...

Cisco NAC アプライアンス

by user

on
Category: Documents
2

views

Report

Comments

Transcript

Cisco NAC アプライアンス
Q&A
Cisco NAC ア プ ラ イ ア ン ス
位置付け
Q.
Cisco® NAC ア プ ラ イ ア ン ス と は何ですか。
A.
Cisco NAC アプ ラ イ ア ン ス (Clean Access) は、 ネ ッ ト ワー ク 管理者がユーザにネ ッ ト ワー
ク への接続を許可する 前に、 有線お よ び無線経由のユーザ、 リ モー ト のユーザお よ びそのマ
シ ン を認証、 承認、 評価、 感染修復す る 製品です。 ノ ー ト PC、 IP 電話、 PDA、 プ リ ン タ な
ど のネ ッ ト ワー ク デバ イ ス が組織のセキ ュ リ テ ィ ポ リ シーに適合 し てい る か ど う か を識別
し 、 脆弱性があれば、 ネ ッ ト ワー ク へのア ク セ ス を許可す る 前に修復 し ます。
Q.
A.
なぜ組織には Cisco NAC ア プ ラ イ ア ン スが必要なので し ょ う か。
ネ ッ ト ワー ク セキ ュ リ テ ィ に と っ て悪意のない脅威の う ち最 も 大 き な も のは、 エン ド ユー
ザです。 ネ ッ ト ワ ー ク に接続 さ れ る すべてのエン ド ポ イ ン ト には、 脅威を持ち込む可能性が
あ り ます。 そのため、 ユーザが自分のマシ ン を企業のセ キ ュ リ テ ィ ポ リ シーに準拠 さ せて
お く 必要性は、 ますます高ま っ てい ます。 Cisco NAC アプ ラ イ ア ン ス では、 確実にセキ ュ リ
テ ィ ポ リ シーに準拠 さ せ る ためにネ ッ ト ワ ー ク へのア ク セ ス を イ ン セ ン テ ィ ブ と し て使用
し 、 準拠 し ていないマシ ンにはネ ッ ト ワー ク の機能に よ っ て必要条件が提示 さ れます。
Q.
Cisco NAC ア プ ラ イ ア ン ス と Network Admission Control(NAC; ネ ッ ト ワー ク ア ド ミ ッ シ ョ
A.
Cisco NAC アプ ラ イ ア ン ス は、 業界を リ ー ド す る シ ス コ の NAC イ ニシ ア テ ィ ブを実現す る
ン コ ン ト ロール) の関係を教えて く だ さ い。
業界ア ラ イ ア ン ス であ り 、 有力な ソ リ ュ ーシ ョ ンです。 Cisco NAC アプ ラ イ ア ン ス は、 ポ リ
シーに準拠 し ていないマ シ ンや不正なユーザに よ る セ キ ュ リ テ ィ 上の脅威を緩和す る 包括
的な導入を可能に し ます。 Cisco NAC アプ ラ イ ア ン ス は、 規格が現在 よ り も 広ま っ た段階で
複数のベン ダーか ら 構成 さ れ る NAC ソ リ ュ ーシ ョ ン を導入 し よ う と す る お客様 も 含めて、
ほ と ん ど のお客様に適 し てい ます。
Q.
Cisco NAC ア プ ラ イ ア ン ス と 、 多 く のア ン チウ イルス ベン ダーが提供 し ている製品 と の違
A.
最近、 ア ンチ ウ イ ルス ベン ダー (AV ベン ダー) な ど のデス ク ト ッ プ セキ ュ リ テ ィ の会社
いは何ですか。
は、個別のエン ド ポ イ ン ト にポ リ シーを適用す る ソ リ ュ ーシ ョ ン を発表 し ま し た。Cisco NAC
アプ ラ イ ア ン ス は、 こ れ ら と は異な り ます。 Cisco NAC アプ ラ イ ア ン スは、 ポ リ シー適用の
全 ラ イ フサ イ ク ル (認証、 ポ ス チ ャ 評価、 ネ ッ ト ワ ー ク 検疫、 感染修復) を扱い ます。 こ の
よ う な堅牢で統合 さ れた機能を シ ス コ シ ス テ ム ズが提供で き る のは、 NAC アプ ラ イ ア ン ス
がポ リ シーの適用に個別のエ ン ド ポ イ ン ト ではな く ネ ッ ト ワー ク を使用 し てい る ためです。
そのため、 シ ス コ の NAC ソ リ ュ ーシ ョ ンの方が効果的で、 エン ド ポ イ ン ト ベース の方法 よ
り も は る かに ス ムーズにネ ッ ト ワー ク フ ァ ブ リ ッ ク と 統合す る こ と がで き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 LAN ユーザ専用ですか。 リ モー ト ア ク セス ユーザにポ リ
シーを適用する ために、 別に製品が必要で し ょ う か。
A.
