• [アーティクル]

セキュリティ ウォッチネットワーク アクセス保護

John Morello

このコラムには、Windows Server "Longhorn" のプレリリース情報が含まれています。この情報は変更される可能性があります。

現在、あらゆる規模の組織が直面しているセキュリティの最大の脅威の 1 つは、ネットワーク境界の内側にある問題のあるデバイスです。どれほど企業がインターネットからの外部の脅威に対して優れた保護を確立していても、善良な従業員が意図せずに

ワームやトロイの木馬によってマルウェアの媒体となってしまうと、セキュリティが危うくなります。このことは、中小規模の組織の IT 環境に特に当てはまります。中小規模の企業では、スタッフ メンバの個人用ノートパソコンと仕事用ノートパソコンの区別がなかったり、ネットワーク アクセス制御テクノロジが高価で複雑すぎるために展開できなかったりします。ただし、ダウンタイムの影響が大きいのも、まさに中小規模の組織であることが多いため、このような脅威に対する保護は非常に重要です。

マイクロソフトのネットワーク アクセス保護 (NAP) テクノロジは、あらゆる規模の組織で、コンピュータがネットワークに参加する際に、コンピュータの状態を積極的に確認し、接続中も常に正常な状態が保たれるようにするためのテクノロジです。NAP は、従業員、ベンダ、訪問者がネットワークへの接続要件を満たしていないコンピュータを意図的または意図せずに使用してしまうことから組織を保護するための、柔軟なポリシー ベースのアーキテクチャを提供します。NAP は、ポリシーの検証、分離、修復、継続的な遵守の主要な 4 サービスから成り立っています。

NAP の概要

NAP が提供する 1 つ目の主要なサービスは、ポリシーの検証です。ポリシーの検証は、管理者が定義したルールを基準に NAP がシステムを評価し、システムの状態を分類するプロセスです。

IT 管理者は、コンピュータがネットワークへの接続を試みたときに、NAP が比較対象として使用する一連のポリシー要素を指定します。このポリシー要素を満たしているコンピュータは正常であると見なされ、(管理者によって定義された) チェックに 1 つでも合格しなかったコンピュータは問題があると見なされます。このポリシーでは、ウイルス対策ソフトウェアやスパイウェア対策ソフトウェアがインストールされているかどうか、ホスト ファイアウォールが有効であるか、コンピュータにセキュリティ更新プログラムがすべてインストールされているかなどを確認できます。また、NAP は拡張可能な構成であるため、独立系ソフトウェア ベンダは、アプリケーション固有のチェックを実施できる独自の NAP プラグインを作成できます。

NAP が提供するもう 1 つの主要サービスは、ネットワーク接続の制限です。NAP では、管理者が定義したポリシーを基に、コンピュータのネットワークへの接続状態を変更できます。たとえば、緊急のセキュリティ更新プログラムがインストールされていないために、コンピュータに問題があると見なされた場合、NAP はこのコンピュータを検疫ネットワークに隔離し、正常な状態になるまでこのコンピュータを環境内の他の部分から分離できます。NAP を導入しなければ、問題のあるクライアントが組織のネットワークに無制限にアクセスできることになります。更新プログラムを適用しておけば解決されていたセキュリティ ホールを悪用してマルウェアがこのコンピュータに侵入した場合、残りのネットワークにも感染を広げる活動を許すことになります。図 1 は、NAP の基本アーキテクチャを示します。

図 1 NAP の基本アーキテクチャ

図 1** NAP の基本アーキテクチャ **(画像を拡大するには、ここをクリックします)

ただし、単順に接続を制限するだけでは、問題のあるコンピュータを扱う効率的な方法とはいえません (やはり、ユーザーも仕事をする必要がありますから)。したがって、NAP では、問題があり検疫処理されたコンピュータが、管理者の介入なしにそれぞれの問題を修正できる修復サービスも用意しています。先ほどの例では、ネットワークを限定し、問題のあるコンピュータには必要な更新プログラムをインストールするために必要な特定のネットワーク リソース (Windows Server® Update Services (WSUS) コンピュータなど) へのアクセスのみを許可します。つまり、NAP を展開している場合、問題のあるコンピュータがアクセスできるのは、このコンピュータを正常に修復できるネットワーク リソースのみで、正常な状態になるまでは残りのネットワークにトラフィックを送信できません。

