全4979文字
PR

ネット君 博士、自宅から持ってきたノートパソコンが大学のネットワークにつながらないんですけど。

インター博士 ネット君、私物のパソコンをつなぐには申請が必要なはずだぞ。

ネット君 あー……。それでつながらないのか。

インター博士 アクセスコントロールがかかっているからな。

 ネットワークセキュリティーの1つに「許可されたユーザー以外はネットワークを利用できないように制限する」というものがある。このようにしてセキュリティーを守ることをネットワークアクセスコントロールやネットワークアドミッションコントロールと呼ばれる。NACと略される。

 最も身近なNACはユーザー認証だ。ユーザーIDとパスワードの組み合わせや電子証明書といった認証情報を使って「認証」と「認可」を実施する。

 ここでの認証とは、アクセスしようとしているユーザーが誰であるのか確認することを指す。一方認可は、ネットワークに存在する特定のリソース(資源)を利用する権限を与えることである。

 認証と認可により、ネットワークを利用できるユーザーを制限するとともに、利用できるリソースの種類や範囲を限定する(図1)。アカウントを持たないユーザーはネットワークに接続できない。アカウントを持つユーザーであっても、許可されたリソース以外は利用できない。これにより、ネットワークのセキュリティーを維持する。

図1●ネットワークへの接続や利用できるリソースを制限
図1●ネットワークへの接続や利用できるリソースを制限
ネットワークアクセスコントロール(NAC)は、ネットワークに接続できるユーザーや機器ならびに利用できるリソース(資源)を制限することで、ネットワークのセキュリティーを維持する考え方や実装方法のこと。
[画像のクリックで拡大表示]

 また、NACではユーザー(人)だけではなく、ユーザーが使う機器(デバイス)を制御することもできる。機器に対する認証および認可は機器認証やデバイス認証と呼ばれる。

ネット君 ははぁ、僕のノートパソコンがつながらなかったのはこのためなんですね。

インター博士 そうだな。登録していない機器はネットワークに接続させないことでセキュリティーを担保する。

危ない機器はつながせない

 機器の接続を制限するNACの目的は、攻撃者の不正な機器をつながせないことだけでない。正当なユーザーが使用する承認された機器であっても、ネットワークのセキュリティーレベルを低下させる可能性がある場合には接続させないのもNACの目的である(図2)。

図2●機器の状態をチェックして接続の可否を判断
図2●機器の状態をチェックして接続の可否を判断
機器の接続を制限するNACでは、未登録の不正な機器をネットワークにつなげず、リソースも利用できないようにする。さらに登録された機器であっても、アップデートを適用していない場合、指定のソフトウエアをインストールしていない場合、許可されていないソフトウエアをインストールしている場合などは接続させない。
[画像のクリックで拡大表示]

 その一例がソフトウエアのアップデートを適用していない場合である。ベンダーが提供するアップデートを適用していないと、該当のソフトウエアには脆弱性が残る。このためその脆弱性を悪用されて不正アクセスされたり、ウイルス(マルウエア)に感染したりする恐れがある。

 特定のソフトウエアがインストールされていない場合も対象になる。例えば、企業が指定したセキュリティーソフトが該当する。

 逆に企業が許可していないソフトウエアをインストールしている場合も制限の対象になり得る。ソフトウエアの中には脆弱性が見つかってもアップデートが提供されないものがあるためだ。ユーザーがインターネットから入手したソフトウエアにはウイルスが仕込まれている恐れもある。特に違法コピーされた海賊版ソフトが危ない。