Cisco NAC アプ ラ イ ア ン ス は、接続を試み る すべてのデバ イ ス に対 し て、デバ イ ス の所有者、
ア ク セ ス方法、 OS に関係な く 統一的なポ リ シーを適用 し ます。 NAC アプ ラ イ ア ン ス を 1 台
用意す る だけで、 LAN、 WLAN、 VPN、 WAN を経由 し て接続す る 全デバ イ ス にポ リ シーを
適用す る こ と がで き ます。
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 1 of 8
Q&A
Q.
Cisco NAC ア プ ラ イ ア ン ス と Cisco Security Agent は一緒に使え ますか。
A.
Cisco Security Agent は各エン ド ポ イ ン ト に常駐 し て、 ホ ス ト 侵入防御テ ク ノ ロ ジーに よ っ て
Day Zero 攻撃か ら エン ド ポ イ ン ト を保護 し ます。 Cisco NAC アプ ラ イ ア ン ス はセキ ュ リ テ ィ
ポ リ シーの適用を目的 と し てお り 、 各エン ド ポ イ ン ト にア ク セ ス を許可す る 前に、 エン ド ポ
イ ン ト がセキ ュ リ テ ィ ポ リ シーの必要条件を満た し てい る か ど う かを確認 し ます。 2 つの ソ
リ ュ ーシ ョ ンは、連携 し て動作する こ と がで き ます。Cisco NAC アプ ラ イ ア ン ス に よ り 、Cisco
Security Agent を エン ド ポ イ ン ト デバ イ ス で確実に動作 さ せる こ と がで き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スのユーザはどの く ら いいますか。どのよ う な企業が使用 し ている
ので し ょ う か。
A.
2006 年 3 月の時点で、Cisco NAC アプ ラ イ ア ン ス は世界中の 600 のお客様に使用 さ れてい ま
す。 金融サービ ス、 テ レ コ ミ ュ ニ ケーシ ョ ン、 メ デ ィ ア、 エネルギー、 医療機関、 教育分野
な ど の企業でお使いいただい てい ま す。 導入企業は、 85 ユーザの小規模企業か ら 、 63,000
ユーザの大企業ま で さ ま ざ ま です。
Cisco NAC ア プ ラ イ ア ン スの コ ンポーネ ン ト
Q.
Cisco NAC ア プ ラ イ ア ン スの コ ンポーネ ン ト を教えて く だ さ い。
A.
Cisco NAC アプ ラ イ ア ン ス は、 3 つの コ ン ポーネ ン ト か ら 構成 さ れてい ます。 Cisco Clean
Access Server (「サーバ」)、 Cisco Clean Access Manager (「マネージ ャ 」)、 お よ びオプシ ョ ン
の Cisco Clean Access Agent (「エージ ェ ン ト 」) です。 製品の一部 と し て、 お客様には最新の
ルール セ ッ ト お よ びチ ェ ッ ク の更新が随時提供 さ れます。
Q.
導入には、 どの コ ンポーネ ン ト が必要ですか。 Clean Access Agent は、 接続ク ラ イ ア ン ト 数
ベースで販売 さ れていますか。
A.
少な く と も 1 つのマネージ ャ と 1 つのサーバが必要です1 つのマネージ ャ で複数のサーバを
管理す る こ と がで き ます。 エージ ェ ン ト は無料で提供 さ れてお り 、 接続 ク ラ イ ア ン ト 数ベー
ス では販売 さ れてい ません。
Q.
Cisco NAC ア プ ラ イ ア ン ス導入のサイ ズは、 どのよ う に し て決定すればよいで し ょ う か。
A.
必要なサーバの数 と タ イ プは、 同時にオン ラ イ ンにな る ユーザの数 と 、 使用する 場所の数に
よ っ て決ま り ます。 次に、 サーバの数に よ り 、 必要なマネージ ャ の タ イ プが決ま り ます。
Q.
A.
新 し い更新や脆弱性 リ ス ト な ど を受け取る ために、 継続的な費用が発生 し ますか。
シ ス コ の有効なサポー ト 契約をお持ちのお客様の場合、更新は現在の メ ン テナン ス コ ス ト に
含まれてい ます。
Q.
「 フ ェ ールオーバー バン ド ル」 と は何ですか。 どのよ う に使用する も ので し ょ う か。
A.
フ ェールオーバー バン ド ルには、 2 つのサーバ と 2 つのマネージ ャ が含まれてい ます。 こ れ
に よ り 、実稼働サーバに問題が発生 し た場合に備えた冗長構成が可能にな り ます。シ ス コ は、
すべての NAC アプ ラ イ ア ン ス製品に フ ェールオーバーを含め る こ と をお勧め し てい ます。
Q.
小規模のイ ン ス ト ールで も マネージ ャ と サーバの両方が必要ですか。
A.
はい。 すべての イ ン ス ト ールで、 両方の コ ン ポーネ ン ト が必要です。 小規模のお客様に対 し
ては、 サーバのサポー ト が 3 つに制限 さ れてい る 「Manager Lite」 オプシ ョ ン をお勧め し ま
す。 サーバが対応 し てい る ユーザの規模には、 100、 250、 500、 1500、 2500があ り ます。
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 2 of 8
Q&A
Cisco NAC ア プ ラ イ ア ン スの動作 : 全体
Q.