NAP の最後の主要サービスは、継続的な遵守です。これは、初回接続時だけでなく、コンピュータがネットワークに接続されている間、常に、正常性ポリシーが適用されるようにするサービスです。先ほどの例を使用して、コンピュータが自動修復されて正常状態に戻った (したがって無制限のネットワーク アクセスが許可された) 後、どのようなことが起こるかを考えてみましょう。このコンピュータが、たとえば Windows ファイアウォールが無効にされたために、ポリシーを遵守していない状態になった場合、NAP は自動的にこのコンピュータに対して再度検疫処理を行います。また、NAP では管理者が自動修復を構成して、最初のネットワーク接続が完了してから長時間経過している場合に、ユーザーが新たに介入しなくても、非遵守状態が自動的に修正されるようにできます。

NAP では、ネットワーク アクセスの制御に、複数の手法を使用できます。管理されたネットワーク スイッチを導入している組織では、802.1X を使用して、ネットワーク ハードウェア層でポート ベースのアクセス制御を提供できます。NAP はまた、物理ネットワーク層上での IPsec の関連付けにより、セキュリティが確保されたネットワークを作成し、IPsec ベースでの適用を使用できる機能も提供します。IPsec ベースの適用を使用する場合、NAP は IPsec エンジンが使用する証明書を動的に作成および削除することで、セキュリティが確保されたゾーンへのアクセスを制御します。また、NAP では DHCP ベースの適用も行うことができます。この場合、DHCP サーバーから問題のあるクライアントに、制限付きのプールの IP リースを提供します。このリースは、別の DNS サフィックスと IP ルートを使用して、制限付きのクライアントがアクセスできるリソースを制御します。

NAP サーバー コンポーネントは、Windows Server の次期バージョン (コードネーム "Longhorn") を基盤にしており、具体的にはインターネット認証サービスの後継機能として大幅に機能強化された新しいネットワーク ポリシー サーバー (NPS) に組み込まれています。802.1X ベースの適用を使用する組織の場合は、ネットワーク ハードウェアが 802.1X 認証と動的 VLAN 機能をサポートしている必要があります (特定のハードウェア ベンダの詳細については、「NAP の関連情報」で紹介している NAP のパートナー サイトを参照してください)。DHCP ベースの適用の場合は、Windows Server "Longhorn" が提供しているサービスなど、NAP 対応 DHCP サービスが必要です。クライアント側の NAP サポートは、Windows Vista™ に組み込まれています。NAP サポートは、Windows XP での 802.1X 適用を実現する 802.1X サプリカントと合わせて、Windows® XP のアドオンとしても提供する予定です。

また、NAP は Windows セキュリティ センターやサードパーティの正常性エージェントと統合して、正常性情報をレポートできます。このため、NAP では、ポリシーの検証時に、セキュリティ センターによって公開されるデータを基に判定を行うことができます

NAP は、高機能なエンタープライズ レベルのポリシー管理ソリューションなので、すべての機能と展開方針を 1 つの記事でカバーすることはできません。したがって、この記事では、既に IT スタッフの時間に余裕がなく、NAP 展開を合理化して展開に要する投資に対する効果を短期間で実現できる、中小規模組織での展開について取り上げます。ただし、ここで学習することや一般的なガイドラインの多くは、どのような規模の組織の NAP デザインにも当てはまります。この記事の例は、ステップ バイ ステップのセットアップ ガイドではなく、DHCP ベースの NAP 展開を成功させるうえで重要な点の説明を目的としたものです。より詳細なセットアップ ガイドへのリンクについては、「NAP の関連情報」を参照してください。

例 : Contoso における問題

中小規模組織特有のニーズに NAP がどのように対応できるかを詳しく説明するため、ここでは例として Contoso, Inc. を使用します。Contoso 社は、3 か所の主要な事業所に 250 台のコンピュータを備える架空の中規模組織です。従業員のモバイル作業を行う比率は高く、ユーザーの多くが自宅または客先からリモートで事業所に接続します。そのため、同社のコンピュータの約半数がノートパソコンと Tablet PC です。Contoso では、多くの組織と同様に、従業員のモバイル化が進むにつれて、セキュリティの問題の拡大に直面しています。モバイル コンピュータを使用しているユーザーの一部が、客先や自宅でマルウェアに感染し、感染したコンピュータが Contoso の社内ネットワークに持ち込まれたことがあります。

