第11回　社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（前編）：Windows Server 2008の基礎知識（5/5 ページ）

» 2008年05月08日 00時00分公開

　クライアントの正常性に応じて、内部ネットワークへのアクセスを許可したり制限したりすることを、NAP強制と呼ぶ。クライアントの正常性がポリシーを満たしていない場合、内部ネットワークへのアクセスは許可できないが、修復のための特定のサーバ（修復サーバ）にはアクセスできるようにしなければならない。修復サーバがあるネットワークを制限ネットワークと呼ぶ。ポリシーに適合するまでは制限ネットワークにだけアクセスできるようにし、修復後はフルアクセスを許可するようにネットワークの機能や設定で制御する。また、それらのネットワーク設定をユーザーが変更できてはいけない。

　NAP強制の方法は、現在5種類提供されている。実際にNAPを導入する際には、各強制方法の特徴を確認したうえで、組織や既存のネットワークに最適な方法を選択する。また複数のネットワーク接続方法がある場合は、複数のNAP強制方法を組み合わせてもよい。

　5種類のNAP強制の特徴と、それぞれの長所・短所について簡単にまとめてみる。

1．DHCP
　 DHCPによるNAP強制では、クライアントの正常性がポリシーを満たしている場合、フルアクセス可能なIPv4アドレスとルート（つまり、通常のIPアドレス）が提供される。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできる、特別なIPv4アドレスが提供される。

　次の画面は、NAP強制により制限モードになっているコンピュータの例である。デフォルト・ゲートウェイの設定はなく、特定のサーバにのみ到達できるようなルーティングが個別に設定されている。

NAP強制により特定のサーバにのみ到達できるように設定された例
これは制限されたアクセス状態にあるコンピュータのIPアドレス情報をipconfigコマンドで表示させたところ。ポリシーが満たされていない場合、DHCPにより、通常のIPv4アドレスではなく、特定のサーバにのみ到達できるように設定された、特別なIPv4アドレスが割り当てられる。
　 （1）サブネット・マスクが「255.255.255.255」となる。
　 （2）デフォルト・ゲートウェイ欄は空欄となっているので、ほかのネットワークへは到達（アクセス）できない。
　 （3）検疫の状態が「制限あり」となり、NAP強制の状態になっていることが分かる。

IPルーティング・テーブル
これはDHCPでNAP強制されているクライアント・コンピュータ上でルーティング・テーブルを表示させたところ（route printもしくはnetstat -rコマンドで表示される）。デフォルト・ゲートウェイのエントリ（「ネットワーク宛先」が「0.0.0.0」のエントリ）がなく、修復サーバ向けのエントリなどを指すために、１台ずつ個別にルーティングが設定されていることが分かる。
　 （1）NAPサーバへのルート
　 （2）修復サーバへのルート
　 （3）別のネットワークにある修復サーバへのルート
　 （4）（3）にアクセスするためのゲートウェイ

[長所]

強制サーバがWindows Server 2008に含まれているため、追加投資が最小限で済む。
現在のIPアドレスの管理方法を大きく変えることなく導入できる。
5種類の中で最も構成が容易。
クライアントとサーバが1台ずつで始められるため、検証環境の準備が容易。

[短所]

クライアントに固定IPアドレスを設定することにより、NAPが迂回（うかい）できる。
現時点ではWindows Server 2008のDHCPサービスが必要であり、現状のネットワーク構成を変更しなければならない可能性がある。
ユーザー認証や暗号化の仕組みを持っていない。

2．VPN
　 VPNによるNAP強制では、クライアントが外部ネットワークからVPN接続する際に正常性を確認し、ポリシーを満たしている場合、フルアクセスできるようにする。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできるようにIPフィルタが適用される。

[長所]

入り口が特定少数であるため、運用がシンプルである。
強制サーバがWindows Server 2008に含まれているため、追加投資が最小限で済む。

[短所]

