Windows標準の検疫ネットワークは使えるか

この記事をtweetする このエントリーをはてなブックマークに追加

掲載日 2013/08/19

ザ・キーマンインタビュー Windows標準の検疫ネットワークはどこまで使える?

IT管理者にとって何かと悩みの多いクライアント管理において、ユーザの利便性と管理側の効率性を両立させるための1つの答え、それが検疫ネットワークの導入だ。しかも、Windows Server 2012に標準搭載されているNAP(Network Access Protection)を用いれば、コストをかけずに検疫体制を構築できる。今回はNAPの特長や今後、実装の際の注意点などを、伊藤忠テクノソリューションズの杵島氏に伺った。

伊藤忠テクノソリューションズ株式会社 企業サイトへ

杵島 正和 氏

ITエンジニアリング室 プラットフォーム技術部
ICTソリューション推進課
杵島 正和 氏

クライアント管理ではユーザの利便性と管理側の効率性を両立させたい

Question

BYODやテレワークなど、企業システム/ネットワークへのアクセスが多様化する中、クライアント管理においては、ユーザの利便性と管理側の効率性をいかに両立させるかが常に課題になるわけですよね?

Answer

伊藤忠テクノソリューションズ株式会社:杵島 正和 氏

勝手に持ち込まれたPCをネットワークに接続させたくない、外部から社内にアクセスさせる際にセキュリティポリシーと整合性をどう担保するかなど、クライアント管理の悩みは増える一方になっています。もっと基本的な部分でも、例えば、最新のセキュリティパッチを確実にクライアントOSに適用、アンチウイルス製品のパターンファイルを最新に保つといったことすら、いまだにままならないという管理者の方も意外と多いのではないでしょうか。

 すべてのクライアントを厳密な管理下に置きつつ、IT資産管理製品などに装備されているリモート管理機能やソフトウェア配布機能を利用して、「強制的にセキュリティを最新の状態に保つ」のも1つの手と言えますし、実際にそうしている企業も少なくないでしょう。しかし、あまり厳しい設定でがちがちに固めてしまうと、ユーザの利便性が低下し、その反動で勝手な行動を招き、社外のファイルストレージサービスに重要なファイルを置いてしまうなど、かえって情報漏洩のリスクなどを高めてしまうこともありえます。そうしたユーザの利便性と管理側の効率性をどうバランスをとるかという課題に対して、1つの答えになりうるのが、検疫ネットワークの導入だと考えます。

Question

社内のセキュリティポリシーに準拠しないPCからのアクセスを制限するという方法ですね?

Answer

検疫ネットワークにはアプライアンスや認証スイッチを用いるなど、様々な方法がありますが、Windows Serverの標準機能としても搭載されており、現在では比較的容易に実現可能と言えます。検疫ネットワーク自体への注目度は、情報漏洩やセキュリティ事故が多発した時期には非常に高まったものの、現在はやや落ち着いた状態ですが、その一方で「サーバOSの標準機能で実現できるなら…」と検討し始める企業も少しずつ出てきているという印象です。

 もともと、検疫ネットワーク機能自体はWindows Server 2003にも導入されていましたが、これはリモートアクセスでVPN接続してきたクライアントのみを対象としたもので、ローカルネットワーク内のPCに関しては考慮されていませんでした。Windows Server 2008でNAPサーバとして実装され、クライアント側の最新OS、つまりWindows Vista、そしてWindows XP(SP3)にもNAPクライアントが標準搭載されました。その後、XPからWindows 7/8への切り替えの流れの中で、NAP(NetworkAccess Protection)も再度注目されるようになったという傾向はあるかと思います。実際に「こういう構成で実装できるのか」「実装するためにはどうすればいいのか」といった相談をいただくことも少し増えています。

図1 NAPの動作イメージ
図1 NAPの動作イメージ
出典:伊藤忠テクノソリューションズ、2013年8月

このページの先頭へ

検疫は段階的に展開したほうが、結果的にスムーズに進められる

Question

Windows Serverに標準搭載されているNAPでは、具体的にどのようなことが実現可能なのでしょうか?

Answer

伊藤忠テクノソリューションズ株式会社:杵島 正和 氏

NAPでは、接続してきたクライアントが、ネットワーク接続に必要なシステムのポリシーに準拠しているかを検証し、正常性ポリシーの要件に準拠しないコンピュータに対してはネットワークリソースへのアクセスを制限します。また、準拠/非準拠の状況に応じたアクションを規定することが可能で、非準拠のコンピュータに対して自動もしくは手動での修復手段を提供することもできます。これにより、先ほどのような、セキュリティパッチが当たっていないPCをネットワークに接続させないようにしたり、アンチウイルスのパターンファイルを更新するようにユーザを誘導するといったことが実現できるわけです。また、標準機能だけではなく、うまく仕組みを作って追加することで、特定のアプリケーションがインストールされているPCを検疫することなども可能になります。

図2 ネットワークポリシーの適用フロー
図2 ネットワークポリシーの適用フロー
出典:伊藤忠テクノソリューションズ、2013年8月

Question

Windows Server 2012ではNAPにも変更があったのでしょうか?

