コラム

Windows Server 2008 検証レポート

検証レポート Vol.9~ NAPと802.1Xの関係 ~

更新

CTCの独自視点を織り交ぜたWindows Server のポイントを解説

著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 09-0116

少々遅い新年のご挨拶を申し上げます。
昨年末にWindows Server 2008 RC1もリリースされ、製品リリースが待ち遠しい今日この頃。これまでNAPの検証を進めてきたわけだが、振り返る意味で今回はNAPで802.1Xを使う意義を考えたい。

802.1Xとは

最初に基本技術である802.1Xを確認する。 802.1Xは特定の条件に合致したコンピュータのみをネットワークに接続させるための技術である。スイッチやアクセスポイントといったネットワークデバイスがRADIUSクライアントとしてRADIUSサーバに資格情報を問い合わせる。RADIUSサーバがポリシーに合致するかどうかを判断し、その結果をRADIUSクライアントに返すことでネットワークへの接続が許可もしくは拒否される。その際に使用する資格情報としてはユーザー名とパスワード、あるいはコンピュータ証明書など、いくつかの手法が存在する。当初は無線LANで実装され、その後有線でも利用されることが多くなった。これは近隣から無線で接続されることを防ぐために実装が早かったということである。 古くからネットワークへの接続を制御する技術として、MACアドレスをスイッチに登録し、該当するクライアントPCのみをネットワークに接続させるという手法は存在する。しかし、この方法だとネットワーク構成によっては運用に多くの手間がかかることになる。 802.1Xの場合はRADIUSサーバに資格情報を問い合わせるため、スイッチ側での設定は簡素である。

Active Directory(AD)環境でのRADIUS

ADが構築されている環境の場合、Windows Serverのインターネット認証サービス(IAS)をRADIUSサーバとして利用することが多い。IASならばドメインのグループに対して接続を許可するという設定が簡単に行えるため、資格情報の管理はADのメンテナンスだけで済む。更にクライアントPCがドメインに参加した時点でコンピュータアカウントが登録されるため、接続を許可するコンピュータを特定のグループに所属させ、そのグループに対しアクセス権を定義することができるため、グループ単位での制御も可能である。なお、本コラムで利用しているネットワークポリシーサーバはIASの後継にあたり、802.1Xやダイヤルアップ用のポリシーの他にNAP用のポリシーが定義できるようになっている。

検疫 = NAP

NAPは「検疫ソリューション」といわれる機能で、クライアントPCの正常性を確認し、不適切なPCはネットワークから隔離するというものである。正常性の定義は難しいところがあるが、NAPはウィルス対策ソフトの状態やセキュリティ更新プログラムの適応状況を確認し、正常かどうかを判断している。不正と判断された場合には社内ネットワークから隔離され、正常な状態になるまではネットワークに接続できない。設定次第で強制的に修復処理を実施することも可能である。 NAPそのものは、あくまでもセキュリティレベルを保つための技術である。MicrosoftはWindows Server 2003時代にリモートアクセス専用の検疫技術は提供していた。それがWindows Server 2008では対象範囲が拡がり、社内LAN全体の検疫を行うことができる。セキュリティレベルの低いPCは隔離され、社内をセキュアな状態に保つことができるようになる。

NAPと802.1Xの融合

簡単にまとめると、802.1Xはユーザーやコンピュータを「認証」する技術。NAP( = 検疫)はクライアントPCのセキュリティレベルを保つ技術。 Windows Server 2008でこれらの技術が融合された結果が、「ネットワークへの接続が許可され、かつセキュリティレベルが保たれているコンピュータもしくはそれを利用することを許されたユーザー」のみがネットワークに接続できるというソリューションになった。つまり権限のあるユーザーであってもウィルス対策のパターンファイルが古い状態ならネットワークに接続することができない。逆にウィルス対策等をしっかりと行っていても持ち込みPCはネットワークに接続させないという制御が可能になる。

802.1Xを利用した場合のデメリット

NAPで802.1Xを利用すると確かにセキュリティレベルは高く保つことが可能になる反面デメリットも存在する。 NAPで802.1Xを利用する場合、当然ながら802.1Xに対応したネットワークデバイス(スイッチ)が必要になる。一般的には各クライアントPCが接続する末端のスイッチがすべて802.1Xに対応していなければならない(一部、HUB経由の接続も可能な機種もある)。往々にしてオフィスの末端では安価なスイッチを使い、それを集約するスイッチだけが高性能なものというパターンが多い。このような場合には、末端のスイッチをすべてリプレイスしなければ802.1Xを利用したNAPは使えない。場合によっては配線工事も必要になる。大規模な企業の場合には末端のスイッチも相当数存在すると思われるが、これらのスイッチにすべて同じ様に設定を行わなければならない。このように802.1Xを利用する場合には、導入コストがふくらむことが容易に想像できる。セキュリティに関する投資は重要ではあるが、コスト面を考えると難しいところがある。

やっぱり802.1X

デメリットはあるがセキュリティを確実に保つためには802.1Xを利用するのが望ましい。 NAPで802.1Xを利用した場合にできることを以下にまとめる。 802.1Xの認証方式としてPEAPを使うことでコンピュータレベルの認証を実現し、Active Directoryに登録されているクライアントPCのみがネットワークに接続できるようになる。更に正常性のチェックを行いセキュリティレベルがポリシーに合致したものだけが最終的に社内ネットワークに接続可能となる。もしセキュリティレベルが低い場合には、修復サーバに接続し、セキュリティレベルを健全な状態に修復させる。 802.1X以外の他の方式はソフトウェアレベルでの制御である。たとえば、DHCP構成のNAPの場合は、クライアント側で固定IPを設定してしまえば、NAPの制御はできなくなってしまう。その対策としてユーザーの権限設定やグループポリシーを活用してクライアントPCが確実にDHCPを利用するようにしなければならない。 802.1Xの場合、まずこの技術を利用して物理的にネットワークから隔離することができる。このメリットは大きい。更に検疫としてのセキュリティレベルの正常性チェックだけではなく、認証された正規のクライアントPCのみを接続させることができるため、情報漏洩対策としても有効な手段である。

  • このページについてツイッターでツイート(新しいウィンドウで開く)
  • このページをフェイスブックでシェア(新しいウィンドウで開く)

このコラムに関するお問い合わせはこちら

※記載内容は掲載当時のものであり、変更されている場合がございます。