特集 : Windows Server 2008
Windows Server 2008 を使用したポリシー主導型のネットワーク アクセス
Ian Hameroff and Amith Krishnan
概要:
- ネットワーク アクセスとセキュリティのバランスを取る
- ポリシー主導型のネットワーク アクセス手法
- Windows Server 2008 で新しく提供されるセキュリティ テクノロジ
モバイル ユーザーが増加し、組織の IT リソースへのアクセスを必要とするユーザーやデバイスがさらに多様化したことによって、従来のネットワーク境界が消滅したという話題を
さまざまな記事で目にするようになりました。ユーザーと基幹業務アプリケーションの所有者は、生産性を向上させるために、面倒な作業が発生しない流動的な接続が提供されることを強く望んでいます。この既に複雑な状況に加えて、規制遵守に伴う負担の増加、ますます大きくなる脅威、およびデータの分散に関連するリスクにも対処する必要があります。
このため、多くの Windows® の管理者は、セキュリティのバランスを取るという難しい課題に対処せざるを得なくなっています。つまり、リソースへの容易なアクセスを提供するだけでなく、増加の一途をたどる、情報とネットワークのセキュリティに関する要件にも対処する必要があります。
これらすべての課題を 1 つの方法によって解決することはできないかもしれませんが、Windows 管理者は既に、エッジ ファイアウォールなど、セキュリティ制御の強化に役立つさまざまな使い慣れたツールを持っています。アクセスとセキュリティの適切なバランスを取るための効果的な方法は、従来の接続モデルから、より論理的なポリシー主導型の方法を使用してネットワーク アクセスを定義することを目的とした接続モデルに移行することです。
ポリシー主導型のネットワーク アクセス手法
ネットワークの関連情報
ポリシー主導型のネットワーク アクセスの目的は、ネットワーク トポロジの境界を主な基準として信頼を構築したときに発生する制限を取り除くことです。たとえば、あるデバイスが企業のファイアウォールの内側にあるイーサネット スイッチ ポートに接続されているというだけで、そのデバイスが信頼されており、顧客関係管理 (CRM) アプリケーションを実行しているサーバーにアクセスする権限を与えられていると判断できるでしょうか。
新しいモデルでは、アクセスを要求したユーザーがどこから接続しているかにかかわらず、デバイスのセキュリティ状態とそのユーザーの ID を認証することによって、アクセスを許可するかどうかを判断します。この構成が一度認証された後は、同じ構成を使用して、どの情報やリソースへのアクセスを許可するかを判断できます。
防御を重視したモデルからアクセスを重視したモデルに移行するには、多くの重要な要件を満たす必要があります。たとえば、接続元ホストの ID とポリシーへの準拠を検証し、信頼済みのユーザー ID を発行した後、それらの属性に基づいて動的にネットワーク アクセスを制御できるメカニズムを用意する必要があります。また、これらのさまざまな不確定要素を容易に管理するために、一元管理用のポリシー ストアを用意することも重要です。
ポリシー主導型の手法を使用すると、さまざまな種類のネットワーク アクセスとホストのセキュリティ制御を、より包括的なソリューションで一元管理できます。また、これによって、接続の構成よりも上位の論理層でネットワーク アクセスの基盤となる規則を設定できるため、防御を重視した従来のベスト プラクティスを進化させることができます。
たとえば、あるユーザーがラップトップから組織のワイヤレス ネットワークに接続したときに、そのコンピュータのデバイスが最新のセキュリティ構成要件に準拠しているかどうかを確認できます。そのラップトップにウイルス対策プログラムの最新の更新プログラムと重要なセキュリティ更新プログラムが適用されており、エンドポイントのすべてのセキュリティ制御 (ホストのファイアウォールなど) が有効になっていることを確認したら、その企業ネットワークへのアクセスを許可することができます。その後、このユーザーがビジネス アプリケーションへのアクセスを試みた場合、既に確認したラップトップの正常性状態とユーザーのネットワーク ID を使用して、そのアプリケーションをホストしているリソースに接続する権限を与えるかどうかを判断できます。物理的なネットワーク インフラストラクチャよりも上位の論理層で処理を行うことによって、ユーザーがワイヤレス ネットワークからワイヤード ネットワークやリモート アクセス接続などの接続形式に変更した場合でも、引き続き同じポリシーを適用できます。
