第12回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは（後編）：Windows Server 2008の基礎知識（5/5 ページ）

[田辺茂也（IT Pro エバンジェリスト），マイクロソフト株式会社]

印刷

通知 連載「Windows Server 2008の基礎知...」の新着をメールで通知

見るPost

Shareシェア

はてなブックマーク

SharePocket Button

NAP関連のログを確認する

　NAPに関連するログは、イベントとして記録される。サーバでは、イベント・ビューアで［カスタム ビュー］－［サーバーの役割］－［ネットワーク ポリシーとアクセス サービス］で確認できる。クライアント（Windows Vista）では、イベント・ビューアの［アプリケーションとサービス ログ］－［Microsoft］－［Windows］－［Network Access Protection］－［Operational］で確認できる。サーバでは、イベント・ログとは別に、テキスト・ファイルやデータベースにログを残すことも可能だ。

　テキスト・ファイルの内容例は以下のようになっている（「データベース互換」形式の場合）。後からの加工も容易であるので、どのコンピュータにどのポリシーが適用されたか統計情報が作成できる。

"NAP-SV01","RAS",09/08/2008,11:15:29,1,,,"192.168.100.0","0003FF013BC3",,"192.168.100.11","NAP-SV01","192.168.100.1",,,,,,,15,,,12,7,"NAP DHCP NAP 非対応",0,"311 1 fe80::9409:2da3:96f8:929c 09/08/2008 01:32:45 1",,,,,,,,,"3848485198",,,,,,,,,,,,,,,,,,,,,,,,,"NAP DHCP",1,,,,
"NAP-SV01","RAS",09/08/2008,11:58:36,2,,,,,,,,,,,,,,,,,1,2,7,"NAP DHCP 準拠",0,"311 1 fe80::9409:2da3:96f8:929c 09/08/2008 01:32:45 8",,,,,,,,,"2928832446",,,,,,,,,,,,,,,,,,,,,,,,,"NAP DHCP",1,,

NAPのテキスト・ログの例

　すべてのポリシーで、フル・ネットワーク接続を提供する設定にしておけば、実際にはネットワーク接続制限をかけることなく、どのポリシーが適用されるかのみを記録することができる。ネットワーク接続制限は、日常業務に直接影響する仕組みであるため、導入も慎重に行いたい。まずは、ログだけを収集しながら、影響範囲を調査したり、適切なポリシーを作成してから、段階的にネットワーク接続制限を実施したりしていくことにより、ユーザーの理解を得ながら確実にNAPを展開していくことができるだろう。

まずNAPを検証してみよう

　今回は、DHCPによるNAP強制を例にNAPの設定方法を解説した。前編の「5．5種類のNAP強制の長所・短所」で紹介したように、NAP強制は5種類が用意されており、導入企業のネットワーク環境やセキュリティ・ポリシーなどによって柔軟に選択可能となっている。また検疫のポリシーについても、同様に環境に合わせた柔軟な設定が行える。当初は、「ゆるい」ポリシーを設定しておいたり、一部のコンピュータやユーザーに限定してパイロット導入したりして、ユーザーが慣れて、日常業務への影響が把握できたら、徐々に導入範囲を広げたり、ポリシーを本格的にきつくしていったりという運用も可能だ。

　NAP自体はWindows Server 2008の標準機能であり、クライアント側のWindows XP SP3とWindows Vistaについては、デフォルトでNAPに対応していることから、追加コストなしに検疫システムが構築できるメリットもある。セキュリティ対策やコンプライアンス対策といった面から、検疫システムの導入を検討している企業も多いと思うが、前述のように柔軟な設定が可能なので、Windows Server 2008の導入を機会にNAPをスタートさせることを検討してみてはいかがだろうか。

次の回へ »

「  Windows Server 2008の基礎知識　――　新サーバOSで何が変わるのか？　――　」