PR

 ポリシーの実施を確認するため,WindowsO S に組み込まれるフレームワーク。米Microsoftが2004年7月に発表した。システム管理者がセキュリティなどのポリシーを設定し,クライアント機がそれに準拠していることが確認されるまで,社内ネットワークへの接続を保留する。

 NAPのような仕組みを総称して「検疫ネットワーク」と呼ぶ。食料品や動植物を海外から輸入するときに,病原菌が付着して一緒に入国するのを防ぐために税関などで実施する「検疫」に例えている。

 インターネットなど外部からの攻撃は社内LANとのゲートウエイ部においたファイアウオールで防げるが,ウイルスやワームに感染したPCが社内ネットワークに接続され,感染が拡大するケースには無力である。

 このような問題に対処するため,検疫ネットワークでは,パソコンがネットワークに接続されるタイミングで「セキュリティ・パッチが適用されているか」「ウイルス対策ソフトが有効か」「ウイルス定義ファイルが最新版か」――などをチェックする。要件を満たしていない場合は,接続を拒否したり,別セグメントのネットワークへ接続してパッチの適用などの処理を済ませた上で,社内ネットワークへ接続させたりする。

 2004年に入り,検疫ネットワークを実現する製品や構築サービスが相次いで登場している。ただし,検疫の仕組みや利用技術は異なっている。大手ネットワーク機器ベンダーの米Cisco Systemsは2003年11月に「NetworkAdmission Control (NAC)」という名称で,NAPと同様の仕組みを発表している。NACは,ルーターや認証VLAN(仮想LAN)機能を備えるネットワーク機器を使って検疫ネットワークを実現する。

 Windowsでは,Windows Server 2003のリソース・キットに含まれるプログラムを使い,リモート・アクセス接続時に検疫が可能となっている。Windows Server 2003 ServicePack 1では,これが正式にサポートされる。 さらにNAPが実装されれば検疫可能な範囲がLANを含むネットワークに広がる。

 MicrosoftとCiscoは2004年10月に,検疫ネットワーク実現技術の統合に向けてNAPとNACに互換性を持たせると発表した。NAPは当初Windows Server 2003の次期版「WindowsServer 2003 R2(開発コード)」の新機能だった。しかし,上記発表に伴い,その搭載はR2の次期版「Longhorn Server(開発コード)」へ延期された。