NAP の必要性

 ネットワークの保護は、大部分の組織にとって今日最も難しい課題である。これが難しいのは、多種多様なユーザーがネットワークにアクセスする必要があるためだ。たとえば、デスクトップコンピュータで仕事をするフルタイムの従業員、ノートPC を使って社内イントラネットにVPN 接続する必要がある移動中の営業マン、デスクトップコンピュータを使って在宅勤務をするテレワーカー、社内に来てLAN または無線アクセスポイントにノートPCを接続する必要がある社外コンサルタントやその他の「ゲスト」、エクストラネット経由でアクセスするビジネスパートナーなど、実にさまざまなユーザーが存在する。これらのコンピュータの多くは、ドメインに参加する必要がある。しかしその必要がなく、したがってユーザーのログオン時に適用されるグループポリシーも存在しないコンピュータもある。そのうえ、すべてのコンピュータで最新版のWindows が実行されているわけではない。実際のところ、Windows がまったく実行されていないコンピュータもある。

 多くのコンピュータではパーソナルファイアウォールが有効化され構成されているが、これがWindows ファイアウォールのこともあれば、サードパーティ製品のこともあり、ファイアウォールがまったくないことすらある。また、大部分のコンピュータにはウイルス対策ソフトウェアがインストールされているが、ベンダーから最新のウイルス対策署名ファイルをダウンロードしていないコンピュータもある。社内イントラネットに常時接続されているクライアントコンピュータには、最新のサービスパック、ホットフィックス、セキュリティパッチがインストールされている可能性が高いが、ドメイン参加していないゲストコンピュータには、一部のパッチが適用されていないこともある。

 以上を総合的に考えると、どうやら今日の社内イントラネットの中は、生きていくのに危険な場所のようだ。読者がネットワーク管理者で、LAN やアクセスポイントあるいはRASやVPN 接続を使用してマシンをネットワークに接続する場合、そのマシンを接続しても安全かどうか、どのようにすればわかるだろう。もし、「正常でない」マシン(最新のセキュリティ更新プログラムが適用されていない、ファイアウォールが無効になっている、またはウイルス対策署名ファイルが古いマシン)をネットワークに接続したらどうなるだろう。おそらく、ネットワークの安全性が脅かされる。これを防ぐにはどうしたらよいのか。「正常な」マシンだけがネットワークにアクセスするようにできないものだろうか。また、問題のあるマシンが接続を試みた場合はどうすればよいか。すぐさまそのユーザーを追い出すべきなのか。それとも、マシンを「検疫」し、接続が認められる状態になるまで支援することができるのか。

NAP について

 こういったことが一部だけ行えるソリューションなら、既に存在している。そのいくつかは独自開発されたものだ。たとえば、私がよく知っているある組織では、DHCP 登録システムを使用している。このシステムでは、Active Directory に格納されたユーザーアカウントとMAC アドレスをリンクさせ、ネットワークにアクセスできるマシンを制御している。このような独自開発のソリューションは、管理も保守も難しくなりがちだ。場合によっては、たとえばDHCP でスコープされたサブネットだけにアクセスできるような静的IP アドレスを構成するなどして、このような独自開発のソリューションを避けることもできる。

 一方、ベンダーはこの問題に対する独自のソリューションを用意しており、マイクロソフトにも、「ネットワークアクセス検疫制御」と呼ばれるWindows Server 2003 用のソリューションがある。このソリューションは、適切に実装されていればネットワークのセキュリティを強化できるが、制約もある。たとえばネットワークへ接続を試みるマシンに対して、ネットワークアクセス検疫制御によってクライアントの検査を実行できるが、これはリモートアクセス接続しかサポートしていない。基本的にネットワークアクセス検疫制御とは、リモートコンピュータの構成が検疫スクリプトによって検査および検証されるまで、プライベートネットワークへの通常のリモートアクセスを遅らせることである。この準拠検査を行うスクリプトを作成するのはユーザー自身である。なぜなら、このようなスクリプトの特性は、ユーザーのネットワーク環境によって決まるからである。このことがネットワークアクセス検疫制御の実装を難しくしている。

 Cisco Systems 社などの他のベンダーもこの問題に対する独自のソリューションを開発している。Cisco Systems 社のソリューションはNAC(Network Access Control :ネットワークアクセス制御)と呼ばれるもので、ネットワークリソースへのアクセスを試みるデバイスをセキュリティポリシーに準拠させるように設計されている。NAC を使用すれば、準拠した信頼できるデバイスはネットワークアクセスができ、準拠していないデバイスはアクセスを制限されるようにできる。NAC とは、業界共通のウイルス対策およびセキュリティ管理製品への準拠検査をサポートするインフラストラクチャを含むフレームワークと、その中で準拠検査、修復、強制のインフラストラクチャの構築に使用できるNAC アプライアンスと呼ばれる製品の両方を含む。

 それに対して、Windows Server 2008 のNAP は新たなソリューションで、現在、企業のIT コミュニティにおいて急速に認められつつある。NAP は、サーバー(Windows Server2008 のみ)およびクライアント(現在はWindows Vista のみ。Windows XP も近日対応予定)用のコンポーネントのセット、さらにWindows Server 2008 のリリース後に公開されるAPI のセットから成る。NAP は製品ではなく、プラットフォームである。これは、100社を超える独立系ソフトウェアベンダーおよび独立系ハードウェアベンダーによって広くサポートされており、たとえば、McAfee 社やSymantec 社などのウイルス対策ベンダー、Altiris 社やPatchLink 社などのパッチ管理企業、RSA Security 社などのセキュリティソフトウェアベンダー、Citrix 社などのセキュリティアプライアンスメーカー、Enterasys 社やF5 社などのネットワークデバイスメーカー、EDS 社やVeriSign 社などのシステムインテグレータが含まれる。これらはすべて業界の有名企業で、NAP をサポートするベンダーの数は日々増加している。誇大宣伝ではなく事実である。実際、NAP は私たちIT プロフェッショナルにとってとても重要だ。なぜなら私たちが必要としているのは、上に挙げたベンダーが提供する製品やソリューションを組み込んだ既存の社内イントラネットをサポートするプラットフォームだからだ。