テクノロジー解説

ネットワーク アドミッション コントロール(NAC)

ネットワーク アドミッション コントロール(NAC)は、シスコシステムズが主導する業界アライアンスであり、ネットワークに接続しようとしている端末に対して、セキュリティ状況を確認してから接続を許可するための仕組みを提供します。NAC では、アンチウイルス、デスクトップ管理ソフト、監視サーバといったソフトウェアを開発しているセキュリティベンダーとのパートナーシップを通じて、悪質化するネットワークの脅威に対処します。

 ウイルス、ワーム、スパイウェア・・・。ビジネスとは無関係なトラフィックによって資産が消費され、社員の生産性にも影響を及ぼしているため、企業はその対策に積極的に取り組んでいます。さらに、ネットワーク脅威はますます悪質化して、その被害は拡大し、情報漏えいという最悪の結果に発展する事例も多く報告されています。
 特にモバイル コンピューティングの普及から、社員の PC を介してウイルスやワームが持ち込まれる危険性が高くなっています。自宅やホットスポットといった場所で PC が感染している可能性があるからです。OS の脆弱性が放置されていたり、アンチウイルス ソフトがインストールされていてもシグネチャが古いままだったりする場合には注意が必要です。また、自宅のパソコンを企業のネットワークに接続して使用するようなことがないようにするべきです。
 このような外部から持ち込まれるセキュリティ脅威を内部に入れないためには、「ネットワークの入口」で防御するのが有効です。ユーザがネットワークに接続しようとするとき、一般に ID 管理と AAA(Authentication、Authorization、Accounting)を使ったユーザ認証が行われます。しかし、ネットワーク セキュリティ脅威はデバイスそのものに含有されているため、ネットワークに接続しようとするエンドポイントを評価して、その正当性を証明する仕組みが必要なのです。ユーザが正当であっても、感染したデバイスや十分な感染対策を施していないデバイスを使っていれば、ネットワークに接続させるべきではありません。
 NAC は、OSレベルやパッチ状況、アンチウイルス ソフトの状況といった端末(PC、ノート型パソコン、サーバ、PDA など)のセキュリティ情報を精査し、その情報に基づいてインテリジェントにアクセスを制御し、不正なデバイスやウイルスに感染している可能性のあるデバイスなどをネットワークに接続させないための仕組みを提供します。
 NACには、次のような特長があります。


NAC の構成要素
 NAC を利用することで、セキュリティポリシーに適合するデバイスにはネットワーク アクセスを許可し、ポリシーに非適合なデバイスに対してはアクセスを制限できます。NAC はシスコ自己防衛型ネットワークの構成要素の 1 つであり、ネットワーク コンピューティング リソースにアクセスしようとするデバイスにセキュリティ ポリシーへの適合を強制することにより、ネットワーク インフラストラクチャでの防御を可能にしています。
 基本的な NAC 環境は、次の 4 つの要素から構成されています。

NAC の構成要素
  • ポスチャ エージェント
    エンドポイントで稼動し、エンドポイントの情報を収集して提供するプログラムです。ポスチャ エージェントは、Cisco Trust Agent(CTA)となります。
  • ネットワーク アクセス デバイス(NAD)
    「ネットワークの入口」に対応するネットワーク デバイスで、ネットワーク アクセス ポリシーが適用されるインターフェイスを持っています。NAD の役割を果たすデバイスには、PC が有線で企業 LAN に接続されている場合のスイッチ、無線 LAN を利用している場合のアクセスポイント、自宅から VPN 経由で社内ネットワークにアクセスする場合の VPN コンセントレータなどがあります。
  • AAAサーバ
    エンドポイントの適合性を検証し、NAD に対してアクセス制御情報を渡すサーバです。現在、NAC に対応している AAA サーバには、Cisco Secure Access Control Server(ACS)があります。
  • ポリシーサーバ
    ポスチャ エージェントが収集した情報を検証して、AAA サーバにポスチャ ステートを伝えます。AAA サーバは、この情報に基づいて、NAD に対してどのようなアクセス制御を設定するかを決定します。ポスチャ ステートには、次のような種類があります。
    Healthy ―ホストはポリシーに適合しています。ネットワークへのアクセスが許可されます。
    Checkup ―ホストはポリシーの適合範囲内ですが、更新を入手可能です。
    Transition ―ホストのポスチャ検証が行われています。ブート中ですべてのサービスが稼動していない場合など、検証結果が判明していないときに使用されます。
    Quarantine ―ホストはポリシーに適合していません。このホストはアクティブな脅威ではありませんが、既知の攻撃やウイルス感染に脆弱です。
    Infected ―ホストは他のエンドポイント デバイスにとってアクティブな脅威です。このホストからのネットワーク アクセスは厳格に制限するか、完全に拒否する必要があります。
    Unknown ―ホストのポスチャを特定できません。正確なポスチャを特定できるまで、ホストの検疫、認証、または修復を行います。
このようにさまざまなネットワーク デバイスが NAT に対応することで、つまり、LAN、ワイヤレス、リモート アクセス、WAN など、すべてのアクセス方式に対応して、すべてのエンドポイントの検証が可能となっています。

NAC の仕組み(状態認証によってネットワーク接続が許可される場合)
 NAC は、OSレベルやパッチ状況、アンチウイルス ソフトの状況といった端末(PC、ノート型パソコン、サーバ、PDA など)のセキュリティ情報を精査し、その情報に基づいてインテリジェントにアクセスを制御します。

NAC の仕組み(状態認証によってネットワーク接続が拒否される場合)

セキュリティ ポリシーに非適合であるためにネットワークにアクセスできない例も見てみましょう。


 実際には、ポリシー非適合とされたすべてのクライアントが拒否されるわけではなく、ポスチャ ステート(Checkup、Transition、Quarantine、Infected、Unknown)に応じて、隔離、免疫作業、あるいはネットワークへの接続の拒否を使い分けることができます。たとえば、ポスチャ ステートが Checkup(更新を入手可能)であればアップデート作業を行う、Quarantine(ポリシー非適合)であれば検疫ネットワークに接続して修復する、Unknown(ホストのポスチャを特定できない)であれば隔離するといった制御が可能です。


NACソリューションについて詳しくはこちら

http://www.cisco.com/jp/go/nac/


お問い合わせ