ネットワーク アクセス保護 (NAP) は、クライアントの正常性ポリシーの作成、強制、および修復を行う技術であり、Windows Vista®、Windows Server® 2008、Windows® 7、および Windows Server® 2008 R2 に組み込まれています。NAP を使用すると、ネットワークに接続するコンピューターのソフトウェア要件、セキュリティ更新要件、構成設定要件などを定義する正常性ポリシーを確立できます。

NAP は、クライアント コンピューターの正常性を調べて評価し、クライアント コンピューターが正常性ポリシーに準拠していないときはネットワーク アクセスを制限し、準拠していないクライアント コンピューターを正常性ポリシーに準拠している状態に修復してから完全なネットワーク アクセスを付与することで、正常性ポリシーを強制します。NAP は、ネットワークに接続を試みているクライアント コンピューターに対して正常性ポリシーを強制します。クライアント コンピューターがネットワークに接続しているときも、継続的に正常性の準拠を強制します。

NAP は、インフラストラクチャとアプリケーション プログラミング インターフェイス (API) セットを提供する拡張可能なプラットフォームです。NAP の API セットを使用すると、コンピューターの正常性の確認やネットワーク正常性ポリシーの強制を実行し、準拠していないコンピューターを正常性ポリシーに準拠している状態に修復するコンポーネントを、NAP クライアントおよびネットワーク ポリシー サーバー (NPS) を実行するサーバーに追加できます。

NAP 自体には、コンピューターの正常性を確認または修復するコンポーネントはありません。システム正常性エージェント (SHA) とシステム正常性検証ツール (SHV) と呼ばれる別のコンポーネントにより、クライアント コンピューターの正常性の状態の検査と報告、正常性ポリシーとの比較によるクライアント コンピューターの正常性の状態の検証、クライアント コンピューターが正常性ポリシーに準拠するための構成設定が行われます。

Windows セキュリティ正常性エージェント (WSHA) は、Windows Vista および Windows 7 のオペレーティング システムの一部として提供され、これに対応する Windows セキュリティ正常性検証ツール (WSHV) は、Windows Server 2008 および Windows Server 2008 R2 のオペレーティング システムの一部として提供されています。NAP の API セットを使用することで、他の製品も SHA と SHV を実装して NAP と統合することができます。たとえば、ウイルス対策ソフトウェア ベンダーは、この API セットを使用して、カスタムの SHA と SHV を作成できます。これにより、ソフトウェア ベンダーの顧客は、展開する NAP ソリューションにこれらのコンポーネントを統合できます。

ネットワークまたはシステム管理者の方で、NAP の展開を計画している場合は、オペレーティング システムに含まれている WSHA と WSHV と合わせて NAP を展開することをお勧めします。また、他のソフトウェア ベンダーの製品向けに SHA と SHV が提供されているかどうかをベンダーに問い合わせてみることもできます。

NAP の概要

ほとんどの組織では、組織のネットワーク上に展開できるハードウェアおよびソフトウェアの種類を規定するネットワーク ポリシーを作成します。このようなポリシーには、多くの場合、クライアント コンピューターがどのような構成であればネットワークに接続できるかについての規則が含まれています。たとえば、多くの組織では、クライアント コンピューターが最新のウイルス対策更新プログラムがインストールされた状態でウイルス対策ソフトウェアを実行していること、およびクライアント コンピューターにソフトウェア ファイアウォールがインストールされ有効にされていることを、組織のネットワークに接続するための要件としています。組織のネットワーク ポリシーに従って構成されているクライアント コンピューターはポリシーに準拠していると見なされ、組織のネットワーク ポリシーに従って構成されていないクライアント コンピューターはポリシーに準拠していないと見なされます。

NAP を利用することで、NPS を使用してクライアント コンピューターの正常性を定義するポリシーを作成できます。また、作成したクライアントの正常性ポリシーを強制し、NAP 対応クライアント コンピューターがクライアントの正常性ポリシーに準拠している状態になるように自動的に更新 (修復) を行うことができます。NAP はクライアント コンピューターの正常性を継続的に検出し、ネットワークに接続した時点では準拠していたクライアント コンピューターが接続中に準拠していない状態になった状況に対しての保護も提供します。

NAP は、ネットワークに接続するコンピューターが組織のネットワークおよびクライアントの正常性ポリシーに準拠するようにすることで、クライアント コンピューターおよび組織のネットワークに対する保護を強化します。これにより、ネットワークがコンピューター ウイルスなどクライアント コンピューターにより媒介される害のある要素から保護されるだけでなく、クライアント コンピューターも接続先のネットワークにより媒介される可能性のある害のある要素から保護されます。

また、NAP の自動修復機能により、準拠していないクライアント コンピューターが組織のネットワーク リソースにアクセスできない時間が短縮されます。自動修復が構成されていて、クライアントが準拠していない状態になった場合は、NAP クライアント コンポーネントが修復ネットワーク上にあるリソースを使用してそのコンピューターをすぐに更新でき、準拠している状態になったクライアントがより短時間で NPS に承認されてネットワークに接続できるようになります。

NPS と NAP

NPS は、すべての NAP 強制方法で NAP ポリシー サーバーとして機能します。

NPS を NAP ポリシー サーバーとして構成すると、NPS では、ネットワーク上の接続相手の NAP 対応のクライアント コンピューターによって送信された正常性ステートメント (SoH) が評価されます。NPS の NAP ポリシーを構成して、クライアント コンピューターに対してクライアント コンピューター自体の構成の更新を許可できます。これにより、クライアント コンピューターの構成を組織のネットワーク ポリシーに適合させることができます。

