Enterprise Watch
バックナンバー

Windows Server 2008の検疫システム「NAP」を見る【最終回】

NAPに対応するベンダー各社の思惑

 前回までの記事では、NAPの概要と、その動作に関して説明したが、今回はそのまとめとして、NAPのパートナーとなっているアラクサラネットワークス株式会社(以下、アラクサラ)、株式会社ソリトンシステムズ(以下、ソリトン)、京セラコミュニケーションシステム株式会社(以下、KCCS)の3社に、パートナーから見た、NAPの持つ可能性についての話を伺った。


NAPは検疫の敷居を引き下げる

製品開発本部 先端技術企画部の黒崎芳行部長
 検疫ネットワークシステムは、多くの企業でその必要性が認められていながらも、なかなか導入に弾みがつかない面があった。製品開発本部 先端技術企画部、黒崎芳行部長はその理由を、「今までは、ネットワーク上の認証システムは普及していましたが、検疫システムというところまではなかなか普及していませんでした。これは、サーバー・クライアントの双方に検疫ソフトウェアを導入しなければいけないという理由が大きいでしょう。特に、クライアント側に検疫ソフトウェアを事前に導入しなければならないというのは、さまざまなOSのバージョンなどが存在する企業ネットワークにとって、大きな障害になっていました」と説明する。

 さらに別の問題として、「認証システムまでなら、ネットワーク機器などを管理するネットワーク管理者の範ちゅうでも、検疫システムになるとサーバー・クライアントもかかわってくるので、システムとして考えなければならなくなる。ネットワークとシステムの2つの部分をきちんと把握しているインテグレータや情報システム部門が少ないということもあるのではないでしょうか」という点を挙げ、これらの問題を克服するソリューションとして、NAPに関しては非常に期待をしていると話す。

 それは、サーバーやクライアントに標準装備としてNAPなどの検疫システムがサポートされることで、多くの企業において導入の敷居が下がると予想されるからだ。「Windows Server 2008とWindows Vista/XPの組み合わせで、簡単に検疫システムが構築できるとなれば、ユーザーとしても取り組みやすい。大企業では膨大な数のクライアントPCがあるので、これらのPCにいちいち専用ソフトをインストールしてメンテナンスしていくという手間を考えると導入に踏み切れなかったのが、NAPではすでに、クライアントPCにはNAPクライアントが標準で導入されているのですから、これが一変するかもしれません。OSを買うだけで検疫システムが導入できるということは、今までの検疫ソリューションから比べると非常にハードルが低くなっていることですので、検疫システムを使ってみようと思う会社が増えてくるのではないでしょうか」(黒川氏)。

 このような期待感もあり、アラクサラでもNAPについては早くから取り組みを進めていた。黒崎氏は「NAPに関しては、2005年にマイクロソフトとアライアンスを締結して、開発や検証を進めてきました。特に2007年には、いちはやく米国のNAPパートナープログラムにも参加して、Windows Server 2008での検証を進めてきました」と語る。


アラクサラのスイッチ製品の1つ、AX3600Sシリーズ
 しかしながら、マイクロソフトがサーバーやクライアントでNAPを標準サポートしても、NAPはあくまでもインフラ。Windows Server 2008で提供されているNAPシステムだけでは、高いセキュリティ性やシステムの構築は行いにくい。NAPにおいて実施メカニズムが802.1X認証のネットワークを構築した時は、すべてのスイッチを802.1X認証対応に変更しなければならなかった。これが、マイクロソフト製品だけを利用した場合の泣き所の1つになっている。しかし、スイッチベンダーであるアラクサラでは、これを拡張することで付加価値を提供できるようにしているという。

 黒崎氏はその付加価値について、「Windows Server 2008のNAPだけで、完全な検疫システムが構築できるわけではなく、実環境に導入できるようにしていくためには、例えば当社の『AXシリーズ』のような、高度な認証機能を持っているスイッチが必要になるでしょう」と説明する。802.1X認証対応のスイッチであるAXシリーズなどでは、ネットワークの上流に配置し、MAC認証の機能などを併用することで、認証関連の機能をすべて提供できる。このため、すべてのHUBを802.1X認証のスイッチに交換しなくても、つまりネットワーク内に認証機能のないスイッチが残っていても、802.1X認証ベースのNAPシステムが利用可能になる。つまり、企業にとっては、すべてのネットワーク機器を交換しなくていいため、高いセキュリティ性を持つ検疫システムを簡単に導入できるのだ。

 黒崎氏はこうした、インフラとしてのNAPについて、「スイッチだけでなく、さまざまなサードパーティがNAPにソフトやソリューションをリリースするかどうかで、NAPが使えるシステムになるかどうかが決まるのではないでしょうか」との見方を示していた。


NAPに足りない部分がサードパーティのビジネスチャンス

事業開発本部 プロダクトマーケティング部の正木淳雄部長
 一方、インテグレータとしての立場から、長年検疫ネットワークに取り組んでいたソリトンでは、どのようにNAPをとらえているのか。