Cisco NAC ア プ ラ イ ア ン スはどのよ う に動作 し ますか。
A.
デバ イ ス がネ ッ ト ワー ク に ロ グオン し よ う と す る と 、 Cisco NAC アプ ラ イ ア ン ス は、 ポ リ
シーに準拠 し てい る マシ ンの MAC ア ド レ スお よ び IPア ド レ ス が含まれてい る 承認済みデバ
イ ス リ ス ト を参照 し 、 リ ス ト に存在 し ないマシ ンの場合は ス キ ャ ン を実行 し ます。 脆弱性が
発見 さ れ る と 、Cisco NAC アプ ラ イ ア ン ス はそのマシ ン を検疫エ リ アに リ ダ イ レ ク ト し ます。
検疫エ リ アでは、 マシ ン を更新す る ために必要なダ ウ ン ロ ー ド のみが可能 と な っ てい ます。
その後、 再度マシ ンが ス キ ャ ン さ れ、 ポ リ シーへの準拠が確認 さ れた ら 、 ネ ッ ト ワー ク への
ア ク セ ス が承認 さ れます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 VPN 接続を使用 し ている リ モー ト やブ ラ ン チ オ フ ィ スの
A.
はい。 Cisco NAC アプ ラ イ ア ン ス は、 VPN コ ン セ ン ト レー タ 、 ダ イ ヤルア ッ プ サービ ス、
ユーザに も有効ですか。
ルー タ な ど、 他の レ イ ヤ 3 ネ ッ ト ワ ー ク ア ク セ ス デバ イ ス の背後に導入す る こ と がで き ま
す。 Cisco NAC アプ ラ イ ア ン ス は新 し い IPア ド レ ス を検出す る と 、 認証、 評価、 感染修復 と
い う プ ロ セ ス を開始 し ます。
Q.
ポ リ シーに準拠 し ないマ シ ンは、 どのよ う にブ ロ ッ ク さ れるのですか。
A.
Cisco NAC アプ ラ イ ア ン ス は、論理的手段 と 物理的手段の ど ち ら かに よ っ てブ ロ ッ ク し ます。
イ ンバン ド での導入の場合、 Cisco NAC アプ ラ イ ア ン ス では IP に依存せず、 ポ リ シーに準拠
し ない無線お よ び有線か ら のユーザに よ る 接続を、 特定のサブネ ッ ト に制限 し た り 、 非ブ
ロ ー ド キ ャ ス ト マルチア ク セ ス の ト ポ ロ ジ を生成 し て仮想セ グ メ ン テーシ ョ ン を行 う こ と
に よ っ て制限 し ます。 ア ウ ト オブバン ド での導入の場合、 Cisco NAC アプ ラ イ ア ン ス はポ リ
シーに準拠 し ないユーザを ポー ト 層でブ ロ ッ ク し 、 イ ン スペ ク シ ョ ンに合格する ま でネ ッ ト
ワー ク へのア ク セ ス を阻止 し ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 過去にア ク セス し て確認済みのシ ス テムであ っ て も、 ア ク セ
ス を試みるすべてのシス テムを チ ェ ッ ク し ますか。
A.
いいえ。 Cisco NAC アプ ラ イ ア ン ス は、 承認済みデバ イ ス リ ス ト と い う 概念を採用 し てい ま
す。 こ れは、 承認済みデバ イ ス リ ス ト に含まれていないホ ス ト だけ をチ ェ ッ ク す る と い う も
のです。 管理者はセ ッ シ ョ ン タ イ マーを使用 し て、 新 し く 表れた脆弱性や既存のセ キ ュ リ
テ ィ ポ リ シーに基づいたネ ッ ト ワ ー ク ス キ ャ ンのための リ ス ト を更新す る 頻度を設定で き
ます。
Q.
Cisco NAC ア プ ラ イ ア ン スには、エ ン ド ユーザのコ ン ピ ュ ー タ に対する管理者権限が必要で
A.
Cisco NAC アプ ラ イ ア ン ス のネ ッ ト ワー ク ス キ ャ ニ ン グ コ ン ポーネ ン ト は、 管理者権限を
すか。
必要 と し ません。 エージ ェ ン ト イ ン ス ト ールする 際には、 管理者権限ま たはパ ワーユーザ権
限が必要です。 こ の と き 、 今後のエージ ェ ン ト 更新には管理者権限 も パ ワーユーザ権限 も 必
要 と し な く な る 機能が組み込まれます。
Q.
Cisco NAC ア プ ラ イ ア ン スは 「チ ョ ー ク ポ イ ン ト 」 ベースですか。 つま り 、 すべての ト ラ
フ ィ ッ クが Cisco NAC ア プ ラ イ ア ン ス を通過する必要があ り ますか。
A.