クライアント コンピューターの正常性

正常性は、NAP がネットワークへのクライアント アクセスを許可または拒否するかを判断する際に使用する、クライアント コンピューターについての情報です。クライアント コンピューターの正常性の状態の評価は、クライアント コンピューターの構成の状態を、正常性ポリシーで要求されている状態と比較した結果です。

正常性の判定基準の例としては、次のものがあります。

  • Windows ファイアウォールの稼働状態。ファイアウォールが有効であるか無効であるかを確認します。

  • ウイルス対策署名の更新状態。ウイルス対策署名が、提供されている中で最新のものであるかどうかを確認します。

  • セキュリティ更新プログラムのインストールの状態。クライアントに最新のセキュリティ更新プログラムがインストールされているかどうかを確認します。

クライアント コンピューターの正常性の状態は、NAP クライアント コンポーネントから発行される SoH にカプセル化されます。NAP クライアント コンポーネントは SoH を NAP サーバー コンポーネントに送信し、サーバー コンポーネントにより評価が行われ、クライアントが準拠しているか、および完全なネットワーク アクセスが付与されるかどうかが判断されます。

NAP では、定義した正常性要件をコンピューターが満たしているかどうかを確認することを、正常性ポリシーの検証と呼びます。NAP の正常性ポリシーの検証は、NPS によって実行されます。

NAP 強制のしくみ

NAP は、クライアント コンピューターの正常性を調べて評価するクライアント側のコンポーネント、クライアント コンピューターが準拠していないと見なされた場合にネットワーク アクセスを制限するサーバー側のコンポーネント、準拠していないクライアント コンピューターが完全なネットワーク アクセスを得られるように支援するクライアント側およびサーバー側のコンポーネントを使用して、正常性ポリシーを強制します。

NAP の主要な処理

ネットワーク アクセスを保護する上で、NAP はポリシーの検証、NAP による強制とネットワークの制限、修復と継続的な準拠という 3 つの処理に依存しています。

ポリシーの検証

NPS では、クライアント コンピューターの構成を NAP で検出、強制、および修復するためのクライアント正常性ポリシーを、SHV を使用して作成できます。

WSHA および WSHV により、NAP 対応コンピューターについて次のことを確認できます。

  • クライアント コンピューターにファイアウォール ソフトウェアがインストールされていて、有効にされている。

  • クライアント コンピューターにウイルス対策ソフトウェアがインストールされていて、実行されている。

  • クライアント コンピューターに、最新のウイルス対策更新プログラムがインストールされている。

  • クライアント コンピューターにスパイウェア対策ソフトウェアがインストールされていて、実行されている。

  • クライアント コンピューターに、最新のスパイウェア対策更新プログラムがインストールされている。

  • クライアント コンピューターで Microsoft Update サービスが有効にされている。

また、NAP 対応クライアント コンピューターが Windows Update エージェントを実行していて、Windows Server Update Service (WSUS) サーバーに登録されている場合、NAP は Microsoft のセキュリティ応答センター (MSRC) の 4 種類のセキュリティの重要度の値のいずれかを基に、最新のソフトウェア セキュリティ更新プログラムがインストールされているかどうかを確認できます。

クライアント コンピューターの正常性の状態を定義するポリシーを作成すると、ポリシーは NPS によって検証されます。ネットワーク接続処理中に、NAP クライアント コンポーネントは、SoH を NPS サーバーに送信します。NPS は、SoH を検証し、これを正常性ポリシーと比較します。

NAP による強制およびネットワークの制限

NAP は、準拠していないクライアント コンピューターのネットワーク アクセスを拒否するか、修復ネットワークと呼ばれる特別な制限付きネットワークへのアクセスのみを許可します。修復ネットワークでは、クライアント コンピューターは、ソフトウェア更新プログラムを提供する修復サーバーにアクセスできます。また、準拠していない NAP クライアントを正常性ポリシーに準拠している状態にするためのその他の主要な NAP サービス (正常性登録機関 (HRA) サーバーなど) にもアクセスできます。

NPS ネットワーク ポリシーの NAP 強制設定で、NAP を使用してネットワーク アクセスを制限するか、ネットワーク正常性ポリシーに準拠していない NAP 対応クライアント コンピューターの状態を監視するように構成できます。

ネットワーク ポリシー設定を使用して、アクセスを制限するか、アクセスの制限を遅らせるか、アクセスを許可できます。

修復

制限付きネットワークに接続された、準拠していないクライアント コンピューターに対して、修復を行うこともできます。修復は、クライアント コンピューターを自動的に更新し、現在の正常性ポリシーを満たすようにする処理です。たとえば、制限付きネットワークには、準拠していない、古い署名がインストールされているクライアントコンピューターのウイルス対策ソフトウェアの署名を自動的に更新するファイル転送プロトコル (FTP) サーバーが配置されます。

継続的な準拠

NAP では、既にネットワークに接続しているクライアント コンピューターに対しても正常性の準拠を強制できます。この機能は、正常性ポリシーが変更されたり、クライアント コンピューターの正常性が変化したりした場合でも、継続的にネットワークが保護されるため、便利です。たとえば、正常性ポリシーで Windows ファイアウォールが有効であることが要件とされている場合に、管理者が誤ってクライアント コンピューターのファイアウォールを無効にした場合、NAP はクライアント コンピューターが準拠していない状態であると判断します。NAP はこのクライアント コンピューターを組織のネットワークから切断し、Windows ファイアウォールが再び有効にされるまで、修復ネットワークにクライアント コンピューターを接続します。

NPS ネットワーク ポリシーの NAP 設定を使用して、クライアント コンピューターが準拠していない状態の場合に、NAP クライアント コンポーネントが自動的にクライアント コンピューターを更新するように自動修復を構成することができます。NAP 強制設定と同様に、自動修復もネットワーク ポリシー設定で構成します。


目次