まもなく開発が完了する予定の「Windows Server 2008」の新機能で,クライアントのセキュリティ水準を精査し社内ネットワークへの接続を制御できる「NAP(ネットワーク・アクセス保護)」。2月1日まで開催している「ITpro EXPO」展示会場内の「Windows Server 2008パビリオン」では,複数のネットワーク機器ベンダーがNAP対応のLANスイッチによるデモンストレーションを実施している。
Windows Server 2008のNAPは,クライアント・パソコンやサーバーのセキュリティ状態をチェックし,一定の水準に達していないクライアントを社内ネットワークに参加させなくする機能である。たとえば,最新のセキュリティ修正プログラムが適用されているか,パーソナル・ファイアウオールが有効になっているか,ウイルス対策ソフトがインストールされているか,ウイルス定義ファイルが更新されているか,などをチェックする。セキュリティ水準の低いパソコンには,写真1のような警告画面が表示される。
NAPに対応するクライアントは,Windows Vista,Windows XP SP3,Windows Server 2008で,これらのOSにクライアント・モジュールは不要である。NAPのような「ネットワーク検疫システム」はこれまで,クライアント・モジュールが必要であり,導入費用も高額になりがちだった。最低限の機能だけ利用するのであれば,Windows Server 2008だけで導入が可能なNAPは,ネットワーク検疫システムの低価格化を進めるソリューションとして期待されている。
主流はIEEE 802.1X認証を使ったVLAN方式
NAPを使ったネットワーク接続制限には,いくつかの手法がある。Windows Server 2008をDHCPサーバーにして,NAPによる検疫をクリアしなかったパソコンにはIPアドレスを割り当てないという手法が最も低コストであり,サーバー・ライセンスだけでNAPを実装できる。ただし,固定IPアドレスを使うことで,NAPを回避できてしまうという弱点がある。
ほかにも,NAPとIPsecを併用して,検疫をクリアしなければ暗号化ネットワークに参加させない手法もあるが,暗号化によるオーバーヘッドを覚悟しなければならない。このような背景から,Windows Server 2008パビリオンで主流だったのは,LANスイッチが備えるVLAN(バーチャルLAN)機能を使う手法である。VLANでの認証には,IEEE 802.1X規格を使用する。
VLANとIEEE 802.1X認証を使う手法の利点は,検疫をクリアしたクライアントだけを社内ネットワークに接続させる一方で,検疫をクリアできなかった“危険なクライアント”を,「制限付きネットワーク」に隔離できる点である。制限付きネットワークに隔離されたクライアントは,セキュリティ修正パッチやウイルス定義ファイルの配布サーバーにだけアクセスできるようにする。セキュリティ上の欠陥を修正したら,社内ネットワークへの参加を許可する運用形態になる。
CTCは自社で検証した設定手順書を配布
VLANとIEEE 802.1X認証を使う手法には,これらの機能を搭載し,かつNAPに対応しているLANスイッチが必要。Windows Server 2008パビリオンでは,NEC(IP8800/S3600など)やアラクサラネットワークス(AXシリーズ),アルバネットワークスなどが,NAPに対応したLANスイッチを展示している。また伊藤忠テクノソリューションズ(CTC)は,VLANとIEEE 802.1X認証方式を使うためのNAP設定手順書を,会場で配布している(写真2)。
このほかエンテラシス・ネットワークスは,隔離にVLANを使うのではなく,クライアントが接続できるサーバーのIPアドレスを限定する「Filter-ID方式」を使用するLANスイッチを展示している。この方式だと,セキュリティ修正パッチなどを配布するサーバーを,制限付きネットワークに配置する必要がなくなるため,ネットワーク管理が容易になるという。
また,京セラコミュニケーションシステムは,Windows Server 2008のNAPと連携できる自社製の検疫アプライアンス「Lockdown Enforcer」を出展している。NAPに対応するWindows Vista/XP/Server 2003の検疫はWindows Server 2008で行い,NAPに対応しないWindows 2000やMacintosh,Linux,PDAなどの検疫はLockdown Enforcerが受け持つというソリューションだ。全マシンをLockdown Enforcerで検疫するよりも,NAPを使う方が全体のコストを削減できるとアピールしている。
