Cisco NACは、導入が容易なエンドツーエンドのネットワーク登録およびポリシー適用ソリューションです。この高度なネットワーク セキュリティ製品は、次の機能を備えています。

• ネットワーク内のユーザ、デバイス、およびそのロールを認識できます。この最初のステップは認証を行う時点で実行され、悪意あるコードによってダメージを受ける心配がありません。
• マシンがセキュリティ ポリシーに適合しているかどうかを評価します。セキュリティ ポリシーは、ユーザ タイプ、デバイス タイプ、または OS ごとに設定できます。
• セキュリティポリシーを適用し、適合していないマシンを遮断、隔離、および修復します。適合していないマシンは検疫エリアへ入れられ、管理者の判断に応じて修復されます。

Cisco NAC の導入により、次の条件に関係なく、すべてのデバイスに対してポスチャ評価および修復サービスを行うことができます。

• デバイスのタイプ： Cisco NAC を使用すると、Windows マシン、Mac マシン、Linux マシン、ノート型パソコン、デスクトップ パソコン、PDA、その他の企業資産（プリンタや IP フォン）など、すべてのネットワーク接続されたデバイスに対してセキュリティポリシーを適用できます。
• デバイスの所有者： Cisco NACを使用すると、企業、社員、請負業者、およびゲストが所有するシステムにセキュリティ ポリシーを適用できます。
• デバイスのアクセス方法： Cisco NAC は、LAN、WLAN、WAN、または VPN経由で接続するデバイスにネットワーク アドミッション コントロールを実施します。

Cisco NAC は、別の製品や追加モジュールを用意することなく、すべての運用シナリオに対してポリシーを適用可能な独自の機能を備えています。

Cisco NAC ソリューションは次のようなさまざまな方法で、企業に恩恵をもたらします。

• セキュリティ ポリシーを適用することにより、コンプライアンス要件に対応する
• 不正なネットワーク アクセスを防止し、貴重な情報資産を保護する
• ウイルス、ワーム、スパイウェア、およびその他の悪意あるアプリケーションなどのネットワークの脅威から、予防的に防御する
• 定期的に評価および修復することで、ユーザ マシンの脆弱性を最小限に抑える
• エンドポイント マシンの識別、トラッキング、修復および更新プロセスを自動化することで、大幅なコスト削減を達成する

Cisco NAC は、ほとんどの認証方式で認証プロキシとして機能します。Kerberos、Lightweight Directory Access Protocol（LDAP）、RADIUS、Active Directory、S/Ident などの認証方式と統合可能です。エンド ユーザの利便性を向上させるために、Cisco NAC では、VPN クライアント、無線クライアント、および Windows Active Directory ドメインのシングル サインオンをサポートしています。管理者はロールベースのアクセス コントロールを実行することで、さまざまな権限レベルの複数のユーザ プロファイルを維持できます。

Cisco NAC は、すべての Windows、Mac OS、Linux ベースの OS およびマシン、そしてゲーム コンソール、PDA、プリンタ、IP フォンなどの PC 以外のネットワーク接続されたデバイスのスキャニングをサポートしています。NAC はネットワークベースのスキャンを実施しますが、必要に応じてカスタムビルトのスキャンを実施することもできます。Cisco NAC は、レジストリ キーの設定、稼働中のサービス、またはシステム ファイルによって特定されるすべてのアプリケーションをチェックできます。

Cisco NAC は、ポリシーに適合していないマシンを検疫エリアへ入れます。これによって、修復リソースへのマシンのアクセスを維持しながら、感染の拡大を防ぐことができます。検疫には、/30 程度のサイズの小さいサブネットを使用するか、検疫 VLAN を使用します。

標準ソフトウェア メンテナンス パッケージの一部としてシスコが提供するセキュリティ ポリシーの自動更新機能では、重要な OS の更新、アンチウイルス ソフトウェアのウイルス定義の更新、およびアンチスパイウェアの定義更新をチェックするポリシーを含め、一般的なネットワーク アクセス条件に関するポリシーが事前に設定されています。これにより、Cisco NAC によって常に最新のポリシーを維持できるため、ネットワーク管理者の管理コストが軽減します。

管理者は、Cisco NAC の Web ベースの管理コンソールを使用して、ユーザが属するロールごとに必要なスキャンのタイプと、リカバリに必要な関連する修復パッケージを定義することができます。1 つの管理コンソールから複数のサーバを管理できます。

検疫エリアに隔離されたデバイスには修復サーバへのアクセス権が与えられます。修復サーバは、OS のパッチとアップデート、ウイルス定義ファイル、または Cisco Security Agent などのエンドポイント セキュリティ ソリューションを提供することができます。管理者は、オプションのエージェントを使用して自動修復を有効にしたり、一連の修復手順を指定したりできます。また、Cisco NAC は監視モードやサイレント修復などの使いやすい機能を提供し、ユーザへの影響を最小にします。