シ ス コ は、Cisco NAC アプ ラ イ ア ン ス を イ ンバン ド バージ ョ ン と ア ウ ト オブバン ド バージ ョ
ンの両方で提供 し てい ます。 ア ウ ト オブバン ド バージ ョ ン では、 NAC アプ ラ イ ア ン ス は ス
イ ッ チ と の通信に よ っ て、 ア ク セ ス を試みる デバ イ ス を許可ま たは検疫する か ど う か を決定
し ます。 イ ンバン ド 、 ア ウ ト オブバン ド 、 ま たは両者の組み合わせの う ち、 どれが必要かは、
お客様のネ ッ ト ワー ク の条件に よ っ て決ま り ます。
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 3 of 8
Q&A
Q.
イ ンバン ド と アウ ト オブバン ド のど ち らが優れているのですか。
A.
それは、 お客様のニーズに よ っ て異な り ます。 Cisco NAC アプ ラ イ ア ン ス を使用す る と 、 具
体的な要件に応 じ てユーザが イ ンバ ン ド と ア ウ ト オブバン ド の ど ち ら で も 接続で き る 柔軟
性が提供 さ れます (表 1)。
表 1. Cisco NAC ア プ ラ イ ア ン スのイ ンバン ド バージ ョ ン と アウ ト オブバン ド バージ ョ ン
イ ンバン ド
長所
アウ ト オブバン ド
• ス イ ッ チ / ルー タ のプ ラ ッ ト フ ォ ームに依存 し • 検疫中の ト ラ フ ィ ッ ク のみ イ ン ラ イ ン
ない
• 検疫中 の ト ラ フ ィ ッ ク に 対 し て は 全面的 な
• ス イ ッ チ/ルー タ のバージ ョ ンに依存 し ない
ネ ッ ト ワ ー ク ア ク セ ス制御
• 有線 と 無線のネ ッ ト ワー ク 両方に適 し てい る
• ネ ッ ト ワー ク ア ク セ ス を完全に制御で き る
• 帯域管理の制御
• 簡易ネ ッ ト ワー ク 管理プ ロ ト コ ル (SNMP) を
使用 し た ス イ ッ チ制御
• ポー ト ベース ま たは ロ ールベース の VLAN 割
り 当て
• 有線ネ ッ ト ワー ク に適 し てい る
短所
• イ ン ラ イ ン依存
• ス イ ッ チ ポー ト レベルの制御がない
• ス イ ッ チのプ ラ ッ ト フ ォ ー ム と バージ ョ ン に
依存す る
• 感染修復の後で帯域管理の制御が制限 さ れ る
Q.
Cisco NAC ア プ ラ イ ア ン ス を アウ ト オブバン ド で導入 し た場合、ア ク セスはどのよ う に し て
阻止 さ れるのですか。
A.
ア ウ ト オブバン ド ソ リ ュ ーシ ョ ンの場合、Cisco NAC アプ ラ イ ア ン ス はポ リ シーに準拠 し て
いない コ ン ピ ュ ー タ を認証/検疫 VLAN に収容す る こ と に よ り 、 ア ク セ ス を ポー ト レベルで
阻止 し ます。
Q.
アウ ト オブバン ド モー ド で導入 し た場合に Cisco NAC ア プ ラ イ ア ン スがサポー ト する ス
イ ッ チ を教えて く だ さ い。
A.
Cisco NAC アプ ラ イ ア ン ス は、 現在、 数多 く のシ ス コ 製ス イ ッ チをサポー ト し てい ます。 最
新の リ ス ト は、 http://www.cisco.com/en/US/products/ps6128/prod_release_notes_list.html に あ る
新 し い Cisco NAC アプ ラ イ ア ン ス の リ リ ース ノ ー ト に記載 さ れてい ます。
Q.
イ ンバン ド モー ド で導入 し た Cisco NAC ア プ ラ イ ア ン スは、 ロールベースの VLAN 再 タ グ
付け を実行で き ますか。
A.
はい。 Cisco NAC アプ ラ イ ア ン ス は、 ネ ッ ト ワー ク の信頼で き る 側にあ る ユーザを、 ユーザ
の ロ ールに基づいて 1 つの VLAN か ら 別の VLAN に再 タ グ付けす る こ と がで き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 ア ク セス層にシス コ 製のデバイ スが必要ですか。
A.
いいえ。
Q.
ネ ッ ト ワー ク上のコ ン ピ ュ ー タ に 1 週間に 1 回 し か電源を投入 し ない場合、 ど う な り ます
か。
A.
管理者は、 非ア ク テ ィ ブ な マ シ ン が ロ グ オ フ さ れ る 時間 と し て、 非ア ク テ ィ ブ用のハー ト
ビー ト 時間を設定で き ます。 ユーザのセ ッ シ ョ ン時間を制限す る 方法は、 こ の他に も い く つ
かあ り ます。
Q.
ユーザが静的 IP ア ド レ スでネ ッ ト ワー ク にア ク セス し 、 そのア ド レ スが承認済みのア ド レ
ス と 重複する場合、 ど う な り ますか。
A.