また、Contoso では、このようなリモート コンピュータを最新状態に保つことに苦慮しています。ユーザーが客先での長期作業を終えた後に、Contoso の事業所に戻ってくることがよくあります。このような場合、ユーザーのコンピュータは数か月分もセキュリティ更新プログラムが適用されていないことが多く、Contoso ネットワーク内の他のコンピュータに対するリスクが全体的に高くなります。Contoso では、リモートであれ、ローカルであれ、社内ネットワークに接続するすべてのコンピュータが、必ず安全で正常な状態であるように保つソリューションを必要としています。

Contoso の目標を実現するために、NAP をどのように利用できるでしょうか。NAP の主要サービスを思い出してみましょう。NAP のポリシーの検証を使用すれば、Contoso のネットワークに接続するすべてのコンピュータの正常性を確認できます。ポリシーの検証では、コンピュータに適切にウイルス対策ソフトウェアの定義ファイルがインストールされているか、およびすべてのセキュリティ更新プログラムが適用されているかを確認できます。NAP ポリシーの検証ルーチンがコンピュータに問題があると判断した場合、問題のあるコンピュータを扱うホストに、ネットワーク接続を限定できます。これにより、オフサイトで使われ、マルウェアに感染したコンピュータが、ネットワークの他の部分に問題を拡大することがなくなります。問題のあるコンピュータは NAP により接続が制限され、Contoso の IT 管理者が定めた修復リソースにしかアクセスできません。たとえば、問題のあるコンピュータは、Contoso の WSUS サーバーとウイルス対策ソフトウェアの定義ファイルをホストしているサーバーへのアクセスが許可されます。また、NAP により、コンピュータが正常になった後も、正常な状態が継続して保たれるようにすることもできます。この例では、問題のあるホストが在宅勤務者により VPN 経由で使用され、このホストのファイアウォールが無効にされた場合、NAP は自動的に問題を修復します。ファイアウォールが無効にされると、直ちに NAP インフラストラクチャは問題のコンピュータを検疫処理し、ファイアウォールを再度有効にして、コンピュータの正常性を再評価し、コンピュータが正常であると判断した後に、コンピュータを制限されていないネットワークに戻します。NAP の 4 つの主要サービスは、まさに Contoso の動的でモバイル化が進んでいるコンピューティング環境の重要なセキュリティ要件に対応できます。

NAP デザイン

多くの中小規模組織にとって最も短期間で簡単に実装できる方法は、DHCP ベースの NAP の適用です。これは、DHCP での適用では、ネットワークを変更する必要がなく、DHCP と NPS 以外のサービスを追加する必要がないためです。IPsec での適用および 802.1X での適用では、柔軟性が高まりますが、ネットワークの変更と新しいサービスの展開が必要です。それほど複雑でない環境では、DHCP を利用することで、実装コストを大幅に抑え、運用の手間も比較的かけずに、NAP の主なメリットを得られます。

Contoso の環境では、Windows Server "Longhorn" を実行するコンピュータを NAP 展開の中核に使用しています。NAP には Windows Server "Longhorn" NPS が必要なため、以前のバージョンの Windows Server には NAP を展開できません。DHCP ベースの NAP の適用には、Windows Server "Longhorn" DHCP サーバーも必要です。サービスを統合する場合は、NPS と DHCP を同じサーバー上に展開できます。NPS と DHCP は共存させても問題ありません。したがって、Contoso の基本の NAP サーバー インフラストラクチャは極めてシンプルで、Windows Server "Longhorn" コンピュータ 1 台で、ポリシー コンポーネントとポリシー適用コンポーネントの両方を実行しています。