一度ポリシー主導型のネットワーク アクセスを実装すれば、処理中にセキュリティを犠牲にすることなく、よりシームレスな接続をユーザーに提供することができます。また管理者は、スイッチ ポートやリモート アクセス ゲートウェイの構成よりも上位にネットワーク アクセス制御を実装することによって、今までよりも容易に管理を行うことができます。いずれにしても、最終的に生産性が向上し、組織のネットワークの正常性が全体的に強化されます。これは、組織のネットワークが、顧客 (招待客など)、調達先、提携先、従業員など、さまざまなアクセス権を持つ関係者のホストとして機能する場合でも同様です。
どのセキュリティ プロジェクトでも同じですが、ポリシー主導型のネットワーク アクセスを実装する際は、まず全体的な一連の運用方針を決定する必要があります。通常は、次のようなガイドラインを決定します。
- デバイスのセキュリティ基準 - デバイスが "正常" であるとは、どのような状態を意味するのか。
- 論理ネットワークのゾーン分け - 正常でないデバイスをアクセスが許可されたデバイスからどのように分離するか。
- 情報のリスク管理 - 重要なデータを攻撃から保護するためにどのように分類するか。
さいわい、Microsoft® TechNet セキュリティ センター (microsoft.com/technet/security) では、ポリシーの開発に使用できるさまざまなリソースが提供されています。
アクセス ポリシーを開発したら、それらを容易に配布して効率的に適用できるテクノロジを選択する必要があります。しかし、Windows Server® 2008 があれば、他のテクノロジを探す必要はありません。Windows Server 2008 はこれまでで最も強力なセキュリティを提供する Windows Server であるというだけでなく、ポリシー主導型のネットワーク アクセス ソリューションの基盤を形成できる強力なセキュリティ プラットフォームを管理者に提供します。Windows Server 2008 では、数多くの新機能や機能強化と共に、セキュリティで保護されたポリシー主導型のネットワーク アクセスの実装に必要なほとんどの機能が提供されるため、重要な情報を攻撃から保護できます。
次世代ネットワーク
Windows Server 2008 のネットワーク セキュリティに関する機能強化の核となるのは、次世代の TCP/IP スタックです。これは、プラットフォームのネットワーク機能とネットワーク関連サービスの中で、大幅に変更が加えられた部分です。Windows Server 2008 を使用すると、ネットワークのパフォーマンスとスケーラビリティを強化できるだけでなく、ポリシー主導型のネットワーク アクセス ソリューションを構築するための強固な基盤となる一連の統合型ネットワーク機能を使用して、セキュリティを強化することもできます。
インターネット プロトコル セキュリティ (IPsec) は、Windows Server 2008 で大幅にアップグレードされた機能であり、ポリシー主導型のネットワーク アクセス手法において重要な役割を果たします。Windows Server 2008 では、IPsec をトンネリング プロトコルと暗号化プロトコルとして使用するのではなく、IPsec のホスト間ネットワーク認証機能を使用します。さらに、IPsec はレイヤ 3 で動作するため、さまざまな種類のネットワークにネットワーク アクセス ポリシーを適用するのに役立ちます。
Windows Server 2008 では、ポリシーの作成、適用、および保守を簡略化することを目的とした多くの機能拡張と新機能が導入されているため、容易に IPsec ベースのネットワーク アクセス制御を実装できます。たとえば、利用できる IPsec 認証方法の数と種類が増加しています。これは、インターネット キー交換 (IKE) プロトコルの機能拡張である認証済み IP (AuthIP) を導入することによって実現されました。AuthIP を使用すると、コンピュータの資格情報だけでなく、ユーザーや正常性に関する資格情報を使用した通信相手との認証を要求する接続のセキュリティ規則 (Windows Server 2008 における IPsec ポリシーの別名) を任意で作成できます。このように柔軟性が向上したことにより、切り替えおよびルーティング インフラストラクチャをアップグレードする必要なく、非常に洗練された論理ネットワークを設計できるようになります。
セキュリティが強化された Windows ファイアウォール
