ここは知っておくべき!Windows Server 2008技術TIPS

第4回 NAP─ネットワークアクセス保護

この記事を読むのに必要な時間:およそ 3 分

皆さんの中には社内のセキュリティ管理に頭を悩ませている方も多いかとは思います。特に最近ではモバイルユーザが増え,ノートPCを持ち歩き自宅などでも使用するユーザも多く,また従業員以外のユーザがパソコンを持ち込んで社内で作業をするといったこともあるかと思います。つまりウィルスやワームに感染している可能性があるデバイスが簡単に社内ネットワークに接続できる状況にあるといえます。

もちろん,ウィルス対策ソフトやセキュリティパッチといった対策をとっているかとは思いますが,ユーザ任せの対策であれば必ず最新のセキュアな状態で社内ネットワークに接続しているとは言い切れないはずです。そこで,2008からの新機能であるNAP(Network Access Protection)では社内ネットワークに接続するクライアントコンピュータを検疫し,ポリシーに基づいて社内サーバへ接続させるかどうかを判断します。

ポリシーに違反している場合には,ネットワークからの隔離や,ポリシーに準拠する設定にアップデートする環境を提供することも可能です。つまり,今までのOSは外部の攻撃から守る手段が提供されていましたが,このNAPでは社内ネットワークのコンピュータをチェックし,より安全な環境を提供することが可能となっています。

NAPの機能

まずは,NAPの主要な機能からご紹介しましょう。

ポリシー検証

社内ネットワークに接続したいコンピュータがポリシー要件(例:ウィルス対策ソフトを有効にしている,Windowsファイアウォールが有効であるなど)に準拠しているかどうかが判断されます。

ネットワークアクセス制限

ポリシーに準拠しない(満たしていない)コンピュータが社内ネットワークに接続できないように制限します。

自動修復

ポリシーに準拠しないコンピュータを準拠状態にするために必要なコンポーネントを提供する「修復サーバー」へのアクセスを提供します。また場合によっては,ポリシー非準拠のためアクセス不可であることを伝えるWebページだけを提供して完全に社内ネットワークから遮断させることも可能です。

継続的な準拠

検疫後もコンピュータは継続的にポリシーに準拠しているかどうかを検証され続けます。ユーザによる操作でポリシー要件に満たない状態にコンピュータが変更された場合(ウィルス対策ソフトを無効にするなど)には,直ちに準拠状態になるように動的にコンピュータの状態が更新されます。

動作の流れ

次に具体的な流れを見ていきましょう。

図1 NAP動作イメージ

図1 NAP動作イメージ

NAPが機能しているネットワークに接続してきたクライアントコンピュータはまず,⁠制限ゾーン」と呼ばれる制限されたネットワークに所属することになります。そこで,ウィルス対策ソフトやWindowsファイアウォールの状態などを検証され,その結果を「SoH:状態ステートメント(Statement of Health)⁠として,2008が稼動している「ネットワークポリシーサーバー(NPS)⁠へ送信されます(図1の①)⁠

NPSでは,設定しているポリシーとクライアントコンピュータの状態が比較され,ポリシー準拠か非準拠の判断が下されます(図1の②③④)⁠

ポリシーに準拠している場合にはクライアントコンピュータはセキュアゾーンへ移動し,社内リソースへアクセスすることが許可されます(図1の⑤)⁠

ポリシー要件を満たしていない非準拠の場合には,ポリシーに準拠するようにコンピュータを修復する手段を提供できます(図1の⑤')⁠修復のための説明を表示する社内Webサイトへ誘導や,WSUS環境があればソフトウェアの更新も可能となります。

より厳しい設定の場合には,非準拠のクライアントコンピュータは,制限ゾーンに残されたままの設定や,アクセスを拒否することも可能です。

著者プロフィール

安藤奈帆子(あんどうなほこ)

マイクロソフト認定トレーナー(パソナテック所属)として,ITプロフェッショナル向けコースを担当するほか,教育企画・開発を担当。

Microsoft Certified Trainer Award 2006新人賞 受賞
Microsoft Certified Trainer Award 2009優秀賞 受賞

パソナテックMicrosoft University
URLhttp://www.pasonatech.co.jp/msu/

コメント

コメントの記入