Contoso のクライアント側の Windows Vista を実行するコンピュータには、NAP のサポートに必要な機能が既に組み込まれています。クライアント側の Windows Vista を実行するコンピュータに唯一必要な変更は、NAP 機能を有効にすることです。これは、グループ ポリシーを使用して行うことができます。Contoso の Windows XP を実行しているコンピュータについては、NAP クライアント パッケージを別途インストールする必要があります。既定では、ドメインに参加している Windows XP コンピュータは、Windows セキュリティ センター機能が無効にされています。NAP ポリシーがコンピュータの正常性評価にセキュリティ センターの状態情報を使用する場合は、NAP が適切に機能するよう、セキュリティ センターが稼働している必要があります。したがって、Contoso の Windows XP コンピュータでは、管理者がグループ ポリシーを使用してセキュリティ センターを有効にしました。クライアント側で NAP をサポートするために、これ以外に必要な変更はありません。

Contoso の NAP の展開

前述のグループ ポリシーによる必要な変更ができたら、Contoso の NAP 展開の次のステップは、Windows Server "Longhorn" のインストールです。Windows Server "Longhorn" のどのバージョンにも NAP コンポーネントは含まれているので、Contoso のニーズに合わせて最適なエディションを使用できます。インストールが完了したら、IT 管理者がサーバー マネージャ ツールを使用して、新しい役割をコンピュータに追加します。Contoso が使用する DHCP ベースの適用の場合、必要な役割はネットワーク アクセス サービスと DHCP サーバーです。役割の追加ウィザードを使用して、依存関係の処理や必要な機能をサーバーに追加できます。役割を追加できたら、NAP の構成に着手します。

Contoso の管理者は、サーバー マネージャ ツールを使用して、Microsoft 管理コンソール (MMC) の DHCP スナップインにアクセスし、新しいスコープを追加します。Windows Server "Longhorn" DHCP サーバーを構成すると、このサーバーがサービスを提供している IP セグメント上のすべての既存の DHCP サービスが置き換えられます。スコープを作成し、Contoso のネットワークを基に適切なオプションを設定できたら、このスコープに対して NAP を有効にします。この処理は、[スコープのプロパティ] ダイアログ ボックスの [ネットワーク アクセス保護] タブで行います (図 2 参照)。

図 2 NAP の有効化

図 2** NAP の有効化 **(画像を拡大するには、ここをクリックします)

NAP は、新しい NAP ユーザー クラス スコープ オプションを使用して、同じスコープ内で制限されたネットワーク アクセスと制限されていないネットワーク アクセス間でコンピュータを切り替えます。この特殊なスコープ オプションのセット (DNS サーバー、既定の DNS サフィックスなど) は、問題のあるクライアントにリースが提供されたときに使用されます。たとえば、正常なクライアントには既定の DNS サフィックス "contoso.com" が提供されるところを、問題のあるクライアントには "restricted.contoso.com" というサフィックスが提供されます (図 3 参照)。DHCP スコープ オプションを構成できたら、ネットワーク ポリシー サーバーをセットアップし、ルールを作成します。

図 3 アクセスの制限

図 3** アクセスの制限 **(画像を拡大するには、ここをクリックします)

NPS ポリシーは次の 4 つの主要コンポーネントで構成されます。システム正常性検証ツール (SHV) は、コンピュータの正常性を確認するために、どのようなチェックを実行するかを定義します。修復サーバー グループは、正常な状態になるために問題のあるコンピュータにアクセスが許可されるシステム (WSUS など) の一覧を保持します。システム正常性検証ツール テンプレート コンポーネントは、実際の正常性状態の定義に使用されます。たとえば、Contoso では、ウイルス対策ベンダが提供する別の SHV チェックに合格しなくても、Windows セキュリティ SHV のチェックに合格しているコンピュータは "遵守" コンピュータであると見なすことができます。これらのコンポーネントは、各コンピュータの状態に応じて処理方法を決定するロジックを含む、ネットワーク ポリシーのセットにまとめられます。

システム正常性検証ツールは、NAP エージェントがチェックし、NPS に状態をレポートする項目の一覧です。既定の NAP 展開には、Windows SHV が含まれます。これは、Windows セキュリティ センターに統合し、NAP がセキュリティ センターを通じてレポートされるすべてのセキュリティ コンポーネントの状態を確認できるようにするものです。これには、ファイアウォール、ウイルス対策、自動更新、スパイウェア対策コンポーネントなどがあります。

