NAPを使ってVistaのリモートアクセスの安全性を高める

文:Scott Lowe(TechRepublic) 翻訳校正:石橋啓一郎
2008-01-07 08:00:00
  • このエントリーをはてなブックマークに追加

 リモートユーザーがVPN経由でネットワークにアクセスしてくる時、管理者ができるのは、最新のウイルス保護やその他の対策がネットワークに問題が広がるのを防いでくれることを祈ることだけだ。Windows Vistaでは、ユーザーがネットワークにアクセスする際に一定のルールを強制することのできるNetwork Access Protection(NAP)が導入された。

 NAPは、IT部門がネットワークに(直接、無線、あるいはVPNなどの何らかの遠隔からの接続手段で)接続するコンピュータに対し、一定の要件を満たすことを要求できるものだ。例えばこの機能を使うと、接続するコンピュータが最新のアンチウイルスソフトウェアとウイルス定義、アンチスパイソフトウェア、ソフトウェアファイアウォールなどを備えるよう指示できる。NAPを設定し、要件を満たさないコンピュータをセキュリティ上の問題を修復するために隔離領域--あるいは検疫ネットワーク--に送るようにすることもできる。

簡単に言えば、NAPは既存のセキュリティ方針を実現する仕組みだ。ネットワークに接続するすべてのコンピュータは最低限のセキュリティ水準を満たさなければならないという通知を出すことはできても、もし技術的にその方針を強制する仕組みがなければ、うっかりしたユーザーが感染したコンピュータ、あるいはすべてのセキュリティ要件を満たしていないコンピュータをつないでいないことを確認する方法はない。

 少し前から、NAPの製品としてCisco Clean Access(以前はPerfigoという名称だった)やBradford Campus Managerなどが出回っている。MicrosoftはWindows Server 2008でWindows XPをインストールしたコンピュータにもNAPのサポートを提供することを計画している。

NAPの運用モード

 Windows VistaのNAP機能は、2つあるモードのどちらかで利用することになる。監視のみのモードと、隔離モードだ。監視のみのモードでは、クライアントがセキュリティ方針に合致しているかどうかをチェックし、将来のためにその記録が保存される。この受動的なモードでは、クライアントはセキュリティの状態にかかわらずネットワークに接続することができる。隔離モード(アクティブモードとも呼ばれることがある)では、健全性チェックに適合しなかったクライアントには検疫ネットワークへの限られたアクセスしか与えられない。

 修復が必要なクライアントに対しては、ネットワークからはそのクライアントをセキュリティ方針に準拠させるのに必要なリソースへのアクセスしか提供されない。Vista/Windows Server 2008のNAPでは、ユーザーの介入なしにクライアントをセキュリティ方針に準拠する水準に修復させることもできる。これはつまり、必要なウイルス定義やセキュリティパッチが自動的に適用されるということだ。

NAPのコンポーネント

 NAPがその魔法を発揮するためには多くのコンポーネントが必要となる。以下では、それらのコンポーネントについて説明する。すべてのコンポーネントを挙げることはできないが、以下ではNAPを構成する主要なものを説明する。

ネットワークアクセス保護サーバ(サーバ側)

 ネットワークアクセス保護サーバは、Windows Server 2008を実行しているサーバで、クライアントを組織のセキュリティ方針に従わせるために必要なサービスを提供する。このサービスの多くは以下に記述されている。

ネットワークポリシーサーバ(サーバ側)

 NAPはネットワークポリシーサーバ(NPS)と呼ばれるサービスを実行するサーバによって提供されるサービスに依存する。このサービスは、以下のような古いサービスを置き換えるものだ。

|> Internet Authentication Service
|> Remote Authentication Dial-In User Service (RADIUS)

 NPSはWindows Server 2008サーバ上で動作し、正常性ポリシーを保持し、クライアントの正常性の検証を行う責任を負う。

システム正常性エージェント(クライアント側)

 システム正常性エージェント(SHA)はシステムの正常性の様々な側面を監視し維持するコンポーネントだ。SHAには、クライアントの設定を検証するものの他に、ウイルス対策エンジンのバージョンやシグネチャを処理するものやローカルOSの更新を扱うものなどもある。例えば、ウイルス対策ソフトを処理するエージェントの場合、システム正常性エージェントが最新のシグネチャを持つサーバから情報を取得し、ローカルクライアントが最新のものであることを確認する。

 ローカルの設定だけを調べる別のシステム正常性エージェントもある。例えば、ローカルのWindowsファイアウォールが実行されていることを確認するエージェントを使う場合もあるだろう。システム正常性エージェントは一般に、Windowsのセキュリティセンターのさまざまなセキュリティ関係の設定を調べるのに使われる。

システム正常性検証ツール(サーバ側)

 システム正常性エージェントは、Windows Server 2008のNPS上のシステム正常性検証ツール(SHV)と通信する。システム正常性検証ツールの役割はクライアントに正常性応答を返すことであり、クライアントのNAPコンポーネントはこれによって次に何をすればいいかという指示を受ける。もしクライアントのシステム正常性エージェントが特定のWindowsパッチが適用されておらず、これが必要であるという通知を送ってきていれば、システム正常性検証ツールはクライアントの関連するシステム正常性エージェントに対し、特定のWSUSサーバと通信して必要なパッチを入手するように指示する正常性応答を返すことができる。

