイルをダウンロードさせたり、WSUS（Windows Server Update Services）から最新の更新プログラムを適用させたりできる。またWindowsファイアウォールの有効化など、機能によってはクライアント自身で自動的に修復できるものもある。

　このようにNAPは、常に個々のコンピュータの正常性を検証し、修正することにより、ネットワーク全体の正常性を保つソリューションである。ただしNAP自体は、認証や認可のメカニズムを持っていない。つまりポリシーを満たしているコンピュータであれば、ユーザーが誰であるかに関係なくネットワーク・アクセスを許可してしまう。従ってセキュリティの機能そのものではなく、ネットワークの正常性を保つためのソリューションである。また、これまでのセキュリティの機能を置き換えるものでもない。組織のセキュリティ・ポリシーに含まれるコンピュータの正常性ポリシーを、より確実に適用し、柔軟に運用するためのソリューションなのである。