ここまで変わるVista／Longhornのネットワーク、残る課題は？（2/5 ページ）

[Michael Cherry，Directions on Microsoft]

セキュリティを強化するネットワークコンポーネント

　Windows VistaおよびLonghorn Serverにおけるセキュリティ強化を目的としたネットワークコンポーネント関連の改良点としては、複数のルーティングコンパートメントのサポート、ワイヤレスセキュリティの強化、将来的なネットワークアクセス保護のサポートがある。

複数のルーティングコンパートメントのサポート
　ルーティングコンパートメントは、ネットワークアダプタと、仮想プライベートネットワーク（VPN）およびターミナルサーバー接続間における望ましくない転送を防ぐ目的で使用される。例えばWindows XPでは、ユーザーがインターネットを介してプライベートイントラネットにアクセスするVPN接続を確立している場合に、トラフィックがインターネットとVPN接続間で転送できるように構成できるため、企業のセキュリティに影響を与える可能性がある。

　対照的にWindows VistaとLonghorn Serverでは、ネットワークアダプタとユーザーセッションのセットごとに専用のIPルーティングテーブルを用意し、ユーザーが手動で望ましくない転送を許可するルーティングテーブルエントリを作成するリスクを排除している。

ワイヤレスセキュリティの強化
　Windows VistaとLonghorn ServerのWi-Fiのネイティブサポートは、以下の最新のセキュリティプロトコルに対応している。

• PEAP-TLS（Protected Extensible Authentication Protocol-Transport Layer Security）
• PEAP-MSCHAPv2（Protected Extensible Authentication Protocol-MS CHAP v2）
• WPA2（Wi-Fi Protected Access）

　これらのプロトコルをサポートすることで、Windowsはほぼすべてのワイヤレスインフラストラクチャに対応できる。またVistaは既定で、最も安全なプロトコルを選択するようになっている。

ネットワークアクセス保護（NAP）
　Windows VistaとLonghorn Serverでは、ネットワークに接続するコンピュータが必ず管理者の定義したシステム状態の要件を満たしているようにするポリシー適用コンポーネントが提供される予定だ。要件を満たしていないコンピュータは、ネットワークから隔離（検疫）するか別の場所にルーティングして、必要なソフトウェアまたは更新プログラムをインストールし、ポリシーに適合させる。例えばシステム状態の要件として、ネットワークに接続するコンピュータは最新のOSの更新プログラムとウイルス署名ファイルをインストールしていなければならない。

　NAPは、コンピュータがDHCPサーバに対して新しいIPアドレスを要求するか既存のIPアドレスの割り当てを更新する時点、コンピュータがVPN接続によりネットワークへの接続を試みた時点、802.1xベースのイーサネットスイッチまたはワイヤレスアクセスポイントとの認証を試みた時点に、このようなポリシーを適用する。また、IPSec（IP Security）ベースの有線／ワイヤレスネットワークアクセスコントロールもサポートする。

　NAPのクライアントコードは、Windows Vistaに実装されるが、2007年にLonghorn Serverがリリースされるまでは、NAPを完全に展開（デプロイ）することはできない。それまではWindows Server 2003の既存の検疫機能を使用する必要がある。

ネットワークポリシーサーバ（NPS）
　NPSはWindows Server 2003のインターネット認証サービス（IAS）に替わるもので、Longhorn ServerへのVPNや802.1xベースの有線／ワイヤレス接続に使われるRADIUS（Remote Authentication Dial-In User Service）および認証サービスを提供する。また、Longhorn Serverに搭載されるNPSは、（Vistaに搭載済みの）NAPクライアントのセキュリティの状態を評価し、クライアントにフルアクセスを許可するか、あるいはポリシーを満たすまで限られたアクセスのみを許可または検疫するかを決定する。