第11回　社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（前編）：Windows Server 2008の基礎知識（2/5 ページ）

» 2008年05月08日 00時00分公開

　多くの企業において、社員が外出先でも利用できるようにノートPCを導入する例が増えている。しかしこうしたノートPCは、自宅や出先に持ち運んで使うことが多いため、ウイルス感染など、さまざまなセキュリティ上のリスクに触れる機会も増加する。また場合によっては、ネットワーク接続時、何らかの理由によりファイアウォール機能を無効にするなど、セキュリティの設定を変更し、そのままとなってしまう可能性もある。さらに長期出張などで、セキュリティ更新プログラムなどが適用されない状態になっているかもしれない。このようなノートPCを社内に持ち帰って不用意にLANに接続すると、社内ネットワーク全体を危険な状態にしてしまう可能性もある。

　リモート・アクセスのようにネットワークへの入り口が限られており、接続のための作業がある場合は、検疫によって接続を制限することも比較的容易だが、企業内のLANに直接接続する場合はどうすればよいだろうか。現状、Windows OS標準の機能では、LAN接続時に検疫を実施することはできない。これを可能にするのがNAPである。

　セキュリティを強化して安全性を向上させると、一方で使い勝手が悪くなり、ユーザーの負担が増えて現実的な対応ができず、結局は導入を見送るというケースも多いと聞く。この点NAPでは、アクセス許可の条件となる「ポリシー」を柔軟かつ詳細に設定できるため、各企業独自の都合に合わせてセキュリティ・ポリシーを設定したり、運用しながら設定内容を微調整したりできるので、ユーザーの負担をあまり増やすことなくセキュリティを強化できる。

　またポリシーに適合しないコンピュータがあった場合も、無条件にアクセスを禁止するのでなく、修復サーバ（問題点を解決し、ポリシーに適合させるためのサービスを提供するサーバ）へのアクセスは許可するといった現実的な対応も可能である。例えば、社内ネットワークへにアクセスするためには、ファイアウォール・ソフトウェアとウイルス対策ソフトウェアが有効で、かつウイルスの定義ファイルが最新の状態でなければならないというポリシーを決めたとする。このポリシーに適合しないコンピュータがネットワークに接続された時は、強制的にネットワーク・アクセスを制限してしまう。これにより、セキュリティ上の危険性があるコンピュータが社内ネットワークに無条件で接続されるのを防ぐことができる。しかし同時に修復方法、つまりファイアウォール・ソフトウェアの有効化の方法や、ウイルス定義ファイルの更新方法も通知することで、ユーザーによる修復を可能にしておく。そして、自動修復またはユーザーによって修復されたら、社内ネットワークへのアクセスが許可される、といった流れが実現できる。

NAPの構成と動作の流れ

　NAPの全体構成と処理の流れを示す。

NAPの全体構成

　NAPは、大きく「サーバ」「クライアント」「NAP強制（詳細は後述）の仕組み」「ポリシー」の4つの要素で構成されている。

　まずクライアントがネットワークにアクセス可能な状態にあるかどうかは、ポリシーで決められる。ポリシーは組織ごとに必要な要件を定めたものであり、最新の更新プログラムが適用されているか、ウイルス対策ソフトウェアが有効になっているかなどの条件、およびそれらの条件を満たしていない場合の対応が含まれる。

　サーバでは、ポリシーを管理し、クライアントから提出される正常性レポートを検証して、ネットワークへのアクセスをコントロールする。さまざまなOSごとにポリシーを決め、NAPに対応していないクライアントの扱いなども、サーバ側で決めておく。

　クライアントでは、常にNAPクライアントが動作しており、正常性を取りまとめてサーバにレポートし、ネットワークへのアクセスを要求する。またNAPクライアントには、サーバからの要求に応じ、ポリシーを満たすように自動修復する機能もある。

　動作の概要は、上図のようになっている。まず、クライアントがネットワークに接続されたときに、正常性のレポートをサーバに提出する（NAPの全体構成図の（1））。サーバは、NAPの管理下にあるコンピュータかどうかを確認し（NAPの全体構成図の（2））、ポリシーを満たしていなければ、強制的に制限ネットワークに接続する（NAPの全体構成図の（3）、（4））。ネットワークの強制は、後述のようにDHCPを利用する方法や、スイッチと連携したVLANを利用する方法など、複数の方法から選択可能である。

　下画面は、ポリシーを満たしていないときに、クライアント側コンピュータに表示されるエラーの例である。このように、ネットワーク・アクセスが制限されることがユーザーに通知される。

ポリシーを満たしていない状態のNAPの通知
ポリシーを満たしていないクライアントでは、ユーザーにこのようなメッセージで警告が表示される。
　 （1）ポリシーを満たしていないため「ネットワーク要件を満たしていません」という警告メッセージが表示される。メッセージをクリックすると、詳細情報が表示される。→［A］へ

［A］

メッセージをクリックした際に表示される詳細情報
ポリシーを満たしてない旨の警告メッセージをクリックすると、この詳細情報が表示される。この場合は、必要なセキュリティ更新プログラムがインストールされておらず、ポリシーを満たしていないことが分かる。

　この場合、社内ネットワークにフルアクセスするためには、セキュリティ更新プログラムの適用が必要なため、制限ネットワーク上にある修復サーバにアクセスし、更新しなければならないことが分かる（NAPの全体構成図の（5）、（6））。そこで、ユーザーは修復サーバにアクセスし、セキュリティ更新プログラムを適用後、再度正常性レポートを提出することで、晴れてフルアクセスが可能になる（NAPの全体構成図の（7）、（8）、（9））。