"Longhorn" で検疫ネットワークを構築するには:Windows Server "Longhorn" 徹底研究(1/2 ページ)
Windows Server "Longhorn" には、管理性を向上させることを目的とした新しいセキュリティ関連機能が搭載されている。その中でも、特筆すべきものが「ネットワーク アクセス プロテクション(NAP)」と呼ばれる機能だ。これは、いわゆる「検疫ネットワーク」の仕組みをOSベースで実現するものだ。
このコンテンツは、オンライン・ムック「Windows Server "Longhorn" 徹底研究」のコンテンツです。関連する記事はこちらでご覧になれます。
検疫ネットワークの構築をWindows Serverがサポート
インターネットに容易に接続できるアクセススポットの整備が進み、ノートPCを持ち運んで利用する環境が整備されつつある。また、デスクトップの代替としてノートPCを社員に配布する企業も増えてきた。いつでも、どこからでもネットワークに接続できる環境は、PCで仕事をするユーザーにとって、とても便利なことである。
しかし、外部で利用されているノートPCがネットワークに接続されることは、企業にとってセキュリティ上のリスクは大きく高まる企業ネットワークは通常、外部からの脅威に備え、ファイアウォールやIDS/IPSなどの導入しているが、内部ネットワークに管理されていないノートPCが自由に接続されてしまっては、せっかくの対策も無意味なものになってしまうのだ。
そうした事態に対応のために登場したソリューションが「検疫ネットワーク」である。これは、ネットワークに接続するすべての端末を監視し、ノートPCが内部ネットワークに接続されたときに、接続が許可されているか、認証された利用者かをあらかじめ設定したポリシーに従って検査する隔離されたネットワークのことだ。
検疫ネットワークには、いくつかの方式が存在するが、おおむね次のような働きをする。外部から持ち込んだノートPCを接続すると、まず隔離された検査用ネットワークに接続される。そこで接続が許可された安全なPCかどうか確認される。検査用ネットワークは、実際に業務で運用されている内部ネットワークとは切り離されており、通常業務で利用するデスクトップもブートするごとに検査用ネットワークに接続される。
Windows Server "Longhorn" では、この検疫ネットワークの仕組みがサポートされた。それを実現するのが、「ネットワーク アクセス プロテクション(NAP)」という機能だ。
検疫ネットワークのコンポーネントを提供
NAPでは、IPsec、IEEE 802.1x認証ネットワーク接続、DHCP、VPNなどのテクノロジーに対し、ポリシーに合致しないPCのアクセスを制限する機能が提供される。検疫ネットワークの中には、クライアント側に機能を持たせず、例えばIEEE 802.1x認証スイッチによって判別したり、DHCPサーバが配布するIPアドレスによってネットワークを切り替たりするだけの仕組みもあるが、NAPは基本的に、ネットワークに接続されたクライアントのポリシー設定を判定する仕組みになっている。したがって、クライアントもNAPに対応する必要があり、LonghornのNAPは、Windows VistaおよびWindows XP SP2以降向けに提供される予定だ。
NAPは、設定によって3つの働きをする。第一が、「正常性ポリシー検証」という働きだ。これは、ネットワークに接続されたPCが、NAPに準拠しているか、あらかじめ設定されているポリシーに適合するかどうかを検証する。検証結果によって、不適合のPCの接続を許可しないこともできるし、ポリシーに不適合であっても認証されたPCの接続を認めるなど、動作を選択できる。もちろん、検証内容は監査ログに記録され、例外を定義するためのツールも用意されている。
2つ目の働きは「正常性ポリシー準拠」。これは、Microsoft System Center Configuration Managerなどの管理ソフトウェアを利用し、ポリシーに準拠しないPCを自動的に更新するもの。NAPでは監視のみを行い、他のソフトウェアを利用して準拠しないPCを更新させることもできる。こうした検疫ネットワークの環境では、ポリシーに準拠するようにPCの構成が更新し終えるまで内部ネットワークに接続できない。
3つ目が「制限付きアクセス」。これは、ポリシーに準拠しないPCをアクセス制限するという文字通りの働きだ。管理者は、ポリシーに準拠しないPCをどのように扱うか、詳細に設定することができる。例えば、一定時間アクセスを制限したり、制限付きネットワークに限ってアクセスを認めたり、特定のリソースに対してのみアクセスを限定したり、内部ネットワークには完全にアクセスできないようにしたり、自由に設定することが可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 爆売れだった「ノートPC」が早くも旧世代の現実
ITmediaはアイティメディア株式会社の登録商標です。