利用シナリオはVPN接続時に限られる。
現時点ではWindows Server 2008のVPNソリューションが必要。

3．IPsec
　 IPsecによるNAP強制では、クライアントの正常性がポリシーを満たしている場合、IPsecの通信に使用する証明書が提供される。ポリシーを満たしていない場合は、証明書が提供されないため、IPsecによる通信が必須のコンピュータとは通信できない。なお通常は自動的に配布される証明書が、NAP強制時は削除される。

[長所]

強力なユーザー認証と暗号化が利用可能。
スイッチやルータなどを越えての通信にも影響はない。
強制サーバがWindows Server 2008に含まれているため、追加投資が最小限で済む。

[短所]

組織内にPKIインフラが必要。
クライアントはドメインに参加している必要がある。
正常性登録機関（HRA：Health Registration Authority）サーバが必要。HRAは正常性に応じて、IPsec通信のための正常性証明書を発行するためのサーバである。

4．802.1x
　 802.1xは、RADIUSなどの認証サーバを使った、ユーザーの認証のための規格である。主に無線LANで使われ、認証をパスしたクライアントだけをネットワークに接続できるようにする。802.1xによるNAP強制では、802.1x認証に対応したネットワーク機器であるイーサネット・スイッチや無線LANアクセス・ポイントなどと組み合わせて、クライアントの正常性がポリシーを満たしている場合、フルアクセスを提供する。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできるようなIPフィルタリングが実施されたり、特定のコンピュータにのみアクセスできるような限定的なVLANへの接続だけが許可されたりする。

[長所]

802.1xは業界標準であり、多くのネットワーク機器が利用できる可能性がある。
802.1x認証のためのソフトウェア（サプリカント：supplicant）はNAP対応クライアントのWindowsに含まれている。
DHCP、IPsecのNAP強制と組み合わせることが可能。

[短所]

対応するネットワーク機器が必要。
VLANの設計が複雑になる可能性がある。

5．ターミナル・サービス・ゲートウェイ
　ターミナル・サービス・ゲートウェイ（TSゲートウェイ）は、Windows Server 2008の新機能で、外部ネットワークから内部ネットワーク上のターミナル・サーバやリモート・デスクトップ、Remote Appにより特定のアプリケーションのみにアクセスを可能にする機能だ（TSゲートウェイについては、「第9回　Windows Server 2008ターミナル・サービスによるクライアントの仮想化（中編） 3．安全で使いやすいリモート接続を実現するTSゲートウェイ」を参照のこと）。

　TSゲートウェイによるNAP強制では、クライアントの正常性がポリシーを満たしている場合、フルアクセスを提供する。ポリシーを満たしていない場合は、修復サーバなど特定のコンピュータにのみアクセスできるIPv4アドレスが提供される。

[長所]

強制サーバがWindows Server 2008に含まれているため、追加投資が最小限で済む。
Windows Server 2008の新機能をより安全に利用できる。

[短所]

TSゲートウェイという特定のシナリオのみをサポートする。
自動修復機能がサポートされていない。

まとめ

　ここまで、Windows Server 2008の新機能の1つであるNAPの仕組みや特徴について解説してきた。NAPは、これまでの検疫ソリューションを一歩進め、ネットワーク全体の正常性を、組織のポリシーに基づいて維持管理するためのソリューションである。また、NAPが備える互換性や拡張性により、さまざまなネットワーク機器やセキュリティ関連ソフトウェアと連携できるため、より柔軟で幅広い対応が期待できることがお分かりいただけただろう。Windows Server 2008に標準で提供されている役割であるため、まずは小規模なところから検証を始め、段階的にネットワーク全体に適用していくような計画を立てるとよいだろう。

　引き続き後編では、実際にNAPの環境を構築し、管理・運用する際のポイントについて解説していく。またNAPについてのさまざまな疑問についても答えていく。

次の回へ »