システム正常性サーバ(サーバ側)

 システム正常性サーバ(SHS)はシステム正常性エージェントと協力してクライアントの正常性に関する判断を行い、ネットワークポリシーサーバに対しそれらの判断について通知する。ネットワークポリシーサーバは、この情報に基づいて適切な行動を取る。

修復サーバ(サーバ側)

 修復サーバはポリシーに準拠していないコンピュータを組織のセキュリティ方針に準拠させるために必要なすべてのサービス(サーバ、サービスなど)を持っている。例えば、修復インフラには注意が必要なクライアントのウイルス定義を更新するサーバや、組織が要求する水準までパッチレベルを上げるWSUSなどのサービスなどが含まれる。また修復インフラには、修復サービスを参照するのに必要な分のエントリを持つDNSサーバが含まれる場合がある。

ネットワークアクセス機器(ネットワーク)

 NAPのアーキテクチャのネットワークアクセス機器は多くの場合Microsoftが提供するものではないが、NAPの正しい運用には非常に重要なコンポーネントになり得る。ネットワークアクセス機器は、次のような種類のサービスと機器からなる。

|> イーサネットスイッチ
|> 無線アクセスポイント
|> DHCPサーバ(Microsoftのもの、あるいはサードパーティのサービス)
|> VPNサーバ
|> SSLプロクシデバイスあるいはアプリケーション
|> 正常性登録機関(後述)

検疫エージェント(クライアント側)

 検疫エージェント(QA)はシステム正常性エージェントからの正常性応答の状態を維持し、必要時にこの情報を検疫強制クライアントに提供する責任を負う。クライアントの状態が変わった場合、検疫エージェントはこの情報を個々のシステム正常性エージェントに通知する。

強制サーバ(サーバ側)

 強制サーバ(QS)はシステム正常性検証ツールの指示に従い、クライアントのネットワークアクセスを制限する。

検疫強制クライアント(クライアント側)

 検疫の強制は最低限のネットワークへのアクセスを必要とし、ネットワークアクセス保護サーバに対しクライアントの正常性の状態を検証し、他のNAPコンポーネントに対しクライアントの制限の状況を示す。Windows Server 2008には、以下のものを含む多くの検疫強制クライアントが同梱されている。

|> 802.1x:802.1Xの強制は、ネットワークポリシーサーバと強制クライアントから構成される。ネットワークポリシーサーバはイーサネットスイッチ等の802.1X機器に対し、トラフィックのフィルタリングやクライアントの制限されたVLANに置くなどの手段によってアクセス状態を制限するよう指示する。多くの場合、このVLANにはあり得る問題を修復するのを助けるサービスが置かれる。

|> DHCP:この検疫強制クライアントは、DHCPクライアントのサービスに新しい機能を提供する。このサービスはDHCPメッセージを使い、クライアントとサーバの間で正常性メッセージと制限されたネットワークアクセスに関する情報を交換する。DHCP検疫強制クライアントは検疫エージェントからクライアントの正常性メッセージのリストを入手し、このリストを分解して得られた各部分を、DHCPDiscover、DHCPRequest、DHCPInformメッセージのMicrosoftのベンダー依存オプションを使ってクライアントに送る。これらの情報はクライアントが修復サービスを発見する際に使われる。

|> IPSec:IPSecの検疫は、Windowsの認証機関とIPSecの検疫強制クライアントから構成されている。証明書は、クライアントが正常であると判断された場合に発行され、NAPクライアントが他のNAPクライアントとの間でIPsecで保護された通信を開始する際に認証のために使われる。この方式が使われる場合、通信に関わるすべてのクライアントはNAPシステムの保護下にあるため、すべてのトラフィックは安全性を保証される。

|> VPN:この方式を使うと、コンピュータがVPN越しに組織のネットワークに接続してくる際、VPNサーバはそのコンピュータに対し組織のセキュリティ方針を強制することができる。

正常性登録機関(サーバ側)

 正常性登録機関はクライアントが正常性の証明を得た際にクライアントの証明書を取得する。この証明書は、NAPクライアントがIPSecを使ってネットワーク上の他のNAPクライアントと通信する際に、NAPクライアントを認証する時に使われる。

VistaでのNAPクライアントの起動

 Vistaのネットワークアクセス保護クライアント設定ツールを起動する方法は2つある。第1の方法は、次の手順でツールを起動するやり方だ。

1.「スタート」ボタンを押す。
2.「コントロールパネル」を選択する。
3.Vistaの新しいコントロールパネルの表示を使っている場合、「システムとメンテナンス」を選択する。
4.「管理ツール」を選択する。
5.「NAPクライアントの構成」オプションを選択する。

 使っているシステムにこのオプションが現れない場合、NAPクライアントの構成スナップインを直接実行することもできる。この場合、エクスプローラーで"\Windows\System32"をブラウズし、NAPCLCFG.MSCという名前のファイルを実行する。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部 が日本向けに編集したものです。海外CNET Networksの記事へ

  • 新着記事
  • 特集
  • ブログ