ネットワーク アクセス保護 (NAP) は、Windows Server® 2008 および Windows Vista® オペレーティング システムに含まれる新しいオペレーティング システム コンポーネントです。プライベート ネットワーク上のクライアント コンピュータが、管理者が定義したシステムの正常性の要件を確実に満たすようにするためのプラットフォームを提供します。NAP ポリシーでは、クライアント コンピュータのオペレーティング システムと重要なソフトウェアに必要な構成と更新状態が定義されます。たとえば、コンピュータの要件として、最新の署名付きのウイルス対策ソフトウェアがインストールされていること、最新のオペレーティング システムの更新プログラムがインストールされていること、およびホスト ベースのファイアウォールが有効になっていることが必要な場合があります。NAP では正常性の要件への準拠を強制できるので、ネットワーク管理者は、クライアント コンピュータの不適切な構成によりウイルスやその他の悪意のあるソフトウェアにさらされた結果生じる危険をある程度軽減できます。
ネットワーク アクセス保護の機能
NAP では、クライアント コンピュータがネットワーク上で接続または通信を試行する際、コンピュータの正常性を監視し評価することによって、正常性の要件を強制します。正常性の要件に準拠していないと判断されたクライアント コンピュータは、制限付きネットワークに配置できます。制限付きネットワークには、クライアント システムを正常性ポリシーに準拠した状態まで修復するのに役立つリソースが含まれています。
この機能の対象ユーザー
NAP は、ネットワーク管理者およびシステム管理者が、サポートするネットワークに接続しているクライアント コンピュータにシステム正常性の要件を強制する必要がある場合に役立ちます。NAP によって、ネットワーク管理者は以下を実行できます。
-
ローカル エリア ネットワーク (LAN) 上にあるデスクトップ コンピュータの正常性を確保する。対象となるのは、DHCP で構成されているデスクトップ コンピュータ、802.1X 認証デバイス経由で接続しているデスクトップ コンピュータ、または NAP インターネット プロトコル セキュリティ (IPsec) ポリシーを通信に適用しているデスクトップ コンピュータです。
-
移動先でラップトップ コンピュータから企業のネットワークへ再接続する際に、正常性の要件を強制する。
-
管理されていないホーム コンピュータの正常性とポリシー準拠を確認する。管理されていないホーム コンピュータとは、ルーティングとリモート アクセスを実行している仮想プライベート ネットワーク (VPN) サーバー経由で企業のネットワークに接続するホーム コンピュータです。
-
訪問者やパートナーが組織に持ち込むラップトップ コンピュータの正常性を判断し、アクセスを制限する。
必要に応じて、管理者はこれらのシナリオの一部またはすべてに対応するソリューションを構成できます。
NAP には、開発者やベンダがネットワーク ポリシーの検証、継続的な準拠、およびネットワークの分離のため独自のコンポーネントを作成するときに使用できるアプリケーション プログラミング インターフェイス (API) セットも含まれています。
特別な考慮事項
NAP 展開には、Windows Server 2008 を実行するサーバーが必要です。また、Windows Vista、Windows Server 2008、または Windows XP Service Pack 3 (SP3) を実行するクライアント コンピュータが必要です。NAP の正常性判断分析を実行する中央サーバーは、Windows Server 2008 およびネットワーク ポリシー サーバー (NPS) を実行するコンピュータです。NPS は、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーおよびプロキシの Windows での実装です。NPS は、Windows Server 2003 オペレーティング システムのインターネット認証サービス (IAS) に代わるものであり、アクセス デバイスと NAP サーバーは、NPS ベースの RADIUS サーバーに対し RADIUS クライアントとして動作します。NPS は、ネットワークへの接続を試行する際に認証と承認を行い、構成されたシステム正常性ポリシーに基づき、コンピュータの正常性への準拠を判断し、準拠していないコンピュータによるネットワークへのアクセスを制限する方法を判断します。
この機能が提供する新機能