実際のユーザ認証は、 MAC ア ド レ ス に基づいて行われます。 ユーザが IP ア ド レ ス を ス プー
フす る と 、 その ト ラ フ ィ ッ ク は廃棄 さ れます。
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 4 of 8
Q&A
Cisco NAC ア プ ラ イ ア ン スの動作 : 認証 と 承認
Q.
なぜ認証はネ ッ ト ワー ク ア ド ミ ッ シ ョ ン コ ン ト ロールの重要な部分なのですか。
A.
認証を行わない と 、 管理者は、 ア ク セ ス を試みる デバ イ ス に対する 制御能力を大き く 損な う
こ と にな り ま す。 認証に よ り 、 管理者は さ ま ざ ま な タ イ プのユーザに対 し て適用す る ポ リ
シーを決定 し た り 、 特定の場所へのア ク セ ス を適切な ロ ールだけに限定す る こ と に よ っ て
デー タ の機密性を確保 し た り 、 認証済みのデバ イ ス を不正なユーザが乗っ取る のを防いだ り
す る こ と がで き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 シ ングル サイ ン オン をサポー ト し ていますか。
A.
シ ン グル サ イ ンオンは、 リ モー ト ア ク セ ス/VPN ユーザ、無線ユーザ、お よ び Windows Active
Directory ユーザに対 し てサポー ト さ れてい ます。 ユーザが ク レデン シ ャ ルを VPN ク ラ イ ア
ン ト 、 ワ イ ヤ レ ス認証画面、 ま たは Windows の ロ グ イ ン プ ロ ンプ ト に入力す る と 、 マシ ン
がポ リ シーに準拠 し てい る か ど う かの評価のために同 じ ク レ デン シ ャ ルを再入力す る 必要
はあ り ません。
Q.
A.
Cisco NAC ア プ ラ イ ア ン スは、 どのよ う な形態の認証をサポー ト し ていますか。
RADIUS、 LDAP (Lightweight Directory Access Protocol)、 Kerberos、 Windows NT な ど、 主な
認証はほ と ん どサポー ト し てい ます。 Cisco NAC アプ ラ イ ア ン ス は認証プ ロ キ シ と し て機能
す る ため、 認証デー タ ベース と 同期 し た り 、 それを複製す る 必要はあ り ません。
Q.
Cisco NAC ア プ ラ イ ア ン スは Cisco SecureAccess Control Server (ACS) と 共に使用で き
ますか。
A.
はい。 Cisco NAC アプ ラ イ ア ン ス は、 RADIUS を使用す る Cisco Secure ACS と 共に使用で き
ます。 Cisco NAC アプ ラ イ ア ン ス は、 詳細な RADIUS ア カ ウ ン テ ィ ン グ と フ ェールオーバー
のサポー ト も 備えてい ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 認証に 802.1x を使用 し ますか。
A.
Cisco NAC アプ ラ イ ア ン ス は、 認証に 802.1x を必要 と し ません。 し たがっ て、 Cisco NAC ア
プ ラ イ ア ン ス は非 802.1x 環境に も 導入で き ます。
Cisco NAC ア プ ラ イ ア ン スの動作 : スキ ャ ン お よび評価
Q.
Cisco NAC ア プ ラ イ ア ン スは、 どのよ う な種類のスキ ャ ン を行いますか。
A.
Cisco NAC アプ ラ イ ア ン ス は、 ネ ッ ト ワ ー ク ベースお よ びエージ ェ ン ト ベース の ス キ ャ ン を
行い ます。 ネ ッ ト ワ ー ク ベース の ス キ ャ ン では、 リ モー ト プ ロ シージ ャ コ ール (RPC) の
バ ッ フ ァ オーバーフ ロ ーや メ ッ セ ン ジ ャ ーのバ ッ フ ァ オーバーフ ロ ーな ど、 ネ ッ ト ワ ー ク
の脆弱性が検索 さ れます。 エージ ェ ン ト ベース の ス キ ャ ンでは、 ユーザのシ ス テ ム レ ジ ス ト
リ 、 フ ァ イ ル シ ス テ ム、 お よ び特定のサービ スお よ びアプ リ ケーシ ョ ンのシ ス テ ム メ モ リ
がチ ェ ッ ク さ れます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 すでに承認済みデバイ ス リ ス ト に置かれているユーザのデ
バイ ス を再度スキ ャ ンおよび評価で き ますか。
A.
はい。 管理者は、 一定の時間が経過す る と 承認済みデバ イ ス リ ス ト 上のすべてのユーザが再
ス キ ャ ン さ れ る よ う に設定で き ます。ほ と ん ど のお客様は、1 日か ら 1 週間に 1 回の再ス キ ャ
ンが必要です。 ま た、 ワームやウ イ ルス の活動が活発な と き は、 管理者は手動で承認済みデ
バ イ ス リ ス ト を リ セ ッ ト す る こ と も で き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 MacOS、 Linux、 UNIX な どが動作する Windows 以外のマ シ
A.
