社内ネットワークに「誰が・どの端末で・いつ」つないでいるか、正確に把握できていますか?
テレワークの普及やBYOD(従業員の私物端末持ち込み)が当たり前になった今、ネットワークへの不正接続リスクは以前より格段に高まっています。「管理外の端末が社内LANに接続されて情報が漏れた」「退職者が使っていた端末がそのままWi-Fiにつながっていた」——こうしたインシデントは、ネットワークアクセス制御(NAC)が機能していれば防げるものがほとんどです。
この記事では、NAC(Network Access Control)の仕組み・主な認証方式・代表的な製品の比較・中小企業でも実践できる導入ステップまで、現場で使えるレベルで解説します。
NAC(ネットワークアクセス制御)とは?
NAC(Network Access Control)とは、社内ネットワークへの接続を「認証・認可・検疫」の3ステップで制御する仕組みです。許可された端末・ユーザーだけをネットワークに接続させ、条件を満たさない端末は隔離または遮断します。
NACが解決する3つの問題
・管理外端末の接続防止: 私物PC・スマートフォン・IoT機器など、IT管理台帳に登録されていない端末がネットワークに接続できないようにします。
・セキュリティポリシー未準拠端末の排除: ウイルス対策ソフトが無効、OSパッチ未適用などポリシー違反の端末を「検疫ネットワーク」に隔離し、修復するまで本番ネットワークへのアクセスをブロックします。
・不正アクセスの早期検知: 接続ログを一元管理することで、誰がいつどこからネットワークに入ったかを可視化し、異常を素早く検知できます。
NACとファイアウォールの違い
ファイアウォールは「外から中への通信」を制御するのに対し、NACは「社内ネットワークへの接続そのもの」を制御します。ファイアウォールを突破する前の段階——LANケーブルを差した瞬間、Wi-Fiに接続しようとした瞬間——から防御線を引けるのがNACの強みです。
| 機能 | ファイアウォール | NAC |
|---|---|---|
| 制御対象 | 通信パケット(IPアドレス・ポート) | ネットワーク接続そのもの(端末・ユーザー) |
| 認証 | 基本なし(IPベース) | ユーザー認証・端末認証 |
| 検疫機能 | なし | あり(ポリシー未準拠端末を隔離) |
| 管理外端末の検出 | 困難 | 得意(MACアドレス・証明書で識別) |
NACの仕組み:認証フロー
NACは大きく3つのフェーズで動作します。
1. 認証フェーズ(Authentication)
端末がネットワークスイッチやWi-Fiアクセスポイントに接続しようとすると、まず認証要求が発生します。802.1Xを使う場合はEAP(Extensible Authentication Protocol)という手順でユーザー証明書やID/パスワードをRADIUSサーバーへ送信し、正規ユーザーかどうかを確認します。
# 802.1X認証の基本フロー(概念) # 端末(Supplicant)→ スイッチ(Authenticator)→ RADIUSサーバー(AS) # 1. 端末がスイッチに接続するとEAP-Requestが送られる # 2. スイッチがRADIUSサーバーへAccess-Requestを転送 # 3. 認証成功 → RADIUSがAccess-Acceptを返しスイッチがポートを開放 # 4. 認証失敗 → RADIUSがAccess-Rejectを返しポートは遮断のまま
2. 認可フェーズ(Authorization)
認証に成功した端末に対して、「どのネットワークセグメントにアクセスを許可するか」を決定します。たとえば、社員端末は本番LANへ、外部委託先端末はインターネットのみのゲストVLANへ、といったVLAN割り当てが自動で行われます。
3. 検疫フェーズ(Posture Assessment)
認証に成功した端末でも、セキュリティポリシーに準拠しているかをチェックします。チェック項目の例を挙げます。
・ウイルス対策ソフトの状態: 有効化・定義ファイル更新日時
・OSのパッチ適用状況: 重要アップデートが未適用でないか
・ディスク暗号化: BitLocker・FileVaultが有効か
・ホストベースファイアウォール: 有効化されているか
条件を満たさない端末は「検疫VLAN」に隔離され、修復ガイダンスを案内されます。修復完了後に再認証を通れば本番ネットワークへアクセスできます。
NACの主な認証方式
1. 802.1X認証(最も堅牢)
IEEE 802.1Xは有線・無線LAN両方に対応した業界標準の認証プロトコルです。RADIUSサーバー(FreeRADIUS・Microsoft NPS・Cisco ISEなど)との連携が必要ですが、最も堅牢な認証を実現できます。
・利用場面: 企業の有線LAN・802.1X対応Wi-Fi(WPA2/WPA3 Enterprise)
・認証要素: ユーザー証明書(最も安全)、またはID/パスワード
・難易度: 高め(RADIUSサーバー構築・端末への証明書配布が必要)
2. MAB認証(MACアドレスバイパス)
