NAC（Network Admission Control）は、シスコシステムズが提唱する業界アライアンスのプログラムであり、広範なセキュリティシステムをネットワークに融合するためのプラットフォームとなる。その一つとして進められているのが、ウイルス対策ソフトベンダーとのアライアンスによる、検疫ネットワークだ。

　その背景には、BlasterワームやWORM_SASSER（サッサー）など、ネットワークウイルスの大きな脅威がある。ウイルスに感染したPCを社外から持ち込み、社内ネットワークに接続すると、たちまちネットワーク上に感染が拡大していく。これを水際で食い止めるには、接続しようとするPCのチェックが不可欠となる。ここで重要となるのが認証である。

　接続しようとする端末にインストールされているアンチウイルスソフトのパターンファイルのバージョンやOSパッチ情報を確認し、ルーターやスイッチレベルでアクセスを制御する。企業のセキュリティポリシーにコンプライアント（準拠）していればネットワークアクセスを許可するが、非コンプライアント端末では拒否または検疫、あるいはアクセスの権利が大幅に制限される。これにより、アクセスしようとするPCからのウイルスやワームの侵入と感染拡大を阻止できるようになる。

図2　ネットワークアクセスのプロセス 　1：NAD（ネットワークアクセスデバイス）するために 　　 端末がEAP認証でクレデンシャル（状態情報）を送信 　2：アクセスデバイスがクレデンシャルをRADIUS認証でポリシーサーバ（ACSサーバ）へ転送 　3：ACSサーバがアンチウイルス情報をアンチウイルスベンダーのポリシーサーバへ照会 　4：ポリシーサーバが照会結果を応答 　5：照会結果に基づきポリシーサーバがNADへ適切なアクセス情報を応答 　6.7：NADがアクセスを制御、ポリシーの適用＆クライアントへ通知（許可・隔離・検疫・拒否）

　「ここで誤解していただきたくないのは、NACは検疫ネットワークのみのソリューションではないということです。NACはプラットフォームであり、検疫ネットワークはそのプラットフォーム上で可能となるソリューションの一つです。業界を横断したアライアンスのプログラムであり、極めて幅広い可能性を持っています」と久保氏は語る。

　NACでは、例えば企業が設定しているセキュリティポリシーに適合しているかという、コンプライアンスマネジメントも可能となる。また、NACのさらなる可能性として、運用や資産管理ベンダーとのアライアンスも考えられる。接続前に端末の構成をチェックし、セキュリティポリシーで許可されていないアプリケーションをインストールしているPCの接続を制限することも可能となる。現在、NACに参加しているベンダーは20社に及び、製品数は15となっている。この数は今後も増加し、NACの可能性はいっそう拡大していくことだろう。

　企業ネットワークは極めて重要なビジネスインフラとなっており、わずかな停止でも企業収益に与える影響は大きい。このため、シスコシステムズでは創業以来、さまざまな可用性対策を講じてきた。時代の変化に伴って、現在では、ウイルス対策や情報漏えい対策なども不可欠な要素となっている。こうしたニーズに対して、同社が提唱する考え方が自己防衛型ネットワークSDNであり、情報漏えい防止対策として、バーチャルファイアウォール、CSA、認証（NAC）がある。ネットワークインフラを担う企業として、シスコシステムズは全方位なネットワークのセキュリティソリューションを今後も提供していく。