NAP は拡張可能であり、サードパーティが独自の SHV を作成して個々のコンポーネントのより詳細なチェックを提供できたことを思い出してください (詳細については、microsoft.com/windowsserver2003/partners/nappartners.mspx を参照してください)。たとえば、Windows セキュリティ SHV は、NAP によりウイルス対策コンポーネントが有効で最新であるかを確認できるようにします。ただし、Windows セキュリティ SHV は、コンピュータがスキャンされる頻度やその他のアプリケーション固有のオプションなど、ウイルス対策アプリケーションについてさらに詳細なチェックは実行できません。しかし、ウイルス対策ベンダは、各社のアプリケーションとより密接に統合される独自の SHV を作成し、既定の Windows SHV よりも詳しくアプリケーション固有のチェックを実行できます。この SHV を Windows SHV やその他の SHV と連携させ、NAP 展開で複数の SHV を同時に使用することもできます (図 4 参照)。

図 4 Windows セキュリティ SHV

図 4** Windows セキュリティ SHV **

修復サーバー グループは、問題のあるコンピュータがアクセスできるリソースの指定に使用されます。多くの場合、このグループには、WSUS または Systems Management Server (SMS) サーバーと、ウイルス対策ソフトウェアの更新サーバーが含まれます。このようなサーバーだけでなく、これらのサーバーの検索にクライアントが使用する名前解決サーバーも含める必要があります。Contoso のクライアントは、グループ ポリシーを使用して自動更新用のサーバー wsus.contoso.com を使用するよう構成されるため、修復サーバー グループには、WSUS サーバーの IP アドレスだけでなく、クライアントが完全修飾ドメイン名 (FQDN) を数字で表される IP アドレスに変換するために使用する DNS サーバーの IP アドレスも指定する必要があります。このような名前解決リソース (クライアントの構成により、DNS と WINS の両方になる場合があります) へのアクセスを許可しないと、クライアントは修復リソースの IP アドレスを解決できないため、修復リソースにアクセスできません。図 5 は、この例の DNS 設定と IP 設定を示しています。

図 5 DNS 名と IP アドレス

図 5** DNS 名と IP アドレス **(画像を拡大するには、ここをクリックします)

システム正常性検証ツール テンプレートは、正常なコンピュータの条件定義に使用されます。検証ツール テンプレートは、SHV チェックの結果と、1 つまたは複数の SHV チェックの合否を基にコンピュータが正常かどうかの状態を受け取ります (図 6 参照)。

図 6 遵守状態のチェック

図 6** 遵守状態のチェック **(画像を拡大するには、ここをクリックします)

Contoso 環境では (多くの中小規模の展開と同様に)、定義されている状態は 2 種類のみです。正常なコンピュータは、すべての SHV チェックに合格したコンピュータです。非遵守コンピュータは、1 つ以上の SHV チェックで不合格になったコンピュータです。必要に応じて、さらに複雑なロジックを実装することもできます (ユーザーの職務、部門、場所などを基準に異なる遵守標準を作成するなど)。ただし、その場合は、問題の特定とトラブルシューティングがより難しく、時間がかかることに注意してください。

上記のコンポーネントはすべて、ネットワーク ポリシーに含まれます。ネットワーク ポリシーは、管理者によって定義され、コンピュータをその正常性状態を基にどのように扱うかを NPS に指示します。これらのポリシーは、上から下へ順番に (NPS の UI の表示どおり) 評価され、ポリシーのルールに適合した場合、処理はそこで中止されます。

また、Contoso ネットワークでは簡潔を目標としているため、わずかなポリシーしか必要ありません。1 つ目は、Compliant-Full-Access ポリシーです。このポリシーでは、すべての SHV チェックに合格したコンピュータには、無制限のネットワーク アクセスが許可されることを示します。具体的には、コンピュータの正常性が評価され、すべてのチェックに合格すると、このコンピュータに "正常" スコープ オプションの IP リースを提供するように、NPS が DHCP サーバーに指示します。この Compliant-Full-Access ポリシーは、通常、チェック時に大半のコンピュータがポリシーを遵守しているため、処理の実行順一覧の最初に置かれます。このポリシーを一覧の最初に置くことで、NPS の処理負荷と時間を削減します。