Cisco NAC には、どんなネットワークにも対応できるよう幅広い導入モードが用意されています。仮想または実際の IP ゲートウェイとして、エッジまたは中央に配置できるほか、クライアントのレイヤ 2 またはレイヤ 3 アクセスに対応し、ネットワーク トラフィックにインバンドまたはアウトオブバンドで導入できます。

Cisco NAC は、お客様のネットワークに最適な方法で導入できます。表 1 に詳しい導入オプションを示します。

表 1 Cisco NAC の導入オプション

Cisco NAC には、いくつかの中核的コンポーネントと、機能強化のための追加オプション コンポーネントがあります。

• Cisco NAC Server：エンドポイントがポリシーに適合しているかどうかに基づいて、評価を開始し、アクセス権限を決定するデバイスです。ユーザは、ポート レイヤでブロックされ、検査に合格するまで、信頼されるネットワークへのアクセスは制限されます。Cisco NAC Server には、オンラインの同時ユーザ数（100、250、500、1,500、2,500、3,500 および 5,000 ユーザ）に基づいて、7 つのサイズが用意されています。1 つの会社で、サイズの異なる複数のサーバを使用することができます。たとえば、本社ビルで 1,500 ユーザの Cisco NAC Server を使用し、同じ会社のブランチ オフィスでは 100 ユーザのサーバを使用できます。
• Cisco NAC Manager：ユーザのロール、チェック、ルール、およびポリシーを確立するための一元化された Web ベースのコンソールです。Cisco NAC Manager には 3 つのサイズが用意されています。Cisco NAC Lite Manager では、最大 3 台の Cisco NAC Server を管理できます。Cisco NAC Standard Manager では最大 20 台の Cisco NAC Server を管理でき、Cisco NAC Super Manager では最大 40 台の Cisco NAC Server または 80 台の Cisco NAC ネットワーク モジュールを管理できます。
• Cisco NAC Agent：ポスチャ評価機能を拡張し、修復を効率化するコンパクトな読み取り専用のエージェントです。Cisco NAC Agent はオプションであり、無料で配布されます。

中核をなす Cisco NAC Manager および Server のユーザ認証、デバイス準拠性評価、ロールベースのアクセス コントロールの機能に加え、いくつかの高度な Cisco NAC サービス オプションがさらなる運用上の利点とポリシー コントロールを提供します。

• Cisco NAC Profiler：オプションの Cisco NAC Profiler は、IP フォンやプリンタ、スキャナなどの認証不要デバイスを含む、ネットワークに接続されたすべてのデバイスのリアルタイムのコンテキスト インベントリを維持することで、コンピュータ以外のデバイスのプロファイリングを提供します。Cisco NAC の展開と、エンドポイント デバイスの検出および追跡に関連する管理タスクを大幅に軽減します。Cisco NAC Profiler データ シートは、http://www.cisco.com/web/JP/product/hs/security/cca/prodlit/nacp_ds.html を参照してください。
• Cisco NAC ゲスト サーバ：オプションの Cisco NAC ゲスト サーバは、有線および無線ネットワーク上のゲスト ユーザのプロビジョニング、通知、管理、レポートを簡略化し、会社の訪問者のサポートに関連する一般的な課題から IT スタッフを解放します。セキュアなゲスト サービスは、訪問者の業務上のニーズを満たすセキュアで柔軟なネットワーク アクセスを提供すると同時に、自社の資産、従業員、そして情報を保護するための IT 能力を強化します。Cisco NAC ゲスト サーバのデータ シートは、http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5707/ps8418/ps6128/product_data_sheet0900aecd806e98c9.html [英語] を参照してください。

図 1 は、インバンド モードでの Cisco NAC を論理的に示した図です。この構成は、Cisco Aironet^® アクセス ポイントを含むすべての 802.11 無線アクセス ポイントと連動して動作します。インバンド モードは、VPN トラフィックにも適した導入モードです。

図 1 インバンド モードでの Cisco NAC アーキテクチャ

トラフィック フロー モードのほか、お客様のネットワークに最適な方法で NAC を導入できるよう、多様な導入オプションがあります。表 2 に、その他の導入オプションの一覧を示します。

表 2 Cisco NAC ネットワーク モジュール導入オプション

インバンド モードの Cisco NAC はあらゆるネットワーク インフラストラクチャに対応しますが、アウトオブバンド モードは Simple NetworkManagementProtocol（SNMP;簡易ネットワーク管理プロトコル）を使用してスイッチと通信します。