PR

【問題】
 Windows Server 2008に追加されたネットワーク・アクセス保護(NAP)に関する記述として正しいものはどれでしょうか。

A. ネットワーク上のデータを暗号化することで,ネットワーク資産の保護を強化できる
B. システムの正常性要件への準拠を強制することで,ネットワーク資産の保護を強化できる
C. TPM(トラステッド・プラットフォーム・モジュール)に保存した証明書を使った認証をすることで,ネットワーク資産の保護を強化できる
D. Windows Server 2008またはWindows Server 2003を実行するサーバーと,Windows Vista,Windows XP Service Pack 2(SP2),またはWindows Server 2008を実行するクライアントが必要である

正解:B

【解説】

 Windows Server 2008では,ネットワークのセキュリティを維持するための機能としてネットワーク・アクセス保護(NAP)が追加された。NAPはネットワークに接続されるクライアント・コンピュータが特定のポリシーを満たしているか検証し,要件を満たしたクライアント・コンピュータだけがネットワーク上のリソースにアクセスできるようにする機能である。よって正解は選択肢Bである。

 管理者は「正常性ポリシー」として,必要な更新プログラムがインストールされているかなどの要件を定義する。NAPでは,正常性ポリシーを検証し,コンピュータが正常性ポリシー要件に準拠しているかどうかを判断する(図7-1)。

図7-1●NAPの仕組み
図7-1●NAPの仕組み

 NAPでは,以下の機能によって,ネットワーク資産を保護できる。

  • ネットワーク・アクセス制限
     正常性ポリシーに準拠しないコンピュータからのアクセスを制限する
  • 自動修復
     正常性ポリシーに準拠しないコンピュータを準拠状態に移行するために必要な更新を提供する
  • 継続的な準拠
     運用中に正常性ポリシー要件が変更された場合にその変更に準拠するように,正常性を確認済みのコンピュータを自動的に更新する

 NAPは,ネットワーク上のデータを暗号化による保護機能ではない。ネットワーク上のデータを暗号化するには,IPsecなどの暗号プロトコルを使用する。したがって選択肢Aは誤りである。

 BitLockerドライブ暗号機能では,TPMに復号キーを保存することもできるが,NAPではTPMを使用しない。したがって選択肢Cは誤りである。

 NAPサーバーの機能は,Windows Server 2008で提供される。Windows Server 2003では,リソースキットやSP1,R2で提供される「ネットワーク・アクセス検疫制御機能(NAQC)」が利用できるが,NAQCはダイヤルアップまたはVPN接続などを使用して外部から接続するコンピュータから内部のコンピュータを保護する機能であり,内部で接続するコンピュータからはネットワークを保護できない。つまりNAPは,Windows Server 2003を実行するサーバーでは実装できない。したがって選択肢Dは誤りである。

 Windows Server 2008では,NAPの管理ツールとして,マイクロソフト管理コンソール(MMC)用に[ネットワーク ポリシー サーバー]スナップインが新たに提供される(図7-2)。管理者は,このツールを使用して正常性検証ポリシーを定義する。

図7-2●正常性検証ポリシーを定義する[ネットワークポリシーサーバー]スナップイン
図7-2●正常性検証ポリシーを定義する[ネットワークポリシーサーバー]スナップイン
[画像のクリックで拡大表示]

 また,正常性検証のルールもスクリプトを書く必要がなくなった

図7-3●正常性検証ツールの構成画面
図7-3●正常性検証ツールの構成画面