Answer

機能面の変更はありません。変更されたのは管理面で、サーバの役割の変更、つまり、ネットワークポリシーとアクセスサービスからRRAS(Routing and Remote Access Service)が分離されたことと、PowerShellによる構成と管理が可能になったことくらいでしょう。

Question

これからNAPを利用した検疫ネットワークを実現しようという企業では、どのような点に注意しつつ、導入を進めるべきと言えますでしょうか?

Answer

いきなり全社的に導入して、しかも、きっちりとした検疫体制に切り替えるのはおすすめしません。検疫の実施を宣言したとしても、ユーザにとっては「よく分からないけど、ネットワークにつながらなくなった」というふうに見えてしまうため、初日はヘルプデスクの電話が鳴り止まない事態になりかねません。更に、その結果、社内インフラの品質、あるいは情報システム部門への信頼感が損なわれることになってしまうとお互いに不幸です。

 NAPは段階的な展開が可能なので、それをうまく活用すべきではないでしょうか。ただ、段階的とひと口に言っても、適用範囲を段階的に広げていく、あるいは、設定を徐々に厳しくしていくという2パターンが考えられますので、どちらを選ぶべきかは管理者がしっかりと判断する必要があるでしょう。前者は、特定の部署で開始して、その後、対象を広げていくといったやり方です。また、後者は、最初から全社的に開始するものの、いきなり制限はかけず、まず注意喚起から始めて、状況を見ながら緩やかに絞っていくという方法になります。特に、後者の場合は、1ヵ月、2ヵ月と時間をかけて、少しずつ設定を厳しくしつつ、最初のうちは警告を表示するだけでネットワークには接続させるというアプローチにすれば、社員を徐々に啓蒙していく流れができますので、よりスムーズに進められるのではないかと考えます。


このページの先頭へ

Active Directoryでスマートデバイスの管理も可能に

Question

Windows Server 2012 R2の機能が少しずつ明らかになっていますが、クライアント管理に関して、注目すべき機能などはありますでしょうか?

Answer

伊藤忠テクノソリューションズ株式会社:杵島 正和 氏

冒頭でBYODの話が出ましたが、少なくとも現状のNAPの対象はNAPクライアントを搭載したWindows PCのみで、スマートフォンやタブレットなどのデバイスは検疫ではカバーできません。ただ、こうしたデバイスの社内への浸透は既に無視できない段階に入っているのも事実ですから、マイクロソフトとしても、検疫に代わる、何か別の新たな端末認証の仕組みを作ろうとしている可能性はあると思います。その意味で、Windows Server 2012 R2ではActive Directoryにデバイス管理の機能が取り入れられるという点に注目しています。

 具体的には、Device Registration Service(DRS)、つまり、Active Directoryにデバイスを登録するための機能を用いることで、Windows PC以外のデバイスでもWorkplace Joinと呼ばれる機能を介して、Active Directoryの管理下に入れられるようです。実際にリリースされないと、詳細は分かりませんが、Windows RT、Windows Phone、iOS、あるいはAndroidなどでもActive Directoryに参加可能になるのではないでしょうか。

 この端末認証が実現すれば、2つのメリットをもたらすことになります。1つは企業の資産にアクセスするために、デバイスをActive Directoryできちんと認証できるということ。そして、もう1つは標準機能でデバイスのシングルサインオンを実現できることです。これまで、スマートフォンやタブレットなどを社内に展開する際には、複雑な仕組みを用意して、シングルサインを行っていたケースも少なくありませんが、Windows ServerとActive Directoryの標準機能として実現できるのは、スマートフォンやタブレットのビジネス利用において大きな前進につながるのではないでしょうか。


●ありがとうございました。


取材協力

伊藤忠テクノソリューションズ株式会社 企業サイトへ

コンサルティング、製品の調達、インフラ構築からシステム開発、データセンタの運用・保守まで、広くサポートする総合ITベンダ。フロント系基幹システム、オープン系大規模基盤システム、データセンタを活用したアウトソーシングなど、特定の業種・業務に強みを持つユニークさとともに、ITライフサイクルをトータルにサポートできる総合力を備えている。


このページの先頭へ



◆関連記事を探す

検疫関連/Windows標準の検疫ネットワークは使えるか」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「検疫関連」関連情報をランダムに表示しています。

検疫関連」関連の製品

検疫ネットワーク・IT機器管理 iNetSecシリーズ 【PFU】
ネットワーク管理
iNetSecは、企業で利用されているPC・スマートデバイスなどの様々なIT機器の把握・不正接続防止・利用者認証・ポリシー徹底によりセキュリティ対策を支援。

検疫関連」関連の特集


モバイル端末の業務利用が進む中、「検疫ネットワーク」に再注目!「管理画面が“真っ赤”なアラートで埋め…


「Windows」関連の製品

限られた空間に演算能力を凝縮する NeXtScale System 【レノボ・ジャパン株式会社】 Windows Server 2012 【日本マイクロソフト】 「Windows as a Service」とは Windows 10から変わるサービスモデル 【日本マイクロソフト】
Windows Windows Windows
ハイエンドな3DCG制作で、舞台裏を支えるITインフラの正体 ●クラウド技術を搭載した、仮想化/クラウド対応の最新WindowsサーバーOS。
●「Windows Server 2008 R2」をベースに、180以上に及ぶ機能強化を果たしている。
「Windows as a Service」とは Windows 10から変わるサービスモデル

「サーバー」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30006493


IT・IT製品TOP > Windows Server 2012 > サーバー > Windows > WindowsのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