 まず検疫ネットワーク全体について、「当社では、数年前から検疫システムのソリューションを提供していました。特に、認証アプライアンスの『Net’Attest』は、IIJやNTTコミュニケーションズなどの持ち込みPC対策などのサービスに利用されています。こういったビジネスを行っていた中で、検疫システムというものは、多くの企業が業界標準のもとにハードウェアやソフトウェアをリリースしていかないと、ユーザーにとって満足いくシステムにはならないと感じていたのです。やはり、Aというソフトを使うと、A社の検疫システムを使わなければならなくなり、Bというソフトが使えないということでは、ユーザーは導入してくれません」と語るのは事業開発本部 プロダクトマーケティング部の正木淳雄部長。

 ソリトンでも、現状の検疫における問題点を打開するために、さまざまな取り組みを進めてており、例えばTrusted Computing GroupのTNCインターオペラビリティなどへ参加して研究・開発を行っていたという。今回のNAPに対してのスタンスもこれと同様とのことで、正木氏は「マイクロソフトが開発した仕組みですが、TNCなどとの連携もできていますし、何よりも数多くのクライアントやサーバーがWindowsで動作していることを考えれば、NAPは事実上のデファクトスタンダードといっていいと思います。さらに、NAP自体もクローズドなシステムではなく、APIがオープンにされているため、いろいろなサードパーティが参入できる点もメリットでしょう。Windows Server 2008のNAPにより検疫システムがサポートされることで、ユーザーにも『検疫』というキーワードが頭の中に入ってくれば、実際に検疫システムを構築していこうというモチベーションも上がってくると思います」と述べ、NAPとの連携を積極的に行っている理由を説明した。

 ただし、NAP単独では問題点が多いという認識は同じように持っている。正木氏は「確かに、マイクロソフトが提供しているNAPだけでは、ユーザーの満足のいく検疫システムは構築できないでしょう。こういった部分は、当社などのサードパーティがビジネスをしていく部分になるのだと思います。やはり、1つの企業がクローズドな状況で検疫といったソリューションに取り組むには限界があり、業界の多くの企業がオープンに参加できないと、普及していかないのではないでしょうか。Windows Server 2003、Windows XP SP2/2000/NTといった古いOS、MacやLinuxといった他社OSなどがNAPで標準サポートされないのは、非常に残念です」とも述べる。


 そこで同社では、NAPに足りない部分をパートナーとして補完すべく、NAPの拡張ソリューションを提供する予定だ。「NAPをサポートしたシステムを提供するといっても、802.1Xなどの認証システムなら、もともとNAPがサポートしているため、特に対応しなくてもそのまま利用できます。これでは、当社の技術を生かすことはできません。そこで考えたのが、NAPで導入が簡単なDHCPサーバーによる認証をより強固にするシステムです。IPアドレスを知って、固定アドレスを使用した端末などは、DHCPベースのNAPでは検疫をくぐり抜けてしまいます。また、正規ではない偽装DHCPサーバーがネットワーク上に設置された場合も、同じように検疫をくぐり抜けてしまいます。こういったことを、チェックしたり、検疫が破られないようにしたりするシステムを提供しようと計画しています。また、顧客の要望があれば、古いOS向けのSHV提供などを当社がするかもしれませんね」(正木氏)。なおソリトンでは1月30日、DHCPでのNAPをより強固にするソフトウェアを、H3Cのスイッチに導入することを発表。NAPの補完ソリューション提供に向けてスタートを切った。

 検疫システムは、何か大きな事件があると注目されて、企業での導入が検討されるが、結局時間が経てば積極的に導入しようというモチベーションが下がってくる。こうした状況の中ソリトンでは、マイクロソフトの“Windows標準による検疫システム”導入が、業界全体へ与えるインパクトは非常に大きいととらえ、それをビジネスに結びつけようとしているようだ。


NAPプラスアルファで新しいビジネスが生まれる

プロダクトサービス事業本部副本部長兼セキュリティ事業部長の徳丸浩氏

Lockdown Enforcer
 KCCSも、インテグレータとしての立場から、検疫ネットワークへ取り組んできた1社で、その一環として米Lockdown Networksのネットワークアクセス制御アプライアンス「Lockdown Enforcer」を販売している。

 「Lockdown Enforcerは、ある意味NAPのライバル製品といえるかもしれません。Lockdown Enforcerがあれば、Windows Server 2008がなくても検疫システムを構築することができますからね。さらに、Windows Server 2008ではサポートされていないようなMac、Linux、モバイルなどエージェントレスの検疫も行えます」と語るのは、プロダクトサービス事業本部副本部長兼セキュリティ事業部長の徳丸浩氏だ。

 それではなぜ、同社がNAPのパートナーになっているのか。「Lockdown Enforcerだけでも検疫システムは構築できますが、スケール面、費用面などからも、すべてのお客様のすべてのネットワークにこの製品が導入していただけるわけではありません。NAP標準の検疫をメインとして使いつつ、きめ細かい制御を行いたい部分にはLockdown Enforcerによる検疫を提供することで、導入コストを抑えることが可能になります。またNAPに対応していないデバイスに対しても、Lockdown Enforcerのエージェントを導入したり、Lockdown Enforcerのエージェントレス検疫を利用したりして、企業で利用するさまざまなデバイスへの検疫が実現できますし、NAPで管理しているポリシーと連携して、ポリシー判定やデバイス情報を一元管理をすることができます。これは、NAPとLockdown Enforcerの組み合わせによって可能になります」(徳丸氏)。

