ベールを脱いだマイクロソフトの次世代サーバOSその2――検疫ネットワークのサポートとIISの機能強化：Windows Server 徹底活用（1/2 ページ）

今回はセキュリティ関係の機能に関してみていこう。Windows Server "Longhorn" 新機能の目玉と言えるのが、ポリシーに適合しないクライアントの接続を制限する、いわゆる“検疫ネットワーク”をサポートした点だ。また、Webアプリケーションの実行基盤となるInternet Information Services（IIS）は「7.0」へとバージョンアップし、大幅な機能強化が図られた。

[富樫純一，ITmedia]

このコンテンツは、オンライン・ムック「Windows Server 徹底活用　丸分かり機能解説から実践テクニックまで」のコンテンツです。関連する記事はこちらでご覧になれます。

検疫ネットワークを実現するNAP

　重要な情報の持ち出しやセキュリティ上の脅威の持ち込みを防止することを目的として、「検疫ネットワーク」を構築する企業が増えている。検疫ネットワークとは、ネットワークを適切に機能させるための要件をポリシーに定義し、要件を満たさないコンピュータがネットワークと通信することを制限するという仕組みである。Longhornでは、この検疫ネットワークをOSベースでサポート。その新しい機能は、Network Access Protection（NAP）という。

　NAPは、以下の3つの働きをする。

１．正常性ポリシー検証
　あるコンピュータがネットワークに接続を試みるときに、そのコンピュータの状態が正常性ポリシーに適合しているかどうかを照合、検証するもの。コンピュータがポリシーに適合するかしないかを監視または制御する。監視のみに設定した環境では、コンピュータが正常性ポリシーに適合しない場合でも、承認済みのコンピュータはアクセスが許可され、その状態をログに記録する。アクセスを制限する環境では、正常性ポリシーに適合しないコンピュータ、あるいはNAPと互換性のないコンピュータは制限付きネットワークのみに限定してアクセスが許可される。

２．正常性ポリシー準拠
　「Microsoft Systems Management Server」などの管理ソフトウェアを使用し、正常性ポリシーの要件を満たさないコンピュータの自動更新を行えるもの。監視のみの環境ではコンピュータの構成を更新する前でもネットワークにアクセスできるが、アクセスを制限する環境では、ソフトウェアや構成の更新が完了するまで、正常性ポリシーに準拠していないコンピュータはアクセスできない。

３．制限付きアクセス
　NAPは、正常性ポリシーの要件に準拠しないコンピュータからのアクセスを制限するが、それをどのように制限するか設定できる。例えば、一定時間アクセスを制限する、ネットワークアクセスを制限付きネットワークに限定する、アクセスを1つのリソースに限定する、内部リソースにはまったくアクセスできないなどの基準を設定することが可能になっている。

　なお、NAPは悪意のあるユーザーからネットワークの安全性を確保する目的の機能ではないため、それ自身にはコンピュータの正常性の修正する機能はない。ただし、Longhornには、「システム正常性エージェント」「システム正常性検証ツール」などのコンポーネントが搭載されており、正常性ポリシー検証と正常性ポリシー準拠の機能が提供されている。

NAPクライアントの構成ユーティリティ