次に使われるポリシーは、Noncompliant-Restricted です。Contoso 環境では、1 つ以上の SHV チェックに不合格になった (したがって、非遵守システム正常性検証ツール テンプレートに一致した) コンピュータが、このポリシーに対応します。このポリシーに一致すると、クライアントに特殊な NAP "制限" スコープ オプションを提供するように NPS が DHCP サーバーに指示します。これにより、非遵守コンピュータが、Contoso の修復サーバー グループで定義されているリソースにしかアクセスできないようにします。

3 つ目のポリシーは旧バージョンとの互換性のためのものです。既定では、NAP サポートは Windows XP 以降のオペレーティング システムで使用できました (ただし、独立系ソフトウェア ベンダが、これより古いバージョンの Windows や Windows 以外のオペレーティング システム用に NAP クライアントを開発している可能性もあります)。Contoso で Windows 2000 がまだ運用されていた場合、(DHCP サーバーにより既定のスコープ オプションを提供して) NAP に対応していないコンピュータがネットワークに通常どおりアクセスできるようにするルール (この記事の例では Downlevel-Full-Access) を作成できます。このポリシーは、最後に評価します。また、旧バージョンのコンピュータがネットワーク アクセスを必要とする場合しか、作成および有効化する必要はありません (図 7 参照)。

図 7 下位コンピュータ用のアクセス設定

図 7** 下位コンピュータ用のアクセス設定 **(画像を拡大するには、ここをクリックします)

プリンタやその他のハードウェアなど、NAP に対応することがないリソースが Contoso にある場合はどうなるでしょうか。また、NAP には対応していても、完全にまたは一時的にポリシー チェックの対象外とする必要があるコンピュータが Contoso にある場合はどうなるでしょうか。このようなコンピュータを除外する簡単な方法は、MAC アドレスを使用することです。Contoso の管理者は、このようなコンピュータに NAP チェックのバイパスを提供し、完全なネットワーク アクセスを許可する新しいポリシー (Exempt by MAC) を作成できます。このポリシーは、RADIUS クライアント プロパティのコーリング ステーション ID が、NAP のバイパスが必要なデバイスの MAC アドレスと一致する場合の条件ステートメントを使用します。NPS は、コンピュータがこのポリシー ステートメントに一致した場合、"正常" スコープ オプションのリースを提供するように DHCP に指示します。このポリシーは、評価の一覧の最初に置き、全体の処理時間と NPS の負荷を削減するようにします。このポリシーに一致したコンピュータは、SHV の評価を必要としないため、NPS がこれらをチェックするサイクルに含めても意味がありません (図 8 参照)。

図 8 特定のコンピュータを無視

図 8** 特定のコンピュータを無視 **(画像を拡大するには、ここをクリックします)

これらのポリシーを組み合わせることで、Contoso の NPS がネットワークに接続するコンピュータを短時間で正確に評価できるようにします。また、古いコンピュータやデバイス、または NAP 対応デバイスに一時的なバイパスが必要な場合に、これらをチェックから除外することができます。

まとめ

NAP は、さまざまなテクノロジを包括しているため、特に複雑なシナリオでは、十分な計画とテストが必要です。ここでは、比較的複雑でないシナリオを扱いましたが、NAP Web サイトにはすべての規模の展開の詳細ガイダンスが公開されています。この Web サイトには、一般にエンタープライズ環境では DHCP ベースの適用よりも適している 802.1X および IPsec ベースの適用テクノロジの計画に役立つ情報もあります。

NAP は、ネットワークに接続するコンピュータの正常性を評価できる拡張可能なプラットフォームを提供します。中小規模組織では、DHCP ベースの適用を採用することで、安価な実装コストと管理コストで多くのメリットが得られます。NAP は、Windows Server "Longhorn" の主要機能であり、組織がセキュリティや法令遵守の強化を行ううえで有用です。

NAP の関連情報

John Morelloは、これまでマイクロソフトで 6 年間さまざまな任務を果たしてきました。シニア コンサルタントとして、フォーチュン 100 企業や、連邦政府の民生向けおよび国防向けのセキュリティ ソリューションの設計に携わってきました。現在は、Windows Server グループのシニア プログラム マネージャとして、あらゆる場所からのアクセスを実現するテクノロジに取り組んでいます。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.