はい。 Windows 以外のマシ ンお よ び PDA も 、 ネ ッ ト ワー ク ベース ス キ ャ ンの対象にな り ま
ンや PDA を スキ ャ ンお よび評価で き ますか。
す。
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 5 of 8
Q&A
Q.
Cisco NAC ア プ ラ イ ア ン スは、 IP 電話、 ネ ッ ト ワー ク プ リ ン タ 、 ゲーム機のコ ン ソ ールな
ど、 ネ ッ ト ワー ク接続 さ れている コ ン ピ ュ ー タ 以外のデバイ ス をサポー ト し ていますか。
A.
はい。 Cisco NAC アプ ラ イ ア ン ス は MAC ア ド レ ス を持っ てい る すべてのデバ イ ス にセキ ュ
リ テ ィ ポ リ シーを適用で き ます。
Q.
エ ン ド ユーザが個人的に イ ン ス ト ール し た フ ァ イ アウ ォ ールがネ ッ ト ワー ク スキ ャ ン を ブ
ロ ッ ク する場合は、 ど う な り ますか。
A.
こ の場合、 ス キ ャ ン を許可す る よ う にポー ト を オープンす る か、 フ ァ イ ア ウ ォールを無効に
する か、 引 き 続 き フ ァ イ ア ウ ォールを有効にす る かを エン ド ユーザが選択で き ます。 フ ァ イ
ア ウ ォ ール を有効に し た ま ま の場合、 ス キ ャ ン は タ イ ム ア ウ ト し ま す。 管理者は、 ネ ッ ト
ワー ク ポ リ シーについてエン ド ユーザに知 ら せ る な ど、タ イ ム ア ウ ト 時に実行する ア ク シ ョ
ン を設定で き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スは、 特定のア ン チウ イルス ソ フ ト ウ ェ ア パ ッ ケージだけ を検出
するのですか。
A.
いいえ。 Cisco NAC アプ ラ イ ア ン ス は、 任意のア ンチ ウ イ ルス ソ フ ト ウ ェ ア を検出する よ う
に設定で き る 柔軟性を備えてい ます。 正確には、 特定のアプ リ ケーシ ョ ンお よ びフ ァ イ ルを
検索す る よ う に設定で き ます。 現在、 Cisco NAC アプ ラ イ ア ン ス にはほ と ん ど の主な ア ンチ
ウ イ ル ス お よ び ア ン チ ス パ イ ソ フ ト ウ ェ ア の ベ ン ダ ー に よ る 自動 チ ェ ッ ク 、 お よ び
Microsoft に よ る ア ッ プデー ト があ ら か じ めパ ッ ケージ化 さ れてい ます。
Q.
ク ラ イ ア ン ト 上でのスキ ャ ンには、 どれ く ら いの時間がかか り ますか。
A.
実行にかか る 時間は、 設定す る ポ リ シーの厳格 さ に よ っ て異な り ま す。 一般的に、 ネ ッ ト
ワー ク ス キ ャ ンにかか る 時間は 5 秒か ら 60 秒で、 ス キ ャ ンの頻度は構成オプシ ョ ンの 1 つ
です。 エージ ェ ン ト ス キ ャ ンは、 5 秒以内で終了 し ます。
Q.
ヘルプ デス ク や管理者は、感染修復をサポー ト する ために特定のユーザの結果を見る こ と が
で き ますか。
A.
はい。 Cisco NAC アプ ラ イ ア ン ス には独立 し たヘルプ デス ク ビ ュ ーお よ び管理者ビ ュ ーが
あ り 、エン ド ユーザのマシ ンにおけ る ス キ ャ ン結果をモニ タ リ ン グで き ます。そのため、ユー
ザが感染修復の際に問題に直面 し た場合は、 ス タ ッ フ がサポー ト す る こ と がで き ます。
Q.
イ ン タ ーネ ッ ト 上の新 し い脅威や脆弱性に関 し て、Cisco NAC ア プ ラ イ ア ン スはどのよ う に
し て更新 さ れますか。
A.
シ ス コ が Cisco NAC アプ ラ イ ア ン ス に対 し て定期的に自動ダ ウ ン ロ ー ド を実行 し ます。その
ため、 管理者が ウ ィ ル ス シ グ ネチ ャ な ど の動的なデー タ を手動で構成す る 必要はあ り ま せ
ん。
Cisco NAC ア プ ラ イ ア ン スの動作 : 検疫 と 感染修復
Q.
Cisco NAC ア プ ラ イ ア ン スは、 どのよ う に し て検疫を行いますか。
A.
Cisco NAC アプ ラ イ ア ン ス が検疫を実現す る 方法は 2 つあ り ます。 ポ リ シーに準拠 し ていな
いマシ ンにはア ク セ ス が制限 さ れた特定のユーザ ロ ールを割 り 当て る 方法 と 、ポ リ シーに準
拠 し ていないマシ ン を VLAN ま たは /30 サブネ ッ ト に置 く 方法です。
Q.
