「そんな物を口に入れてはいけません。それがどこにあったかもわからないというのに」。床に落ちたキャンディを子供が拾うのを毎回阻止するのは不可能だ。だが,キャンディが子供の口に入る前に,手を伸ばしてそれを奪い取ることはできる。あなたが子供のためを思ってどれだけ努力しようと,子供というのは不快なものを飲み込んで,体調を崩すものだ。そしてあなたは,彼らの気分が良くなるまで,子供をベッドに寝かしつけて,薬を与える。

 こうした不潔な食べ物の危険性に気づいていない無邪気な子供のように,コンピュータ・ユーザーは,自分のラップトップや携帯用デバイスをオフィスから持ち出して,安全でないネットワーク上で使用した後,それらをあなたのネットワークに接続するのだ。こうした状況を考えただけで,あなたは思わず叫びたくなるはずだ。「それを私のネットワークにつないではいけません。それがどこにあったかもわからないというのに」。

 筆者はこの例え話を,先日のMicrosoftの「Network Access Protection (NAP)」技術に関する説明会の最中に思いついた。同技術は,Windows Server 2008(以前はLonghornというコードネームだった)とWindows Vistaに搭載されている。

 マシンが自分のネットワークにアクセスしても安全だと判断するポリシーがあれば,あなたはNAPを使うことによって,それらのポリシーを実施して,要件を満たさないマシンを除去する手段を得られる。例えば,マシンが適切なレベルのセキュリティ・パッチや最新のウイルス定義を持っていない場合,NAPはネットワーク・リソースにアクセスする前にそのマシンを捕まえて,プログラムに修正が施されるまでそのマシンを隔離できる。隔離されたマシンは,ポリシーの要件を満たすように修正された後で,ネットワークに復帰することが可能だ。

大学などですでに適用が始まっている


 「教育や金融サービス,専門的サービスといった分野では,アーリー・アダプタがすでにNAPを使っている」とMicrosoftのMike Schutz氏は筆者に語った。「例えば教育分野,とりわけ多数の学生が自分たちのラップトップを持ってキャンパスに戻ってくる教育機関において,管理者はこれらのラップトップが学内のネットワークを汚染しないようにポリシーを設定できる機能を望んでいる」とMike氏は話す。

 初期ベータ・カスタマの一つであるルイジアナ州立大学(LSU)では,キャンパスの一部にNAPを展開しており,現在DHCPを使ってNAPを実施している。Microsoftの社内においても,本社キャンパスのRedmond,ラテン・アメリカの一部,EMEA(ヨーロッパと中東,アフリカ)の一部で,NAPが適用されたクライアントが7万5000台以上ある。それらはすべて,Redmondで一元管理されているのだ。

主要NACと相互運用性を実現


 教育機関は,NAPのアーリー・アダプタとして理想的である。そして,NAPの相互運用性に関してMicrosoftが先日行った発表も,Windows以外のシステムをたくさん利用していることの多い大学にとって,非常に関連性の深いもののようだ。

 もちろん,MicrosoftのNAPソリューションは,この分野における唯一の選択肢ではない。MicrosoftのDistinguished Engineer(訳注:Microsoftにおける技術者の最高位)であり,Windows Networkingの「Core Networking and Collaboration」グループのゼネラル・マネージャであるHenry Sanders氏は,次のように説明する。

 「現在,主要なNAC(Network Admission Control)アーキテクチャは三つある。MicrosoftのNAP,Trusted Computing GroupのTrusted Network Connect (TNC),そしてCiscoのNetwork Admission Control (C-NAC)だ。MicrosoftはすでにCiscoのNACソリューションとの相互運用性に関する取り決めを発表した。そして,先に開催されたInteropトレード・ショーでは,NAPとTrusted Computing GroupのTNCの間にも相互運用性が実現したことを発表した。TNCとの合意によって,Windows Vistaに搭載されているNAPのStatement of Health (SoH,健康状態)プロトコルが,TNC内のクライアントとサーバー間の標準通信プロトコルになった。私たちは非常に興奮している。なぜなら,この発表によって,MicrosoftのNAPは,TNCとCiscoのNACという残りの二つの主要なNACアーキテクチャー・ソリューションと,相互運用性を実現したからだ」。

 Sanders氏は,次のように続ける。「これで組織は,使用しているNACインフラストラクチャの種類に関係なく,SoHプロトコルで統一できるようになる。SoHクライアントは,現在Windows Vistaで利用可能で,Windows XPの次のサービス・パックでも利用できるようになる予定だ。さらに,NAPパートナを通して,Microsoft以外のOSでも利用可能になる。私たちのNAPパートナの一つであるAvenda Systemsは,LinuxのOS向けにNAPクライアントをリリースする予定だ。こうした幅広い相互運用性により,組織は既存の資産を無駄にすることなく,既存のインフラストラクチャ内にNAPを展開できる。

ポリシーは人とプロセスに関するもの


 ネットワークをセキュアな状態に保つには,リソースにアクセスする人物の素性だけでなく,彼らのマシンの健康状態も知っておく必要がある。ユーザーが自らのデバイスをどこで使ったかに関係なく,NAPはあなたのネットワークを安全な状態に保てるように設計されている。

 それでも,あなたは適切なポリシー要件の作成という,自分の役目を果たさなければならない。このことについて,Mike氏は次のように説明する。「マシンの健康という言葉が,自分にとって何を意味するのか,あなたは知っておく必要がある。健康の定義は組織によって異なるので,あなたはセキュリティ・ポリシーをはっきりと定義しなければならない。そのポリシーは,技術に関する声明ではなく,人とプロセスに関するものだ。ポリシーを定義したら,それを実施する方法について考えなければならない。その段階になって,ようやくNAPの出番が来るのだ」。