ネットワーク アクセス保護 (NAP)
企業ネットワークへのリモート アクセス環境を提供することは、社員の労働生産性を高める効果がある半面、リモート デバイスに対するコントロールができなくなり、企業ネットワークのセキュリティ リスクを高めてしまう可能性があります。現在、リモート アクセスの手段として主流なのは、インターネットを介した VPN (仮想プライベート ネットワーク) 接続です。また、社内への個人 PC の不正な持ち込みも同様です。セキュリティ対策が十分でないようなホーム コンピューターが VPN 経由や不正な持ち込みによって企業ネットワークに接続された場合、ウイルスの流入や機密情報の流出の危険があります。また、長期間、企業ネットワークから離れていたモバイル デバイスが復帰した際に、ぜい弱性を抱えたまま接続される心配があります。
ネットワーク アクセス保護 (Network Access Protection: NAP) は、Windows Server 2008 から提供されているネットワーク検疫システムです。Windows の標準機能だけでも構築できるため、低コストで容易に導入することができます。Windows Server 2008 R2 の NAP の基本的な検疫機能は、Windows Server 2008 のものと同等ですが、より柔軟なポリシー設定、ログ機能の強化、Windows Server 2003 IAS からの移行など、展開、管理機能の充実が図られています。
Windows Server の標準機能で構築できる検疫システム
NAP の仕組み
NAP は、クライアントが企業ネットワークに接続しようとしたときに、必要なセキュリティ レベルを満たすかどうかシステムの正常性を評価します。システムの正常性に準拠する場合に限り、企業ネットワークへのアクセスを許可し、準拠しない場合は検疫します。NAP では、検疫されたクライアントに対して、自動修復を試みたり、修復のための限定的なネットワーク アクセスを許可したりすることができます。また、無許可で接続しようと試みるような、NAP 非対応のクライアントに対しては、完全にアクセスを拒否することができます。
NAP による評価は、接続要求時だけでなく、企業ネットワークに接続されている間、常に行われます。そのため、検疫されたクライアントは、修復されポリシーに準拠した時点で自動的にアクセスが許可されます。また、一度許可されたクライアントであっても、ユーザーが故意にセキュリティ レベルを低くしようとすれば、検疫され、アクセスが制限または禁止されます。
NAP のシステムは、次に示すコンポーネントで構成されます。
ネットワーク ポリシー サーバー
ポリシーの定義、管理と、ポリシーの評価に基づく検疫の実施を指示するサーバーです。Windows Server 2008 または Windows Server 2008 R2 を使用できます。ネットワーク ポリシー サーバーは、接続要求ポリシー、ネットワーク ポリシー、正常性ポリシーの 3 つを評価します。接続要求ポリシーは、NAP 対応の有無や認証要件を評価し、パスした場合にクライアントから受信した正常性ステートメント (SoH) に基づいて正常性ポリシーを評価、正常性ポリシーへの準拠状況に応じてアクセスを許可、拒否、制限するネットワーク ポリシーを決定します。
NAP エージェントおよび実施クライアント
NAP エージェントは、Windows 7、Windows Vista、および Windows XP SP3 に標準搭載されている NAP のクライアント コンポーネントです。クライアントの正常性を評価し、正常性ステートメント (SoH) をネットワーク ポリシー サーバーに送信します。実施クライアントは、SoH に対して決定されたネットワーク ポリシーに従って、検疫を強制します。
システム正常性検証ツール (SHV) および システム正常性エージェント (SHA)
SHA は、クライアントの現在の状況を調査し、正常性ステートメント (SoH) を生成します。ネットワーク ポリシー サーバーは、SHA に対応する SHV を使用して、SoH を検証します。Windows Server 2008 および Windows Server 2008 R2 のネットワーク ポリシー サーバーには、SHV として Windows セキュリティ正常性検証ツールが標準で組み込まれています。これに対応する SHA が、Windows 7、Windows Vista、および Windows XP SP3 に標準で組み込まれています。
アクセス デバイス (実施サーバー)
ネットワーク アクセスを許可、あるいは制限や禁止を強制するためのサーバーやネットワーク機器です。後述する NAP の実施オプションよって異なります。
修復サーバー
ポリシーに準拠しないクライアントを修復するための手段を提供するサーバーです。例えば、ウイルス対策ソフトウェアの定義ファイルやエンジンの更新を提供したり、更新プログラムを提供したりします。Windows Server Update Services (WSUS) や System Center Configuration Manager のサーバー、インターネット アクセス用のプロキシサーバーなどを使用できます。
図 1: NAP の動作イメージ
NAP の実施オプション
NAP には、次に示す実施オプションが用意されています。このうち、802.1x 実施オプションについては、802.1x 認証に対応したレイヤ 2/3 スイッチやアクセス ポイントが必要になります。その他の実施オプションについては、Windows Server 2008 および Windows Server 2008 R2 の役割や機能を利用します。
DHCP サーバー
DHCP (動的ホスト構成プロトコル) によるネットワーク パラメータの割り当てにより、検疫を実施します。検疫クライアントに対しては、サブネット マスク 255.255.255.255 が割り当てられ、デフォルト ゲートウェイが提供されません。修復サーバーへの限定的なアクセスを提供するためには、静的なルートを提供します。DHCP 実施オプションは、知識のあるユーザーならネットワークを手動で構成することで制限を回避することができます。強制力は完全ではありませんが、導入が実施オプションの中で最も容易です。