NAP プラットフォームは、Windows Server 2008 および Windows Vista オペレーティング システムに含まれている、クライアント正常性の検証および強制のための新しいテクノロジです。
.gif) メモ |
|
NAP フレームワークは、Windows Server 2003 と Internet Security and Acceleration (ISA) Server 2004 で提供されているネットワーク アクセス検疫制御機能とは異なります。ネットワーク アクセス検疫制御は、リモート アクセス (ダイヤルアップおよび VPN) 接続の新しい保護機能です。Windows Server 2003 のネットワーク アクセス検疫制御の詳細については、Windows Server 2003 のネットワーク アクセス検疫制御に関するページ (http://go.microsoft.com/fwlink/?LinkId=56447) (英語の可能性あり) を参照してください。ISA Server 2004 の同機能の詳細については、VPN 移動クライアントと ISA Server 2004 Enterprise Edition の検疫制御に関するページ (http://go.microsoft.com/fwlink/?LinkId=56449) (英語の可能性あり) を参照してください。 |
この機能が重要な理由
今日、クライアント デバイスがウイルスやワームなどの悪意のあるソフトウェアにさらされる機会が増えており、業務上の最大の課題の 1 つとなっています。こういったプログラムは、保護されていないホスト システムや正しく構成されていないホスト システムに侵入し、侵入したシステムを拠点として企業のネットワークのその他のデバイスに広まる可能性があります。ネットワーク管理者は、NAP プラットフォームを使用し、クライアント システムにおける適切なシステム構成とソフトウェア更新を維持することで、ネットワークを保護し、悪意のあるソフトウェアからシステムを守ることができます。
NAP の主要な処理
ポリシーの検証、NAP 強制およびネットワーク制限、修復、継続的な監視による準拠状態の確保といった機能を NAP で適切に実行するには、いくつかの主要な処理が必要となります。
ポリシーの検証
システム正常性検証ツール (SHV) は、NPS でクライアント コンピュータの正常性状態を分析するために使用されます。SHV はネットワーク ポリシーに組み込まれています。ネットワーク ポリシーでは、クライアントの正常性状態に基づき、ネットワーク アクセスをすべて許可するか制限するかなど、実行するアクションが決定されます。正常性状態は、システム正常性エージェント (SHA) というクライアント側 NAP コンポーネントによって監視されます。NAP は SHA および SHV を使用して、クライアント コンピュータの構成を監視、強制、および修復します。
Windows セキュリティ正常性エージェント (WSHA) と Windows セキュリティ正常性検証ツール (WSHV) は、Windows Server 2008 および Windows Vista オペレーティング システムに含まれ、NAP 対応コンピュータに対し以下の設定を強制します。
-
クライアント コンピュータでのファイアウォール ソフトウェアのインストールおよび有効化
-
クライアント コンピュータでのウイルス対策ソフトウェアのインストールおよび実行
-
クライアント コンピュータでの最新のウイルス対策更新プログラムのインストール
-
クライアント コンピュータでのスパイウェア対策ソフトウェアのインストールおよび実行
-
クライアント コンピュータでの最新のスパイウェア対策更新プログラムのインストール
-
クライアント コンピュータでの Microsoft® Update サービスの有効化
また、NAP 対応クライアント コンピュータが Windows Update エージェントを実行していて、Windows Server Update Service (WSUS) サーバーに登録されている場合、NAP では Microsoft のセキュリティ応答センター (MSRC) の 4 種類のセキュリティの重要度の値のいずれかを基に、最新のソフトウェア セキュリティ更新プログラムがインストールされているかどうかを確認できます。
NAP による強制およびネットワークの制限