新しいセキュリティが強化された Windows ファイアウォールは、先ほど説明した IPsec の機能に基づいて構築されています。この新しい Windows ファイアウォールによって、IPsec 接続のセキュリティ規則とファイア ウォール フィルタが 1 つのポリシーに統合されるため、ポリシー主導型のネットワーク アクセスに新たな特性が加わります。この特性とは、より高度なファイアウォールの認証処理です。
図 1 が示すように、受信または送信ファイアウォール フィルタでは、許可する、ブロックする、セキュリティで保護されている場合のみ許可するという 3 つの処理のいずれかを実行できます。[Allow the connection if it is secure] (セキュリティで保護されている場合のみ接続を許可する) を選択した場合、Windows ファイアウォールは IPsec のホスト間ネットワーク認証機能を使用して、接続を要求したホストまたはユーザーを定義済みのポリシーに基づいて認証するかどうかを決定します。ファイアウォール規則を使用すると、接続する権限をどのユーザー、コンピュータ、およびグループに与えるかを指定できます。これにより、既存のオペレーティング システム レベルとアプリケーション レベルのアクセス制御を補完できるため、さらにセキュリティが強化されます。
図 1** 認証に関するファイアウォール規則の定義 **(画像を拡大するには、ここをクリックします)
ここまでの説明から、ポリシーを使用してさまざまなネットワーク セキュリティ制御を一元管理することによって、効率的かつスケーラブルな方法でネットワーク アクセスを管理できることが徐々にわかってきたと思います。
では、CRM の例に戻りましょう。管理者が企業の CRM アプリケーションを実行しているサーバーの受信規則を作成する際に、[Allow the connection if it is secure] (セキュリティで保護されている場合のみ接続を許可する) をオンにしたとします。管理者はこのファイアウォール ポリシーの中で、CRM Application Users グループのメンバにのみこのネットワーク アプリケーションへの接続を許可することを指定できます (図 2 参照)。この考え方と基準を、ネットワーク上の管理対象のコンピュータ間で行われるすべての通信に適用すれば、ポリシー主導型のネットワーク アクセス戦略に "サーバーとドメインの分離" 層が追加されたことになります。
図 2** 接続を許可するユーザーを指定できるポリシー **(画像を拡大するには、ここをクリックします)
サーバーとドメインの分離
ほとんどの組織では、ゲストやその他の管理対象でないデバイスが組織のネットワークに接続する機会が増加しているため、信頼されたホストを分離して保護するための手段を準備することがこれまで以上に重要になっています。信頼された管理対象のコンピュータをネットワーク上の他のコンピュータから分離する方法は数多く提供されていますが、これらの方法の多くは、ネットワークの規模が大きくなるほどコストがかかり (物理的に別々の配線を使用するシステムを管理する場合など)、保守が難しくなる (スイッチ ベースの VLAN など) ことを知っておく必要があります。
サーバーとドメインの分離を実装すると、管理しやすくコスト効率のよい方法で環境を分割することによって、論理的に分離され、セキュリティで保護された複数のネットワークを構成できます。図 3 が示すように、基本的には先ほど説明したものと同じセキュリティ規則 (つまり IPsec ポリシー) を使用しますが、これらの規則を管理対象のコンピュータにマップする際には、Active Directory® グループ ポリシーを使用します。これにより、通信を開始する前に相互の認証を完了するようすべてのピアに要求するネットワーク アクセス ポリシーを適用できるようになります。サーバーとドメインの分離はレイヤ 3 で行われるため、アクセス制御は、ハブ、スイッチ、およびルーターを経由し、物理的および地理的な境界にまたがって適用されます。
図 3** ネットワーク アクセス要件に合った認証要件の定義 **(画像を拡大するには、ここをクリックします)
分離されたネットワークを作成するには、必要なアクセスの種類に応じて、ネットワーク上のさまざまなコンピュータを分離する必要があります。また、分離されたネットワーク上のコンピュータが、同じネットワーク上のコンピュータだけでなく、その分離されたネットワーク上に存在しないコンピュータとの通信も開始できるポリシーを定義できます。反対に、分離されたネットワーク上に存在しないコンピュータは、その分離されたネットワーク上のコンピュータとの通信を開始できません。実際には、分離されたネットワーク上のコンピュータは、その分離されたネットワーク上に存在しないコンピュータから発行された要求をすべて無視します。