正常性登録機関を使用する IPSec
IPSec 実施オプションは、IPSec が有効なネットワークに導入することができます。IPSec 実施オプションでは、正常性登録機関 (HRA) から有効期限が短い正常性証明書が発行されます。IPSec ネットワーク上のホストは、正常性証明書を持たない NAP クライアントからのネットワーク トラフィックを無視 (破棄) するため、強制力の高い検疫実施が可能です。Windows Server 2008 R2 の新しいリモート アクセス機能である DirectAccess は IPSec をベースとしているため、この実施オプションを使用して検疫を実装できます。
802.1x ワイヤード/ワイヤレス
802.1x 実施オプションでは、802.1x 認証対応のハードウェアを用いて、ポート ベースで通信の許可、制限または禁止を実施します。ポリシーへの準拠状況に応じて、VLAN を切り替えることにより、企業ネットワークへのアクセスと修復サーバーへの限定的なアクセスを制御します。
VPN
VPN は現在最も一般的なリモート アクセス手段です。Windows Server 2008 R2 または Windows Server 2008 のルーティングとリモート アクセス サーバーを VPN サーバーとして使用している場合は、VPN 接続の条件として、NAP による正常性検査を行うことができます。VPN 実施オプションにおいても、修復サーバーに接続するための限定的なアクセスを許可することができます。
RD ゲートウェイ
Windows Server 2008 R2 のリモート デスクトップ サービスが備える RD ゲートウェイ、および Windows Server 2008 のターミナル サービスが備える TS ゲートウェイは、HTTPS でリモート デスクトップ プロトコル (RDP) をカプセル化することにより、ファイアウォール フレンドリーなリモート接続環境を提供します。クライアントがインターネットから RD ゲートウェイに接続する際に、正常性を検査し、接続を許可または拒否することができます。
図 2: NAPの実施オプション
Windows セキュリティ正常性検査ツール
NAP に標準提供される Windows セキュリティ正常性検査ツールは、Windows のセキュリティ センター (Windows 7 のアクション センター) が監視する項目を対象に、クライアントの正常性を検査することができます。具体的には、ファイアウォールの設定、ウイルス対策の有無とその状態、スパイウェアとその他のマルウェア対策の有無とその状態 (Windows XP には対応しません)、Windows 自動更新の設定と更新状況を検査することができます。Windows ファイアウォールと自動更新については、正常性ポリシーに準拠していない場合は自動的に修復させることができます。また、更新プログラムの修復サーバーとして、WSUS と Windows Update に標準で対応しています。
図 3: Windows セキュリティ正常性検証ツールの設定
ページのトップへ
Windows Server 2008 R2 の新機能
システム正常性検証ツールの複数構成
Windows Server 2008 R2 では、1 つのシステム正常性検証ツール (SHV) に、複数の設定を保存できるようになりました。この機能拡張により、実施オプションの違いなどによって、異なるポリシーを適用できるようになります。例えば、イントラネットに直接接続する社内クライアントには、ウイルス対策が有効で最新の状態であることを義務付け、VPN でリモート接続してくるクライアントには、ウイルス対策に加えて、マルウェア対策を要求するようなポリシーを作成することができます。
図 4: 1 つのシステム正常性検証ツールに複数の定義を持たせることができます
アカウンティング ログの機能強化
ログ記録機能が強化され、展開が容易になります。SQL Server データベースにログを記録する場合、設定ウィザードを使用して、接続の作成や、必要なテーブル、ストアドプロシージャーの作成を自動化できます。また、ログ ファイルへの記録と、データベースへの記録を併用することができます。
テンプレートの管理
一般的な構成をテンプレートとして定義、保存できるようになります。テンプレートを使用することにより、ポリシーの設定を簡素化できます。また、テンプレートを使用してポリシーを構成した場合、テンプレートを変更すれば、変更内容がポリシーにも継承されるので、設定漏れや設定ミスを防止できます。
Windows Server 2003 IAS からの移行
ネットワーク ポリシー サーバーは、Windows Server 2003 のインターネット認証サービス (Internet Authentication Service: IAS) の後継機能であり、RADIUS サーバー、RADIUS プロキシとして、Active Directory を使用した 802.1x 認証、VPN 認証、およびダイヤルアップ接続認証を行います。Windows Server 2008 R2 では、Windows Server 2003 の IAS の設定を、ネットワーク ポリシー サーバーに移行できるようになりました。
Windows 7 アクション センターとの統合
Windows 7 では、NAP エージェントのユーザー インターフェイスが Windows 7 のセキュリティ センターに統合されました。これにより、NAP の検疫によるアクセス制限などのメッセージが、アクション センターのメッセージとして通知されます。これは Windows Server 2008 R2 の新機能ではなく、Windows 7 の機能です。Windows Vista および Windows XP では、従来どおり、セキュリティ センターと NAP クライアントは別々のユーザー インターフェイスで機能します。
図 5: NAP クライアント機能を統合した Windows 7 のアクション センター
ページのトップへ