NAP の構成では、準拠していないクライアント コンピュータに対し、ネットワークへのアクセスを拒否したり、制限付きネットワークのみへのアクセスを許可することができます。制限付きネットワークには、準拠していない NAP クライアントが構成を更新して正常性の要件に準拠できるように、正常性登録機関 (HRA) サーバーや修復サーバーなどの主要な NAP サービスが含まれている必要があります。
NAP 強制設定では、準拠していないクライアントのネットワーク アクセスを制限することができ、単に NAP 対応クライアント コンピュータの正常性状態の観察と記録のみを行うこともできます。
次の設定を使用して、アクセスを制限するか、アクセスの制限を遅らせるか、アクセスを許可するかを選択できます。
-
[完全なネットワーク アクセスを許可する]。これは、既定の設定です。ポリシーの条件に一致するクライアントは、ネットワークの正常性の要件に準拠していると見なされ、接続要求が認証および承認されると、ネットワークへの無制限のアクセス権が付与されます。NAP 対応のクライアント コンピュータの正常性の準拠状態はログに記録されます。
-
[時間を限定して完全なネットワーク アクセスを許可する]。ポリシーの条件に一致するクライアントには、無制限のアクセス権が一時的に付与されます。NAP 強制の適用は、指定された日付と時間まで延期されます。
-
[制限付きアクセスを許可する]。ポリシーの条件に一致するクライアント コンピュータは、ネットワークの正常性の要件に準拠していないと見なされ、制限付きネットワークに配置されます。
修復
制限付きネットワークに配置された、準拠していないクライアント コンピュータに対して、修復を行うこともできます。修復とは、クライアント コンピュータを更新し、現行の正常性の要件を満たすようにする処理です。たとえば、制限付きネットワークにファイル転送プロトコル (FTP) サーバーを配置し、現行のウイルス対策ソフトウェアの署名を提供して、準拠していないクライアントコンピュータが期限切れの署名を更新できるようにします。
NPS ネットワーク ポリシーの NAP 設定を使用して自動修復を構成し、クライアント コンピュータがネットワークの正常性の要件に準拠していない場合に NAP クライアント コンポーネントが自動的にクライアント コンピュータの更新を試行するようにできます。次のネットワーク ポリシー設定を使って、自動修復を構成できます。
-
[自動修復]。[クライアント コンピュータの自動修復を有効にする] が選択されている場合、自動修復が有効になり、正常性の要件に準拠していない NAP 対応コンピュータは自動的に自己更新を試行します。
継続的な監視による確実な準拠
NAP では、既にネットワークに接続された準拠しているクライアント コンピュータに対しても正常性の準拠を強制できます。この機能は、正常性ポリシーが変更されたり、クライアント コンピュータの正常性が変化したりした場合でも、継続的にネットワークが保護されるため、便利です。たとえば、正常性ポリシーで Windows ファイアウォールが有効になっていることを要件としているにもかかわらず、ユーザーが誤って Windows ファイアウォールを無効にしてしまった場合、クライアント コンピュータが準拠していない状態になったことを NAP で判断することができます。その場合、Windows ファイアウォールが再び有効になるまで、NAP はクライアント コンピュータを制限付きネットワークに配置します。
自動修復が有効の場合、ユーザーの操作に関係なく、NAP クライアント コンポーネントによって、自動的に Windows ファイアウォールを有効にすることができます。
NAP 強制方法
NAP ではクライアント コンピュータの正常性状態に基づいて、ネットワーク アクセスをすべて許可したり、制限付きネットワークにアクセスを制限したり、ネットワークへのアクセスを拒否したりできます。正常性ポリシーに準拠していないと判断されたクライアント コンピュータは、自動更新を行って、ポリシーの要件を満たすようにすることができます。NAP が強制される方法は、選択する強制方法によって異なります。NAP は以下について正常性ポリシーを強制します。
-
IPsec で保護されたトラフィック
-
802.1X のポート ベースのワイヤードおよびワイヤレス ネットワーク アクセス コントロール
-
ルーティングとリモート アクセスのある仮想プライベート ネットワーク (VPN)
-
動的ホスト構成プロトコル (DHCP) IPv4 のアドレス リースおよび更新
-
ターミナル サービス ゲートウェイ (TS ゲートウェイ) サーバーへの接続
次のセクションで、これらの強制方法について説明します。
IPsec 通信の NAP 強制
