Microsoftの検疫システムNAPの記事キタ━━━━(゜∀゜)━━━━ !!!!!

社内ネットワークに接続するユーザーが正社員だけでなく、派遣やパートやアルバイトなどの非正規雇用が増えるなど、大きく変わってきている。このような状況で、今のITシステムには、高いセキュリティ性と使いやすさを共存させることが求められている。これを実現するためには、ルールを守るように指導するだけでなく、トラブルを未然に回避するシステムを組み込んでおく必要があるだろう。そこで今回から3回にわたって、マイクロソフトが提供する検疫システム「Network Access Protection（NAP）」を紹介していく。

基本的な検疫ネットワークの考え方ですね。

NAPを利用すれば、ネットワークに接続したPCがOSのアップデート（パッチ適用）をさぼっていないか、会社で定めたウイルス対策ソフトの定義ファイルアップデートをさぼっていないか、などを事前にチェックすることができる。また、ユーザーがPCの設定を変更して、企業で定めたルールにマッチしていない設定にしていないか（ユーザーによっては、ウイルス対策ソフトやパーソナルファイアウォールなどの動作が重いといって、動作を止めている場合がある）などをチェックする。

NAPがLinuxやMacOS Xで動作するような開発をしているんだ！！！！！！！！！！これは驚き。

NAPのベターは802.1X対応スイッチが一番。

NAPにおいて、強固なネットワークを構築できるのが、802.1X対応のスイッチを導入したネットワークだ。802.1Xは、ポートごとに認証を行いアクセスをコントロールすることができる。NAPでは、この機能を利用して、ネットワーク自体でユーザー認証を行うため、DHCP方式を利用するよりも、セキュリティが高いネットワークが構築できる。

DHCPなら簡単にNAPを構築が可能との事。ハードに依存しないところで手軽って事ですね。

もっとも手軽にNAPが構築できるのは、DHCP方式だろう。この際、802.1X対応のスイッチなど特別なハードウェアなどは必要なく、DHCPサーバーだけで構成できる。ただし手軽な分、セキュリティ面では、802.1X認証による検疫システムに比べると劣る。

検疫の動きですが基本はヘルスチェック→検疫→アップデート→通常接続って話ですね。

NAPとNACの連携についてのお話ですが、NAPがNACの802.1Xでの対応や、ポリシーサーバがNACのアクセスコントロールサーバと連携して動作することが出来るそうです。

NAPとほかのネットワークアクセス制御との連携

NAPはあくまで、一企業であるMicrosoftが提供するネットワークアクセス制御のプラットフォームであり、NAPが世の中に唯一のネットワークアクセス制御というわけではない。大手ベンダーとしては、ネットワーク機器の大手Cisco Systems（以下、Cisco）がNetwork Admission Control（NAC）というプラットフォームを提供している。NAPは、このCisco NACと連携して動作することができる。
Cisco NACでは、802.1XをサポートしたCiscoのスイッチやルータがポリシーの強制ポイントとなり、それを管理するサーバーとしてCisco Secure Access Control Server（ACS）が存在する。NAPのNPSは、ACSと連携して動作することができるため、相互運用が可能になる