検疫ネットワークを実現する仕組み（後編）：特集：ホントに使える？ 検疫ネットワーク再入門（2/2 ページ）

[小山安博，ITmedia]

• Microsoftの「NAP」

　同じく業界の巨人であるMicrosoftが提唱したのがNAP（ネットワーク アクセス保護）だ。これも、ネットワークに接続しようとしたマシンが、管理者が設定したポリシーを満たしているかどうかを確認するためのプラットフォームである。

　NAPを実現するには、Windows VistaことLonghorn Serverのほか、Microsoft DHCPサービス、VPN接続、RADUISサーバのインターネット認証サービス（IAS）が必要だ。クライアントについては、現時点でWindows XP SP2以降のOSのみサポートする予定だという。提供は、Longhorn Serverの出荷時期に合わせ、2007年となる見込みだ。

　NAPもNACと同様、各セキュリティ製品との連携によって実現される検疫ソリューションであるため、Microsoftではベンダーとの協調を進めている。こちらも、シマンテック、トレンドマイクロ、マカフィーといったウイルス対策ベンダーをはじめ、多くのベンダーと協力関係を構築している。

　また、Windows Server 2003 SP1では、VPN接続に限って検疫機能の提供を開始した。NAPではさらにそれを拡張し、より幅広く、より使いやすい形で機能が提供されることになると期待したい。

自社のポリシーに合わせて選択を

　2つの巨大企業が進めるソリューションだが、基本的なスタンスや目的は全く同一だ。いずれも多くのベンダーと協力してソリューションを完成させようとしており、参加企業も重なる部分が多い。

　この両社が手を組もうというのは、ある意味自然な流れかもしれない。昨年10月に両社は、NACとNAPの相互運用を可能にする方針を固め、2つのソリューションを組み合わせて利用できる道筋が開けた。これにより、Windows OSのセキュリティとシスコのルータ／スイッチの機能を連携できるようになり、複数登場している検疫ネットワークの方式を統一し、業界標準となる可能性すら出てきた。

　ただ、現時点ではまだ、両社のソリューションが完全に姿を見せたわけではない。特にNAPの場合、Longhorn Serverのリリースを待つ必要があるため、早くても登場は2007年以降となる。

　つまり、ここまで見てきたとおり、検疫ネットワークにはまだ決定的なトップベンダーというものが存在しない。まだまだ新しいソリューションである。

　今提供されている仕組みの中からどの方式を選ぶか、それともNAC／NAPの完成を待つべきか――このあたりの判断は、企業のセキュリティポリシーや既存のシステム／ネットワーク構成次第ということになる。ユーザーにどの程度の自由度を与えられ、どのような管理の仕組みが提供されているか、またどの程度の規模まで対応でき、将来的なネットワーク拡張をサポートできるかといったあたりも判断基準の1つになるだろう。

　ワームの蔓えん、個人情報の漏えいといったセキュリティ被害が相次ぐ中、企業として早急な対策が求められていることは間違いない状況だ。

　今後は、NAPとNACを中心にして標準化が進むことが期待できる。このあたりに注目しつつ、自社のニーズやポリシー、既存のシステムに最も合致するのはどれか、さまざまな方式を検討していくといいだろう。また、検討の末、検疫ネットワークを導入することを決めたのならば、できれば早急に導入を進めるべきだろう。