ネットワーク ポリシーを適用する際には、Active Directory ドメインとそのドメインのメンバシップが使用されます。ドメインに属しているコンピュータは、そのドメインに属している他のコンピュータから通信要求を受け取った場合、セキュリティで保護された認証済みの通信のみを許可します。また、必要に応じて、分離されたドメイン内で行われるすべての通信の暗号化を義務付けることもできます。
サーバーとドメインの分離を実装すると、既存のネットワーク インフラストラクチャやネットワーク アプリケーションに大幅な変更を加えずに済むため、コストを大幅に節約できます。また、ポリシーを使用した保護が提供されるため、信頼されたネットワーク リソースへの攻撃や承認されていないアクセスなどからコンピュータを保護してコストを節約できるだけでなく、ネットワーク トポロジが変更されるたびに保守作業を行う必要がなくなります。
ネットワーク アクセス保護
先ほど説明したとおり、サーバーとドメインの分離ソリューションを実装すると、ネットワーク上のさまざまなコンピュータとサーバーを論理的に分離できます。このソリューションはネットワークへの承認されていないアクセスを拒否するのに役立ちますが、承認されたコンピュータがセキュリティの脅威の原因になる可能性もあります。
Windows Server 2008 に組み込まれているネットワーク アクセス保護 (NAP) を使用すると、ネットワークに接続しているコンピュータやネットワーク上で通信を行っているコンピュータがシステムの正常性に関する定義済みの要件を満たすよう要求できます。
ウイルスやスパイウェアが、承認されたユーザーからネットワーク上に伝播していくことはよくあります。たとえば、休暇を取っているユーザーのコンピュータは、管理者によって設定されたセキュリティ要件を満たしていない状態になることがあります。休暇中にリリースされた必須の修正プログラムや署名がそのコンピュータに適用されていない場合、深刻な影響が発生する可能性があります。
管理者には、ネットワークに接続するすべてのユーザーを追跡している余裕はありません。このため、ネットワークに接続するすべてのコンピュータが正常性要件を満たしているかどうかを検証できる自動ツールを使用し、一元管理されたポリシーに基づいて、要件を満たしていないコンピュータを修復する必要があります。NAP を使用するとこの処理を実行できるため、ポリシー主導型のネットワーク アクセス ソリューションがさらに強化されます。
NAP エージェントは、クライアント コンピュータの OS (Windows Vista® など) に組み込まれているか、別個にインストールすることができ (以前のバージョンの Windows や Windows 以外のオペレーティング システム用)、準拠に関する問題をネットワーク ポリシー サーバー (NPS) に報告します。NPS は、Windows Server 2008 に組み込まれているポリシー エンジンです。この NPS で、すべてのデバイスを対象とした、準拠に関するポリシーを定義します。
ポリシーに準拠していないことが確認されたデバイスには制限を適用する必要がありますが、検疫するか修復するかを選択できるようにすることが重要です。NAP では、ファイアウォールやウイルス対策ソリューションが有効になっている場合に、デバイスを自動的に修復するか、デバイスを強制的に検疫ゾーンに移動して手動で修復するかを選択できます。このとき、デバイスは修復サーバーにアクセスして、最新の修正プログラム、更新プログラム、および署名を取得できます。ユーザーが手動でデバイスの更新を行った後、ポリシーに準拠していることが確認されたら、そのデバイスはネットワークへのアクセスを許可されます。
どこからでもネットワークにアクセスできるようになったことで、ネットワーク アクセスのしくみは単純になりました。ただし、これにより、アクセス メカニズムにかかわらず、デバイスが正常であること、および要件を満たしていることを保証しなければならないという負担が加わりました。コンピュータは、802.1X に準拠した正規のスイッチやワイヤレス アクセス ポイントを経由してネットワークに接続するか、VPN またはターミナル サービス ベースのリモート アクセス接続を使用して、自宅からリモートでネットワークに接続できます。NAP により、このようなさまざまなメカニズムを経由して接続するコンピュータだけでなく、DHCP サーバー、802.1X スイッチ、VPN ゲートウェイ、ターミナル サービス ゲートウェイ、802.1X に準拠したワイヤレス アクセス ポイントなども要件を満たすことが要求されます。