IPsec で保護されたトラフィックへの NAP 強制は、正常性証明書サーバー、HRA サーバー、NPS サーバー、および IPsec 強制クライアントという形で展開されます。正常性証明書サーバーは、NAP クライアントがネットワーク正常性要件に準拠していると判断されると、NAP クライアントに対して X.509 証明書を発行します。NAP クライアントがイントラネット上の他の NAP クライアントと IPsec で保護された通信を開始する際、この X.509 証明書が NAP クライアントの認証に使用されます。
IPsec 強制は、準拠しているクライアントに対する通信のみにネットワーク上の通信を限定し、最高レベルの NAP 強制を行います。この強制方法では IPsec を使用するため、IP アドレスまたは TCP/UDP ポート番号ごとに、保護された通信の要件を定義することができます。
802.1X の NAP 強制
802.1X ポート ベース ネットワーク アクセス コントロールに対する NAP 強制は、NPS サーバーと EAPHost 強制クライアント コンポーネントという形で展開されます。802.1X ポート ベースの強制を使用すると、NPS サーバーは 802.1X 認証スイッチまたは 802.1X 準拠のワイヤレス アクセス ポイントに対し、非準拠の 802.1X クライアントを制限付きネットワークに置くように指示します。NPS サーバーは、接続に IP フィルタや仮想 LAN 識別子を適用するようアクセス ポイントに指示して、クライアントからの制限付きネットワークへのアクセスを制限します。802.1X 強制により、802.1X 対応のネットワーク アクセス デバイスを介してネットワークにアクセスするすべてのコンピュータに対して強力なネットワーク制限を実現できます。
VPN の NAP 強制
VPN の NAP 強制は、VPN 強制サーバー コンポーネントと VPN 強制クライアント コンポーネントという形で展開されます。VPN の NAP 強制を使用すると、クライアント コンピュータがリモート アクセス VPN 接続を使用してネットワークに接続する際、VPN サーバーによって正常性ポリシーを強制できます。VPN の強制によって、リモート アクセス VPN 接続を介してネットワークにアクセスするすべてのコンピュータに、強力なネットワーク アクセス制限を適用できます。
DHCP の NAP 強制
DHCP 強制は、DHCP NAP 強制サーバー コンポーネント、DHCP 強制クライアント コンポーネント、および NPS という形で展開されます。DHCP 強制を使用すると、コンピュータが IP Version 4 (IPv4) アドレスのリースまたは更新を要求する際、DHCP サーバーおよび NPS によって正常性ポリシーを強制できます。NPS サーバーは、制限された IP アドレス構成を割り当てるよう DHCP サーバーに指示して、クライアントからの制限付きネットワークへのアクセスを制限します。ただし、クライアント コンピュータが静的 IP アドレスで構成されている場合、または制限された IP アドレス構成を回避するように構成されている場合は、DHCP 強制の効果はありません。
TS ゲートウェイの NAP 強制
TS ゲートウェイの NAP 強制は、TS ゲートウェイ強制サーバー コンポーネントと TS ゲートウェイ強制クライアント コンポーネントという形で展開されます。TS ゲートウェイの NAP 強制を使用すると、TS ゲートウェイ サーバーを介して社内リソースに接続しようとするクライアント コンピュータに対し、TS ゲートウェイ サーバーにより正常性ポリシーを強制できます。TS ゲートウェイ強制によって、TS ゲートウェイ サーバーを介してネットワークにアクセスするすべてのコンピュータに、強力なネットワーク アクセス制限を適用できます。
アプローチの組み合わせ
NAP 強制方法には、それぞれ個別の利点があります。強制方法を組み合わせることにより、これらのさまざまな方法の利点を 1 つにまとめることができます。ただし、複数の NAP 強制方法を展開すると、NAP の実装はより複雑になり、管理は難しくなります。
NAP フレームワークでは、Microsoft 以外の企業が NAP プラットフォームにソフトウェアを統合できる API 群も用意されています。NAP API を使用すると、ソフトウェア開発者やベンダは、正常性の検証や準拠していないクライアントの修復を行うエンド ツー エンドのソリューションを提供できます。
この機能の展開準備方法
