著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 11-0130
これまで8回にわたってNAPの動作に関してご紹介してきたが、いかがだったであろうか。NAPの機能そのものは、ベータ版とはいえ完成度は高く、機能そのものに大きな問題はないと思われる。
製品版のリリースも直近に控え、実際に導入するにあたって考えておかなければならないことをまとめておこう。
NAPを導入する目的
NAPを導入することでユーザー(システム管理者)が得られる最大の利益は「クライアントのセキュリティレベルを一定に保つ」ことである。NAPの基本的なアーキテクチャのなかには「悪意あるコンピュータ(ユーザー)の排除」は目的としていない。したがってNAPの導入を考える際には、当然のことではあるが「セキュリティレベルの均一化」なのか、それとも「まずは持ち込みPCの排除」を行ってから、「セキュリティレベルの均一化」を行っていくのかをよく検討する必要がある。その後、実際のNAP導入を検討するわけであるが、今回検証した3方式について、メリット/デメリットについて簡潔にまとめておく。
| メリット | デメリット | |
|---|---|---|
| DHCP |
|
クライアントで固定IPを構成されるとNAPの制限が回避されてしまう |
| IPSec |
|
|
| 802.1x | ポート単位でネットワークアクセスの範囲を制御し、また認証も行えるため、認証を通過したクライアントに対してポリシーを適用することができる |
|
NAP導入にあたって
ひとつ気になることがある。現在のNAPの機能のなかにクライアントの検疫に関するレポーティングの機能が見当たらないのだ。確かにNPSサーバ上のイベントログでは個々のクライアントに関しての処理イベントは残されている上、Windows Vistaであればサービスのログからも情報を収集することができる。しかし、これでは全体の統計データを確認することが困難である。何割のクライアントが制限付きアクセスになっており何割のクライアントが健全かといったことを確認したい場合などは、非常に手間のかかる作業となってしまうであろう。MOMあるいはSCCMとの連携も視野に入っているのかもしれないが、もう少し詳細な情報がほしいところである。
NAPのこれから
現在、企業ネットワークにおいてセキュリティ要素の取り扱いは重要視されることはあっても軽視されることはないだろう。従来のウイルススキャンとネットワーク監視だけでは不十分になりつつあると言える。そのなかでNAPは注目を集めているとも言えるが、どのように展開していくのであろうか。NAPのアーキテクチャはサーバでの集中管理を行うため、NAPエージェントをOSに取り込んでいる。そのためWindowsに特化したものと考えられがちであるが、実際のところWindows以外のOSに対してもNAPエージェントを提供することが検討されているようだ。また、NAPパートナーとして協業パートナーが存在しており、それらのパートナーによりNAP上でウイルススキャンやスパイウェアだけでなく、他のセキュリティチェックが可能になるかもしれない。もちろん現時点ですべてが明らかになっているわけではない上、いきなりすべてが完成した形で出てくるわけではないが、将来性は十分にあり得ると確信している。
(PDF/3.3MB)