Cisco NAC ア プ ラ イ ア ン スは実際に ク リ ーン な状態にするのですか、 それ と も マ シ ンがク
リ ー ン な状態に保たれる よ う に プ ロ グ ラ ムが イ ン ス ト ールお よ び更新 さ れてい る こ と を確
認する だけですか。
A.
Windows
のホ ッ ト フ ィ ッ ク ス が失敗 し た場合、 Cisco
NAC
アプ ラ イ ア ン ス は自動的に
Windows の自動更新ツールを起動 し ます。 Cisco NAC アプ ラ イ ア ン ス が感染ま たは脆弱性を
検出す る と 、 修復ツール (Symantec の MyDoom Fix Tool な ど) がユーザに提示 さ れ る ので、
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 6 of 8
Q&A
ユーザはネ ッ ト ワー ク にア ク セ スす る 前にそれを使用す る 必要があ り ます。 さ ら に、 レ ジ ス
ト リ 設定が検出 さ れた場合は、定め ら れてい る セキ ュ リ テ ィ ポ リ シーにユーザのデバ イ ス が
準拠す る よ う に、 ソ フ ト ウ ェ ア ま たは ス ク リ プ ト のダ ウ ン ロ ー ド が開始 さ れ る こ と があ り ま
す。
Q.
Cisco NAC ア プ ラ イ ア ン スには感染修復のシス テムが含まれていますか。
A.
はい。 感染修復シ ス テ ムは、 Cisco NAC アプ ラ イ ア ン ス製品の一部です。
Q.
顧客は、 Cisco NAC ア プ ラ イ ア ン ス を通 じ てパ ッ チやア ッ プデー ト を展開で き ますか。
A.
はい。 お客様は、 Cisco NAC アプ ラ イ ア ン ス を通 じ てパ ッ チお よ びア ッ プデー ト をプ ロ ビ
ジ ョ ニ ン グお よ び展開で き ます。 Cisco NAC アプ ラ イ ア ン スは、 重要な Windows ア ッ プデー
ト と 、ほ と ん ど の主な ア ンチ ウ イ ルス ベン ダーに よ る ア ンチ ウ イ ルス定義のア ッ プデー ト を
サポー ト す る 更新 メ カ ニズ ム を備えてい ます。
Q.
Windows ベースのシ ス テムが正規の登録を し てお ら ず、 Windows ア ッ プデー ト を ダウン
A.
Cisco NAC アプ ラ イ ア ン ス は、 ロ ーカルの Microsoft SUS サーバを使用 し て動作 し ます。
ロー ド で き ない場合はど う な り ますか。
Cisco NAC ア プ ラ イ ア ン スの動作 : エージ ェ ン ト
Q.
オプ シ ョ ンのエージ ェ ン ト の役割は何ですか。
A.
エージ ェ ン ト はオプシ ョ ンで、デバ イ ス上のエージ ェ ン ト と し て Cisco NAC アプ ラ イ ア ン ス
の ス キ ャ ンお よ び準拠の メ カ ニズ ム を拡張 し ます。
Q.
ク ラ イ ア ン ト 側のエージ ェ ン ト がある状態 と ない状態で、Cisco NAC ア プ ラ イ ア ン ス を使用
し た場合の主な違いは何ですか。
A.
エージ ェ ン ト は、 デバ イ ス の ス キ ャ ン と 感染修復の 2 つの機能領域を拡張 し ます。 ス キ ャ ン
では、 エージ ェ ン ト に よ っ て Windows レ ジ ス ト リ 、 フ ァ イ ル シ ス テ ム、 お よ びシ ス テ ム メ
モ リ を ス キ ャ ン し てセ キ ュ リ テ ィ ポ リ シーに準拠 し てい る か ど う か を識別す る こ と が可能
にな り ます。 ポ リ シーには、 必要な ソ フ ト ウ ェ ア (ア ンチ ウ イ ル ス な ど) の イ ン ス ト ール、
禁止 さ れてい る プ ロ グ ラ ム (ス パ イ ウ ェ ア な ど) の削除、 最新の OS パ ッ チの日付な ど を含
め る こ と がで き ます。 感染修復では、 エージ ェ ン ト は 「ウ ィ ザー ド 」 と し て機能 し 、 マシ ン
を ク リ ーン な状態にす る プ ロ セ ス を自動化 し 、 通常の Web ベー ス に よ る 「 ク リ ッ ク 」 操作
を不要に し ます。
Q.
エージ ェ ン ト がサポー ト さ れている OS を教えて く だ さ い。
A.
現在、現在、エージ ェ ン ト がサポー ト し てい る のは、Windows XP Professional お よ び Windows
2000 Professionalのみです。
Q.
ユーザはエージ ェ ン ト をバイパス し た り 無効に し た り で き ますか。
A.