NAP を展開するために必要な準備は選択する強制方法によって異なり、また、クライアント コンピュータがネットワークに接続したり、ネットワーク上で通信したりする場合に強制する正常性の要件によっても異なります。
ネットワーク管理者かシステム管理者であれば、NAP を Windows セキュリティ正常性エージェントおよび Windows セキュリティ正常性検証ツールと共に展開できます。また、他のソフトウェア ベンダの製品向けに SHA と SHV が提供されているかどうかをベンダに問い合わせてみることもできます。たとえば、ウイルス対策ソフトウェア ベンダは、カスタムの SHA と SHV を含む NAP ソリューションを作成することが必要になった場合、API セットを使用してこれらのコンポーネントを作成でき、作成したコンポーネントを、ベンダの顧客が展開する NAP ソリューションに統合できます。
SHA および SHV のほか、NAP プラットフォームでは複数のクライアント側およびサーバー側コンポーネントを使用して、クライアント コンピュータがネットワーク上で接続または通信を行う際にクライアント コンピュータの正常性状態を検出および監視します。次の図に、NAP を展開するために使用する一般的なコンポーネントをいくつか示します。
.gif)
NAP クライアント コンポーネント
NAP 対応のクライアントとは、NAP コンポーネントがインストールされ、正常性ステートメント (SoH) を NPS に送信してその正常性の状態を確認できるコンピュータのことです。次は、一般的な NAP クライアント コンポーネントです。
システム正常性エージェント (SHA)。クライアント コンピュータの正常性状態を監視および報告します。これにより NPS では、SHA が監視した設定が最新の状態で、正しく構成されているかどうかを判断できます。たとえば、Windows システム正常性エージェント (WSHA) は、Windows ファイアウォールを監視して、ウイルス対策ソフトウェアとスパイウェア対策ソフトウェアがインストールされ、有効になっており、最新の状態であるかどうか、Microsoft Update サービスが有効になっているかどうか、最新のセキュリティ更新プログラムがコンピュータにインストールされているかどうかを確認できます。また、他の企業が提供する SHA を入手して、追加機能を利用できる場合もあります。
NAP エージェント。正常性に関する情報を収集し、管理します。また、NAP エージェントは、SHA からの SoH を処理し、クライアントの正常性をインストールされている強制クライアントに報告します。NAP クライアントの全体的な正常性状態を示すために、NAP エージェントではシステム SoH を使用します。
NAP 強制クライアント (NAP EC)。NAP を使用するには、少なくとも 1 つの NAP 強制クライアントがクライアント コンピュータにインストールされ、有効化されている必要があります。各 NAP 強制クライアントは、前述したように、それぞれの強制方法に特化したものです。NAP 強制クライアントは、IPsec、802.1X のポート ベースのワイヤードおよびワイヤレス ネットワーク アクセス コントロール、ルーティングとリモート アクセスを装備した VPN、DHCP、TS ゲートウェイなど、さまざまなネットワーク アクセス テクノロジと統合され、ネットワークへのアクセスを要求したり、NPS サーバーにクライアント コンピュータの正常性の状態を伝えたり、NAP クライアント アーキテクチャの他のコンポーネントにクライアント コンピュータの制限の状態を伝えたりします。
正常性ステートメント (SoH)。SHA がその正常性の状態を示す宣言です。SoH は SHA で作成され、NAP エージェントに送られます。
NAP サーバー コンポーネント
次は、一般的な NAP サーバー コンポーネントです。
NAP 正常性ポリシー サーバー。NAP 正常性評価サーバーの役割で動作する NAP を実行するサーバーです。NAP 正常性ポリシー サーバーには、正常性ポリシーとネットワーク ポリシーがあり、これらのポリシーではクライアント コンピュータがネットワーク アクセスを要求する際の正常性の要件と強制設定が定義されます。NAP 正常性ポリシー サーバーは NPS を使用して、NAP EC によって送信されるシステム SoH を含む RADIUS アクセス要求メッセージを処理し、評価のため NAP 管理サーバーに渡します。