 またKCCSでも、検疫ネットワーク市場の拡大という点について、マイクロソフトがNAPをリリースすることを歓迎している。徳丸氏によれば、検疫システムは、大企業においては導入期の一歩手前の状況とのことだ。多くの企業では、検疫システムの有効性を判って、自社のITシステムにどのような検疫システムを導入しようかと検討している状況というが、こういったタイミングにマイクロソフトがWindows Server 2008でNAPという検疫システムをリリースするのは、ユーザーの目が検疫システムに向いてくれることになると考えている。

 「日本では日本版SOX法がいよいよ始まり、さまざまな作業が現在行われていますが、この流れは、ITへも必ず波及していきます。実際、当社の多くのお客様は、ITにおいてもきちんとした内部統制やコンプライアンスの強化を行っていかなければと感じていらっしゃいます。こういうことからも、検疫システムだけでなく、ITのポリシー管理を徹底するシステムの必要性は非常に高まっていると思います」(徳丸氏)。


NAPには期待…でも?

 各社に話を聞いてみても、NAPに対しては大きな期待を持っていることは感じられた。ただ、NAPだけでは、ユーザーが期待しているような検疫システムは構築できないだろうと思っていることも共通していた。各社は、この部分こそがビジネスになるのではと考えているようなのだ。

 さらに、マイクロソフトがWindows Server 2008というビッグプロダクトにおいて、NAPを大きく打ち出すことで、検疫システム自体にも注目が当たり、多くの企業でも本格的な導入になるのでないかと期待しているようだ。確かに、Windows Server 2008でインフラとなるNAPが提供されることで、検疫システムを構築するハードルも低くなる。またWindows VistaやXP SP3のみではあるが、標準でNAPエージェントが入っていることは、検疫システムを構築する上では非常にやりやすくなる。専用のエージェントプログラムが必要なシステムでは、実際に現在利用しているクライアントPCにエージェントを導入する手間だけを考えても、気が遠くなる作業が発生する。VistaのようにすでにNAPエージェントが入っていたり、XP SP3に同梱されているということなら、検疫システムを導入しやすくなるだろう。

 ただし、ここにも大きな問題がある。現在、NAPで提供されているエージェントは、OSのセキュリティセンターがベースとなっている。このため、各企業が独自にインストールしているウイルス対策ソフト、パーソナルファイアウォールなどは、チェックはできるが、細かなコントロールまではできない。前回の記事であったように、クライアントPCにサードパーティのファイアウォールが入っていても、自動修復を選択するとマイクロソフトのWindowsファイアウォールをオンにしてしまう。このあたりは、企業向けのウイルス対策製品などのサードパーティ製品がNAPへ対応するのを待つ必要がある。

 筆者がベンダーへ取材したところでは、例えばシマンテックでは、将来バージョンでNAPへの対応を計画しているという段階。またトレンドマイクロでも、次バージョンのウイルスバスター コーポレートエディションでNAPに対応するようで、このように、ウイルス対策ソフト1つとっても、まだまだNAP対応は進んでいない。


NAPは、System Center Configuration Manager(SCCM)2007と連携して動作する。SCCMを利用することで、柔軟なクライアントPCの更新が可能だ
 かといって筆者は、NAPなどの検疫システムが普及しないと考えているわけでない。内部統制やコンプライアンスといった点が重要視されている状況では、検疫システムを用いることで、ウイルスに感染したノートPCが社内ネットワークに持ち込まれ、ウイルスが拡散するといったことを防止できるだけでなく、きちんとしたIT管理を実現できる可能性がある。こういった部分で、企業のITシステムからの検疫ネットワークへ対する期待は大きい。

 ただしこのようなシステムを実現するためには、単なる検疫というだけでなく、Active Directoryなどと連携した社内のクライアントPCやIT利用に関するポリシー管理など、幅広い機能が必要になる。現状のNAPは、ベーシックな検疫インフラを提供しているだけであり、これを実際に企業が求めるソリューションとして発展させていくためには、マイクロソフトのSystem Center製品群や同等の機能を持ったサードパーティ製品などの、システム管理ソフトウェアとの連携が重要になってくるだろう。



URL
  アラクサラネットワークス株式会社
  http://www.alaxala.com/jp/
  株式会社ソリトンシステムズ
  http://www.soliton.co.jp/
  京セラコミュニケーションシステム株式会社
  http://www.kccs.co.jp/

関連記事
  ・ Windows Server 2008の検疫システム「NAP」を見る【第一回】(2008/02/22)
  ・ Windows Server 2008の検疫システム「NAP」を見る【第二回】(2008/02/29)


( 山本 雅史 )
2008/03/07 09:00

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.