図 4 は、サーバーとドメインの分離ソリューションを使用して分離されたネットワークを示しています。このような分離されたネットワークと共に NAP を使用すると、ネットワークに接続するコンピュータが正常性要件を満たすことができるというメリットが加わります。クライアントは起動時に、証明書サーバーである正常性登録機関 (HRA) に正常性ステートメント (SoH) を送信します。HRA は、ポリシーの検証用に SoH を NPS に渡します。SoH が有効である場合、HRA はクライアントに正常性証明書を送信します。証明書を受信したクライアントは、セキュリティで保護された IPsec ベースの通信を使用して、セキュリティで保護されたリソースにアクセスできます。SoH が有効でない場合、HRA は NAP クライアントに正常性証明書を発行せず、正常性状態の修復方法を指示します。この NAP クライアントは、IPsec 認証用の正常性証明書を要求する他のコンピュータとの通信を開始できませんが、修復サーバーとの通信を行うことによって、正常性状態を修復して要件を満たすことができます。
図 4** IPsec への準拠を要求するネットワーク アクセス保護 **(画像を拡大するには、ここをクリックします)
すべてを一元管理する
この記事では、Windows Server 2008 で提供される新機能のほんの一部を紹介しただけですが、各コンポーネントが以前のバージョンを基にしてどのように構築されているかを理解することは重要です。防御を重視した従来の手法から変化した点は、Windows Server 2008 では、基になるポリシー フレームワークが Active Directory のグループ ポリシーなどを使用して提供されるということです。
この統合により、既存の環境に変更を加えることなく、強力な作業基盤を使用してポリシー主導型のネットワーク アクセス ソリューションを定義および展開できます。また、ポリシーを中心とした、より論理的な層でアクセスを許可することにより、"容易なアクセス" と "強固なセキュリティ" のバランスを自由に調整できます。
マイクロソフトからは、この記事で扱った技術領域に関するさらに詳しい説明が記載されたガイダンスが多数公開されています。まずは、これらの記事とステップ バイ ステップ ガイドを参照して、さまざまな機能を操作してみることをお勧めします (補足記事「ネットワークの関連情報」に、役立つ情報へのリンクが記載されています)。その後、段階を踏んで徐々に基盤を強化しながら、ポリシー主導型のネットワーク アクセスを実装していってください。
たとえば、「セキュリティが強化された Windows ファイアウォール」の説明に従って、ミッション クリティカルなアプリケーションに適用することを目的とした、認証に関する一連のファイアウォール規則を作成します。適切な規則を作成できたら、接続に関するセキュリティ規則を拡張してネットワーク ドメインを分離し、その後 NAP を実装します。ポリシー主導型のネットワーク アクセス戦略を実装することにより、企業ネットワークへのアクセス手段が変化してもそれに対応できることなど、非常に大きなメリットが得られます。
Ian Hameroff は、マイクロソフトのセキュリティおよびアクセス製品マーケティング グループでシニア プロダクト マネージャを務めています。Windows Server プラットフォームのネットワーク テクノロジを利用する製品の管理とマーケティングを担当しており、セキュリティとネットワークに関する重要なイニシアチブ (サーバーとドメインの分離、スケーラブルなネットワーク、IPv6 の採用など) に重点を置いた Windows Server ネットワークおよびソリューションの市場展開戦略を推進しています。
Amith Krishnan は、マイクロソフトのセキュリティおよびアクセス製品マーケティング グループでシニア プロダクト マネージャを務めており、ネットワーク アクセス保護やセキュリティで保護されたワイヤレス ネットワークなど、Windows Server のネットワークとセキュリティに関するイニシアチブを利用する製品の管理とマーケティングを担当しています。また、市場展開戦略を推進し、これらのソリューションへの意識を高める取り組みを行っています。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.