エージ ェ ン ト は軽量で堅牢な読み取 り 専用のプ ロ グ ラ ム で、 シ ス テ ム レ ジ ス ト リ 、 フ ァ イ ル
シ ス テ ム、 お よ びシ ス テ ム メ モ リ を ス キ ャ ン し ます。 ネ ッ ト ワ ー ク ア ク セ ス のために必要
にな っ た場合は、 ダ ウ ン ロ ー ド し て使用す る 必要があ り ます。 ユーザがエージ ェ ン ト を無効
にす る と 、 次にネ ッ ト ワー ク に ロ グオン し た と き に再度 イ ン ス ト ールが強制 さ れます。
All contents are Copyright © 1992-2007 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 7 of 8
Q&A
導入の際の考慮事項
Q.
お客様に導入を勧める際の主な考慮点は何で し ょ う か。
A.
お客様が必要 と する ソ リ ュ ーシ ョ ン を判断す る には、 以下の 4 つについて考慮 し ます。
• お客様は、 イ ン バ ン ド と ア ウ ト オブバ ン ド の ど ち ら の ソ リ ュ ーシ ョ ン を必要 と し てい る
か。
• お客様は、エージ ェ ン ト ベース と エージ ェ ン ト な し の ど ち ら の ソ リ ュ ーシ ョ ン を必要 と し
てい る か。
• お客様は、 バーチ ャ ル ゲー ト ウ ェ イ と リ アル IP/NAT (Network Address Translation) ゲー
ト ウ ェ イ のど ち ら を必要 と し てい る か。
• お客様は、 エ ッ ジ層、 デ ィ ス ト リ ビ ュ ーシ ョ ン層、 ま たは コ ア の う ち、 ど こ に ソ リ ュ ー
シ ョ ン を導入する 必要があ る か。
詳細につい ては、 http://www.cisco.com/en/US/products/ps6128/prod_installation_guides_list.html (英
文) にあ る Cisco NAC アプ ラ イ ア ン ス の ド キ ュ メ ン ト を参照 し て く だ さ い。
Q.
使用 し てい る ネ ッ ト ワー ク は典型的な ス タ ー型で、 ルー タ は中央に置かれています。 Cisco
NAC ア プ ラ イ ア ン スは、 ネ ッ ト ワー ク のすべての 「脚」 部分に必要で し ょ う か。
A.
Cisco NAC アプ ラ イ ア ン ス は 802.1q ト ラ ン キ ン グ をサポー ト し てい る ため、 ト ラ ン ク ポー
ト で脚の部分を構成する こ と に よ り 、 着信 ト ラ フ ィ ッ ク をサーバ経由で送信で き ます。 その
ため、 Cisco NAC アプ ラ イ ア ン ス を中央集中型で導入で き ます。
Q.
Cisco NAC ア プ ラ イ ア ン ス と と も に使用で き る ブ ラ ウザを教えて く だ さ い。
A.
Cisco NAC アプ ラ イ ア ン ス は、 SSL (Secure Sockets Layer) をサポー ト す る すべてのブ ラ ウ
ザ と と も に使用で き ます。
Q.
Cisco NAC ア プ ラ イ ア ン スの設定 と イ ン ス ト ールにかかる平均的な時間はどの く ら いです
か。
A.
イ ン ス ト ールは 1 日だけで終了する こ と も 、 5 日間かか る こ と も あ り ます。
Q.
Cisco NAC ア プ ラ イ ア ン スがサポー ト 可能な規模は、 ユーザ数に し て どの く ら いですか。
A.
現在、 Cisco NAC アプ ラ イ ア ン ス の最大の導入は 63,000 ユーザです。 Cisco NAC アプ ラ イ ア
ン ス導入の平均的なユーザ数は、 約 8,500 ユーザです。
Q.
Cisco NAC ア プ ラ イ ア ン スがサポー ト する VLAN の数はい く つですか。
A.
論理的には、 Cisco NAC アプ ラ イ ア ン ス がサポー ト す る VLAN の数に上限はあ り ません。 現
実的には、 1 つのサーバに 60 のサブネ ッ ト と し て導入を計画 し て く だ さ い。
関連情報
Cisco NAC アプ ラ イ ア ン ス の詳細については、 http://www.cisco.com/jp/nac/appliance を参照 し て く
だ さ い。
©2007 Cisco Systems, Inc. All rights reserved.
Cisco、 Cisco Systems、 および Cisco Systems ロ ゴ は、 Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。
「パートナー」 または 「partner」 という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。 (0609R)
この資料に記載された仕様は予告なく変更する場合があります。
シスコシステムズ株式会社
07.01
〒 107-0052 東京都港区赤坂 2-14-27 国際新赤坂ビル東館
http://www.cisco.com/jp
お問い合わせ先 ( シスコ コンタクト センター )
http://www.cisco.com/jp/go/contactcenter
0120-933-122 ( 通話料無料 ), 03-6670-2992 ( 携帯電話, PHS )
電話受付時間 : 平日 10:00 ~ 12:00, 13:00 ~ 17:00
お問い合せ先
Fly UP