(C)Macnica Networks Corp.
issue date: mar 1,2008



ネットワークアクセスコントロール(NAC)の標準化
―柔軟な拡張と投資保護を目指して―

NACの標準化
 企業は既にネットワークインフラの構築を完了しています。ゆえに、NACの導入を検討する場合、既設のネットワーク機器との親和性は避けては通れない課題のひとつです。 NACの標準化
 これは、NACの運用では“認証”、“隔離”と言った様々なネットワークの構成要素と密接に連携して動作する必要があることに起因しています。設計や運用フェーズの具体的検討を行うと、予想外の費用の発生や、運用が極めて煩雑になってしまうことなどが判明するケースも少なくありません。このため、NAC導入の必要性は感じていたとしても、導入に踏み切れないユーザも多いのではないでしょうか。

 業界としても、これらの課題認識の下にNACソリューションの標準化が進んでいます。これは、低コスト、低運用負荷のNACシステムを実現する為には、マルチベンダ環境下でも問題なくシステムの導入、運用を行える必要があり、それを実現する為のNACの標準化が急務であることがその背景にあります。具体的には、現在TNC(Trusted Network Connect)、NAP(Network Access Protection)、C-NAC(Cisco Admission Control)という3つの代表的な標準化技術が検討・策定され、既に多くのベンダーによってこれらの枠組みに沿った製品が開発、リリースされています。
戻る
TNC、NAP、C-NAC
 TNCとは、TCG(Trusted Computing Group)と言う業界団体の1 ワーキンググループであり、主に、ネットワークアクセスコントロールに関するアーキテクチャーの標準化推進を行っています。TNC準拠の製品であれば、異なるベンダー間の機器であっても相互に連携してNACシステムを運用することができます。また、TNC自体はEAPやTLSと言った多くの機器で採用された豊富な実績を持つ技術をベースにしている為、802.1xやIPSec、SSL-VPNといった日頃皆さんが使っているセキュリティ技術との親和性が極めて高くなっています。したがって、既に導入されている多くのネットワーク機器をサポート可能な為、相対的に安価でNACソリューションが導入できると言われています。

 次にNAPは、皆さん既にご存知の通り、Microsoft社の提唱するネットワークアクセス保護機能です。サーバサイドではWindows Server2008以降、クライアントサイドではWindows XP SP3以降で実装されています。

 最後にC-NACとは、シスコシステムズ社の主導するアライアンスです。同社のテクノロジーであるCisco Trust Agent2.0を基軸にNACソリューションを実現します。
 NACの標準化に当たっては、TNCとNAP間、C-NACとNAP間では既に相互運用が可能となっています。今後Windows Server 2008の販売開始に伴い、ユーザの選択の幅が広がっていくと思われます。   
戻る
TNCベースのネットワークアクセスコントロール
 ここからは、上述した3つの標準化方式の中から、TNCを中心にお話を進めていきたいと思います。
 TNCは、PDP(Policy Decision Point)、PEP(Policy Enforcement Point)、AR(Access Requester)と呼ばれる3つのコンポーネントでシステムを構成しています。また、オプションとしてTPM(Trusted Platform Module)をサポートしています。(TNC、TPMともにTCGのワーキンググループであり、ワーキンググループ相互間の連携ということになります。)
  PDP、PEP、ARの関係は下記の図のようになります。

TNCベースのネットワークアクセスコントロール

 簡単に言えば、PDPがポリシーの管理、配信、PEPがポリシーの執行、ARがクライアントのセキュリティ監視を行います。  
戻る
ジュニパー社のTNC準拠ソリューション
 次に、TNC準拠のアクセスコントロール製品として、米ジュニパーネットワークス社が提供する統合型アクセスコントロール(UAC)を題材に、具体的な導入やそのメリットをご紹介します。
 UACとは、Infranet Controller(IC)、Infranet Agent(IA)、Infranet Enforcer(IE)の3つのコンポーネントからなるNACソリューションです。IC、IA、IEの3要素を組み合わせることによって、柔軟なNACシステムを構築します。
 ICはいわゆるポリシー管理サーバとして動作し、TNC準拠のPDP(Policy Decision Point)として、ユーザの認証、IAの動的な配信、ユーザ別ポリシーのIEへの動的な配信等を提供する、UACの中核をなすアプライアンス装置です。同時接続数ライセンスの追加が可能で、最小は100ユーザから(IC4000の場合)、最大では25,000ユーザまで(IC6000の場合)NACの適用範囲に応じて順次拡張していくことが可能です。   Infranet AgentはTNC準拠のARとして、以下の2つのモードをサポートしています。
  1. エージェントモード
  2. エージェントレスモード
 1. のエージェントモードは、Windowsベースのソフトウェアエージェントを利用し、802.1xのサプリカントやHost Checkerから構成され、主に社内の管理端末の検疫、NAC機能を提供します。2. のエージェントレスモードは、Webベースのクライアントレス型で、主にはゲストアクセス等の管理外端末への検疫、NAC機能を提供します。
 IEは、TNCにおけるPEPに相当し、ICに設定されたポリシーを反映、ユーザ毎に きめ細かいアクセス制御を実施します。また、TNC準拠ではありませんが、UACでは ジュニパー社製UTMであるSSGシリーズもIEとして利用することが可能になっています。

 UACでは上述の3つのコンポーネントを組み合わせることにより、基本的なNAC機能を提供すると共に、TNC準拠の他社製品と連携して、よりセキュアなNACシステムの構築を実現します。もちろんNAPとの連携も将来的には可能になる予定です。
戻る
UACの導入例
 UACは、IEにおいてL2レベルでは802.1xのスイッチ、ワイヤレスアクセスポイントを、L3レベルではSSGシリーズをサポートしています。ゆえに、従来よりも柔軟かつ低コストでNACソリューションを提供することができます。特にSSGシリーズをエンフォーサーとして使用できることから、SSGシリーズの持つUTM機能(アンチウィルスやウェブフィルタリング機能等)のOn/Offをユーザ毎に設定する等、さらに拡張的な機能を提供することが可能になっています。
ユースケース : 分散ネットワーク環境
戻る
最後に
 NACの標準化はまだ始まったばかりで、Windows Server 2008が販売開始となるこれからが本格的な普及期になると思われます。導入にあたっては、標準化を踏まえた製品を選択することにより、投資の保護、柔軟なシステム設計、運用につながります。
 導入検討の際には、検疫方式やコストと言った主要な検討要素に加えて、標準化動向とその準拠状況をご確認いただくことをお勧めします。
戻る



● お問い合わせ先 ●
マクニカネットワークス株式会社 LANchBOX編集
E-mail:
TEL:045-476-1973
FAX:045-476-1976