ネットワークアクセスを制限してポリシー準拠を徹底するソリューションの展開は、ネットワークを保護する強力なツールとなります。ただ、ネットワークアクセスを意図せずブロックしてしまう心配から、展開を行っている間は不安に感じることもあるでしょう。しかし、適切な展開計画および実行により、意図しないネットワーク制限のリスクは大幅に減り、ネットワークアクセス保護(NAP)の展開プロセスをきわめて順調に進めることができます(NAPについては本連載の「第5回 ネットワークアクセス保護(NAP)」を参照してください)。
次に、NAP の計画および展開の推奨プロセスを示します。
- 実施タイプを計画する。
- 正常性ポリシーを計画する。
- NAP コンポーネントを展開する。
- NAP を報告モードで有効にする。
- NAP を遅延実施モードで有効にする。
- NAP を完全実施モードで有効にする。
NAP の展開計画の早い段階で行わなければならない重要な決定は、どのタイプのNAP 実施を使用するかということです。NAP では、ネイティブでサポートされている実施タイプが4つあります。すなわち、IPSec ポリシー、802.1x 認証、VPN リモートアクセス、DHCP によるサーバーおよびドメインの分離です。また、NAP パートナーから他のオプションが提供される場合もあります。どの実施タイプを使用するかは、多くの要因(現在ネットワークで何が使用されているか、実施の望ましい堅牢性、展開と保守のコストなど)を考慮して決定します。
NAP のネットワークの正常性ポリシーの定義は管理者に依存しています。一般に、正常性ポリシーには、ウイルス対策方法、ファイアウォール、パッチ管理、そしてネットワークの保護または管理を行う上で重要だと思われるその他の項目に関する標準が含まれます。管理者はネットワークの正常性要件を定義して、NAPインフラストラクチャでこれらの標準への準拠を検査および徹底するために必要なソフトウェアを計画します。また、正常性ポリシーを定義したら、NAP の有効化に先立って適切なソフトウェアおよびツールを展開します。
NAP コンポーネントおよびサーバーは、最初の計画の後で展開する必要があります。この展開プロセスには、必要なネットワークポリシーサーバー(NPS)、システム正常性検証ツール、およびシステム正常性エージェントのインストールおよび構成が含まれます。これは、NAP ポリシーが報告モードで動作している間に行う必要があります。このモードで動作しているときは、NAP 正常性ポリシーが整っており、ネットワークに接続しているすべてのクライアントが正常性チェックに参加することが必要です。
しかし報告モードでは、正常性ポリシーへの準拠に関係なくアクセス制限は適用されません。正常性チェックの結果はログに記録されますが、すべてのクライアントがネットワークにフルアクセスできます。このモードで管理者は、エンドユーザーを混乱させることなくNAP インフラストラクチャの動作を検証したり、正常性ポリシーの準拠レベルを確認したり、準拠率を望ましいレベルにするための措置を講じたりできます。この措置の1 つは、準拠率を上げるために非準拠クライアントの自動修復を有効にすることです。
管理者は、準拠レベルが許容レベルになったらNAP 遅延実施を有効にできます。この動作モードでは、コンピュータの正常性が検査され、非準拠クライアントは、準拠していないという通知を受け取ります。これにより、準拠率をさらに高めることができます。エンドユーザーにNAP の動作が紹介され、非準拠ユーザーには、ネットワーク制限が適用される前に、長引く問題に対処する時間が与えられます。報告モードと同様、クライアントの正常性チェックの結果はログに記録されます。そして、ネットワーク管理者によって分析され、クライアントの準拠率およびNAP インフラストラクチャの動作が検証されます。
最後のステップは、NAP を実施モードで有効にすることです。このモードでは、定義されたアクセス制限が正常性準拠検査に合格しなかったクライアントに適用され、結果として、問題のあるクライアントからネットワークが保護されます。正常性チェックの結果は、他のモードと同様、NAP インフラストラクチャの動作を監視するためにログに記録されます。非準拠マシンに自動修復を適用し、できるだけユーザーに影響が出ないようにしてそのマシンを準拠状態に戻し、ネットワークへのフルアクセスを復元できます。
