特集
» 2007年01月16日 08時00分 公開

"Longhorn" で検疫ネットワークを構築するにはWindows Server "Longhorn" 徹底研究(1/2 ページ)

Windows Server "Longhorn" には、管理性を向上させることを目的とした新しいセキュリティ関連機能が搭載されている。その中でも、特筆すべきものが「ネットワーク アクセス プロテクション(NAP)」と呼ばれる機能だ。これは、いわゆる「検疫ネットワーク」の仕組みをOSベースで実現するものだ。

[敦賀松太郎,ITmedia]

このコンテンツは、オンライン・ムック「Windows Server "Longhorn" 徹底研究」のコンテンツです。関連する記事はこちらでご覧になれます。


検疫ネットワークの構築をWindows Serverがサポート

 インターネットに容易に接続できるアクセススポットの整備が進み、ノートPCを持ち運んで利用する環境が整備されつつある。また、デスクトップの代替としてノートPCを社員に配布する企業も増えてきた。いつでも、どこからでもネットワークに接続できる環境は、PCで仕事をするユーザーにとって、とても便利なことである。

 しかし、外部で利用されているノートPCがネットワークに接続されることは、企業にとってセキュリティ上のリスクは大きく高まる企業ネットワークは通常、外部からの脅威に備え、ファイアウォールやIDS/IPSなどの導入しているが、内部ネットワークに管理されていないノートPCが自由に接続されてしまっては、せっかくの対策も無意味なものになってしまうのだ。

 そうした事態に対応のために登場したソリューションが「検疫ネットワーク」である。これは、ネットワークに接続するすべての端末を監視し、ノートPCが内部ネットワークに接続されたときに、接続が許可されているか、認証された利用者かをあらかじめ設定したポリシーに従って検査する隔離されたネットワークのことだ。

 検疫ネットワークには、いくつかの方式が存在するが、おおむね次のような働きをする。外部から持ち込んだノートPCを接続すると、まず隔離された検査用ネットワークに接続される。そこで接続が許可された安全なPCかどうか確認される。検査用ネットワークは、実際に業務で運用されている内部ネットワークとは切り離されており、通常業務で利用するデスクトップもブートするごとに検査用ネットワークに接続される。

 Windows Server "Longhorn" では、この検疫ネットワークの仕組みがサポートされた。それを実現するのが、「ネットワーク アクセス プロテクション(NAP)」という機能だ。

検疫ネットワークのコンポーネントを提供

 NAPでは、IPsec、IEEE 802.1x認証ネットワーク接続、DHCP、VPNなどのテクノロジーに対し、ポリシーに合致しないPCのアクセスを制限する機能が提供される。検疫ネットワークの中には、クライアント側に機能を持たせず、例えばIEEE 802.1x認証スイッチによって判別したり、DHCPサーバが配布するIPアドレスによってネットワークを切り替たりするだけの仕組みもあるが、NAPは基本的に、ネットワークに接続されたクライアントのポリシー設定を判定する仕組みになっている。したがって、クライアントもNAPに対応する必要があり、LonghornのNAPは、Windows VistaおよびWindows XP SP2以降向けに提供される予定だ。

 NAPは、設定によって3つの働きをする。第一が、「正常性ポリシー検証」という働きだ。これは、ネットワークに接続されたPCが、NAPに準拠しているか、あらかじめ設定されているポリシーに適合するかどうかを検証する。検証結果によって、不適合のPCの接続を許可しないこともできるし、ポリシーに不適合であっても認証されたPCの接続を認めるなど、動作を選択できる。もちろん、検証内容は監査ログに記録され、例外を定義するためのツールも用意されている。

 2つ目の働きは「正常性ポリシー準拠」。これは、Microsoft System Center Configuration Managerなどの管理ソフトウェアを利用し、ポリシーに準拠しないPCを自動的に更新するもの。NAPでは監視のみを行い、他のソフトウェアを利用して準拠しないPCを更新させることもできる。こうした検疫ネットワークの環境では、ポリシーに準拠するようにPCの構成が更新し終えるまで内部ネットワークに接続できない。

 3つ目が「制限付きアクセス」。これは、ポリシーに準拠しないPCをアクセス制限するという文字通りの働きだ。管理者は、ポリシーに準拠しないPCをどのように扱うか、詳細に設定することができる。例えば、一定時間アクセスを制限したり、制限付きネットワークに限ってアクセスを認めたり、特定のリソースに対してのみアクセスを限定したり、内部ネットワークには完全にアクセスできないようにしたり、自由に設定することが可能だ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