NAP 管理サーバー。クライアント側の NAP エージェントに似た処理機能を提供します。SoH を NAP 強制ポイントから収集し、SoH を適切なシステム正常性検証ツール (SHV) へ配布し、SoH 応答 (SoHR) を SHV から収集して、評価のため NPS サービスへ渡す役割を果たします。
システム正常性検証ツール (SHV)。SHA に対応するサーバー ソフトウェアです。クライアント上の各 SHA には、NPS 内に対応する SHV があります。SHV では、クライアント コンピュータ上の対応する SHA によって作成される SoH が検証されます。SHA と SHV は互いに対応付けられているほか、対応する正常性要件サーバー (該当する場合) とも対応付けられており、さらに修復サーバーとも対応付けられている場合があります。SHV は、受信された SoH がないことも検出できます (SHA がインストールされていないか、破損または削除されている場合など)。SoH が定義されているポリシーに一致するかどうかにかかわらず、SHV は正常性ステートメントの応答 (SoHR) メッセージを NAP 管理サーバーに送信します。1 つのネットワークには、複数の種類の SHV がある場合もあります。その場合、NPS を実行するサーバーはすべての SHV の出力結果を調整して、準拠していないコンピュータのアクセスを制限するかどうかを判断する必要があります。展開で複数の SHV を使用する場合、正常性ポリシーの構成時には SHV のやり取りを理解し、慎重に計画する必要があります。
NAP 強制サーバー (NAP ES)。使用される NAP 強制方法に対応する NAP EC に対応付けられます。NAP ES は、NAP EC から SoH の一覧を取得し、評価のため NPS に渡します。その後、応答に基づいて、NAP 対応クライアントに対するネットワーク アクセスを制限付きまたは無制限で提供します。NAP 強制の種類に応じて、NAP ES は NAP 強制ポイントのコンポーネントになります。
NAP 強制ポイント。NAP を使用して、NAP クライアントの正常性状態の評価を要求し、制限付きネットワーク アクセスまたは通信を提供するサーバーまたはネットワーク アクセス デバイスです。NAP と共に使用することもできます。正常性登録機関 (IPsec 強制)、認証スイッチまたはワイヤレス アクセス ポイント (802.1x 強制)、ルーティングとリモート アクセスを実行するサーバー (VPN 強制)、DHCP サーバー (DHCP 強制)、TS ゲートウェイ サーバー (TS ゲートウェイ強制) を、NAP 強制ポイントとすることができます。
正常性要件サーバー。SHV と通信し、システム正常性の要件を評価する際に使用される情報を提供するソフトウェア コンポーネントです。たとえば、正常性要件サーバーはウイルス対策署名サーバーとして、最新の署名ファイルのバージョンを使ってクライアントのウイルス対策 SoH を検証することができます。正常性要件サーバーは SHV に対応付けられますが、すべての SHV が正常性要件サーバーを必要とするとは限りません。たとえば、SHV は NAP 対応クライアントに対し、ローカル システム設定を確認してホスト ベースのファイアウォールを確実に有効にすることのみを指示することができます。
修復サーバー。準拠していないクライアント コンピュータを準拠させるために SHA が使用する更新プログラムをホストします。たとえば、修復サーバーでソフトウェアの更新プログラムをホストできます。正常性ポリシーにおいて、NAP クライアント コンピュータに最新のソフトウェア更新プログラムがインストールされていることが要求されている場合、これらの更新プログラムがインストールされていないクライアントへのネットワーク アクセスは NAP EC により制限されます。クライアントが正常性ポリシーに準拠するために必要な更新プログラムを取得するには、修復サーバーは制限付きネットワーク アクセスによってクライアントにアクセスできる必要があります。
正常性ステートメントの応答 (SoHR)。クライアント SoH に対する SHV の評価の結果を保存します。SoHR は、SoH と反対のパスでクライアント コンピュータの SHA に返されます。SoHR には、クライアント コンピュータが準拠していないと見なされた場合、SHA がクライアント コンピュータの構成を正常性の要件に復帰させるために使用する修復手順が保存されています。
各種の SoH にシステムの正常性状態に関する情報が含まれるのと同様、SoHR の各メッセージには、正常性の要件に準拠する方法に関する情報が含まれます。
その他の参照情報