Overview
NAC(Network Access Control:ネットワークアクセス制御)とは、企業や組織のネットワークに接続しようとするデバイスを識別・認証し、セキュリティポリシーに基づいてアクセスの許可・拒否・制限を自動的に行うセキュリティソリューションです。許可されていないデバイスや、セキュリティ要件を満たさない端末がネットワークに接続することを防止します。
近年、リモートワークの普及やBYOD(Bring Your Own Device)の導入により、企業ネットワークに接続されるデバイスの種類と数が飛躍的に増加しています。従来のファイアウォールやVPNだけでは、ネットワーク内部からの脅威やポリシー違反の端末を十分に制御できません。NACは、ネットワークの入り口でデバイスの健全性を検証し、不正なアクセスを未然に防ぐ「ゲートキーパー」として機能します。
NACの主な役割は、接続を試みるデバイスが「誰のものか」「どのような状態か」「どのリソースにアクセスすべきか」を判断し、適切なネットワークセグメントへ振り分けることです。これにより、マルウェアに感染した端末が社内ネットワーク全体に被害を拡大するリスクを大幅に低減できます。
Details
802.1X認証の仕組み
NACの基盤技術として最も広く採用されているのがIEEE 802.1X認証です。この規格では、サプリカント(接続端末)、オーセンティケータ(スイッチやアクセスポイント)、認証サーバー(RADIUSサーバー)の3つのコンポーネントが連携します。端末がネットワークポートに接続すると、EAP(Extensible Authentication Protocol)を用いて認証情報がRADIUSサーバーに送信され、認証が成功した場合のみ通信が許可されます。
エージェント型とエージェントレス型
NACソリューションは大きく2つのアプローチに分かれます。エージェント型は、接続するデバイスに専用のソフトウェアをインストールし、OS情報、パッチ適用状況、ウイルス対策ソフトの状態などを詳細に検査します。より深いレベルのポスチャ評価が可能ですが、管理対象外のデバイスには対応できません。
エージェントレス型は、ネットワーク上のトラフィックやDHCPフィンガープリンティング、SNMPなどを利用してデバイスを識別します。ソフトウェアのインストールが不要なため、IoTデバイスやゲスト端末にも対応可能ですが、検査の深度はエージェント型に比べて限定的です。
ポスチャアセスメント(端末健全性評価)
NACの重要な機能の一つがポスチャアセスメントです。接続を試みるデバイスに対して、以下の項目を自動的にチェックします。
- OSのバージョンおよびセキュリティパッチの適用状況
- ウイルス対策ソフトの導入有無と定義ファイルの最新性
- パーソナルファイアウォールの有効化状態
- 暗号化ソフトウェアの動作状況
- 禁止アプリケーションの有無
検疫VLAN(Quarantine VLAN)
ポスチャアセスメントで不合格となったデバイスは、社内ネットワークへの接続を拒否されるのではなく、検疫VLANと呼ばれる隔離されたネットワークセグメントに振り分けられます。検疫VLAN内では、パッチ適用やウイルス定義ファイルの更新など、ポリシー準拠に必要な修復作業のみが可能です。修復が完了した端末は再評価を経て、正規のネットワークへの接続が許可されます。
プレアドミッション制御とポストアドミッション制御
プレアドミッション制御は、デバイスがネットワークに接続する前に認証とポスチャ評価を実施する方式です。不正な端末がネットワークに一切アクセスできないため、セキュリティレベルは高いですが、導入の複雑さが増します。
ポストアドミッション制御は、接続後のデバイスの挙動を継続的に監視し、異常な通信パターンやポリシー違反を検出した場合にアクセスを制限・遮断する方式です。プレアドミッション制御と組み合わせることで、より包括的なセキュリティを実現できます。
BYODへの対応と課題
BYODの普及により、NACには従業員の個人デバイスを安全に社内ネットワークに接続させるという新たな課題が生まれました。個人所有のスマートフォンやタブレットにエージェントソフトをインストールさせることへの抵抗や、多様なOS・デバイスへの対応、プライバシーの問題など、技術面と運用面の両方で検討が必要です。多くの組織では、BYOD端末を限定的なゲストネットワークに接続させるか、MDM(モバイルデバイス管理)と連携して端末の状態を管理するアプローチを採用しています。
Security Measures
- 01802.1X認証の全面展開:有線・無線の両方のネットワークポートで802.1X認証を有効化し、未認証デバイスの接続を根本的にブロックする。RADIUSサーバーの冗長構成も忘れずに構築する。
- 02ポスチャポリシーの段階的強化:最初はOSパッチとウイルス対策ソフトの確認から始め、段階的に検査項目を追加する。ポリシーが厳しすぎると業務に支障が出るため、組織のリスク許容度に応じたバランスが重要。
- 03検疫VLANの適切な設計:検疫VLAN内では修復に必要な通信のみを許可し、社内リソースへのアクセスを厳密に制限する。自動修復スクリプトやWSUSサーバーへの接続経路を事前に準備しておく。
- 04BYOD向けオンボーディングポータル:個人デバイスの登録・認証を自動化するセルフサービスポータルを構築し、デバイス証明書の配布やネットワークプロファイルの自動設定を実現する。
- 05IoTデバイスのプロファイリング:エージェントをインストールできないIoTデバイスは、DHCPフィンガープリンティングやMACアドレスのOUI情報を活用して自動分類し、専用のセグメントに隔離する。
- 06継続的モニタリングとポストアドミッション制御:接続後もデバイスの挙動を継続的に監視し、異常検知時には自動的にアクセス権限を降格させるか、検疫VLANに移動させる仕組みを導入する。
Incidents
📋 米国医療機関における未管理デバイス経由の情報漏洩(2019年)
ある大規模医療機関で、NACが導入されていないネットワークセグメントに接続された未管理のIoT医療機器を踏み台として、攻撃者が患者の個人医療情報(PHI)に不正アクセスする事件が発生しました。約300万件の患者データが流出し、HIPAAの罰則として数百万ドルの罰金が科されました。事後調査で、NACによるデバイス認証とセグメンテーションが実装されていれば被害を防止できた可能性が高いと報告されています。
📋 製造業におけるBYOD端末からのランサムウェア感染(2021年)
国内の大手製造企業で、従業員が私物のノートPCを社内Wi-Fiに接続したことがきっかけで、ランサムウェア「Conti」が社内ネットワーク全体に拡散しました。当該企業ではBYOD端末に対するNACポリシーが設定されておらず、ポスチャ評価も行われていませんでした。生産ラインが2週間にわたって停止し、推定被害額は数十億円に上りました。
📋 大学キャンパスネットワークでの不正デバイス大量接続(2020年)
ある国立大学のキャンパスネットワークで、MACアドレス認証のみのNAC構成だったため、MACアドレスのスプーフィングにより数百台の不正デバイスがネットワークに接続されていたことが判明しました。不正デバイスの一部はボットネットの一部として暗号通貨マイニングに利用されており、大学のネットワーク帯域を大幅に圧迫していました。802.1X証明書ベースの認証に移行するまでの間、深刻なパフォーマンス問題が続きました。