802.1Xに対応していない機器(プリンター・IPカメラ・IoTセンサーなど)向けの認証方式です。端末のMACアドレスを事前にRADIUSサーバーに登録し、そのMACアドレスで接続を許可します。
・利用場面: 802.1X非対応のネットワーク機器
・注意点: MACアドレスは偽装(スプーフィング)できるため、単独では弱い。802.1Xと組み合わせて使用するのが基本
3. Web認証(キャプティブポータル)
Wi-Fi接続後にブラウザ経由でID/パスワードを入力させる方式です。ゲスト向けWi-Fiでよく使われます。社員証明書の配布が難しい場面での一時的な認証手段として有効です。
・利用場面: ゲスト用Wi-Fi、BYOD環境の初期アクセス
・注意点: HTTPSでないと認証情報が平文で流れるリスクあり。必ずHTTPS化する
NACの主要コンポーネント
NACシステムは以下の要素で構成されます。
・認証サーバー(RADIUSサーバー): 認証要求を受け付けて認否を判断する。FreeRADIUS(OSS)、Microsoft NPS、Cisco ISEなど
・認証スイッチ・AP: 端末の接続要求を受け取り、RADIUSサーバーに転送する。802.1X対応スイッチが必要
・ポリシーサーバー: どの端末にどのVLANを割り当てるか、検疫条件は何かを管理する。製品によっては認証サーバーと統合されている
・エージェントソフト(任意): 端末にインストールして検疫情報を収集・送信する。エージェントレスNACも存在するがポリシーチェックの精度は落ちる
具体的な導入手順
1. 現状のネットワーク構成を把握する
まず社内にある端末の種類と台数を棚卸しします。
# スイッチのMACアドレステーブルを確認して未登録端末を洗い出す例(Cisco) # show mac address-table # Linuxサーバーからarpスキャンで接続端末を把握する例 sudo arp-scan --localnet
・PCなどのユーザー端末: 802.1X認証の対象
・プリンター・IPカメラ・IoT機器: MABの対象
・ゲスト端末・委託先PC: Web認証またはゲストVLAN用の802.1X
2. VLANの設計をする
NACが振り分け先として使うVLANを設計します。最低限の設計例を挙げます。
| VLAN名 | 用途 | アクセス範囲 |
|---|---|---|
| 社員VLAN(VLAN 10) | 認証済み社員端末 | 社内サーバー・インターネット全般 |
| 検疫VLAN(VLAN 99) | ポリシー未準拠端末 | 修復サーバーのみ |
| ゲストVLAN(VLAN 200) | 来訪者・委託先端末 | インターネットのみ(社内サーバーアクセス不可) |
| IoT VLAN(VLAN 30) | プリンター・IPカメラ等 | 必要な通信先のみ許可(最小権限) |
3. RADIUSサーバーを構築する
オープンソースのFreeRADIUSを使えば、無償でRADIUSサーバーを構築できます。
# FreeRADIUS インストール例(Ubuntu/Debian) sudo apt update sudo apt install freeradius freeradius-utils # サービス起動と自動起動設定 sudo systemctl enable --now freeradius # 動作確認(テストユーザーでの認証テスト) radtest testuser testpassword 127.0.0.1 0 testing123 # Access-Accept が返れば正常
4. スイッチに802.1Xを設定する
802.1X対応スイッチにRADIUSサーバーのIPアドレスと共有シークレットを設定し、ポートごとに802.1Xを有効化します。
# Cisco Catalystの設定例(概念) aaa new-model # RADIUSサーバー指定 radius-server host 192.168.1.10 key your-shared-secret aaa authentication dot1x default group radius dot1x system-auth-control # ポートへの適用例 # interface GigabitEthernet0/1 # switchport mode access # dot1x port-control auto
5. クライアント端末に証明書を配布する
802.1Xでユーザー証明書認証を使う場合、Active DirectoryのグループポリシーやMDM(Mobile Device Management)を使って端末に証明書を配布します。この作業が最も工数がかかりますが、一度仕組みを作ればあとは自動化できます。
中小企業でも今日からできること
NACのフルセット導入はコストと工数がかかります。まずは以下の段階的なアプローチを取ることをおすすめします。
STEP1(即日):MACアドレス管理を始める
社内のすべての端末のMACアドレスを台帳に記録します。スイッチのMACアドレステーブルを定期的にチェックして、台帳にない端末を検出する運用を始めるだけでも、管理外端末の早期発見につながります。
STEP2(1週間~):ゲストWi-Fiを物理的に分離する
来客や委託先が使うWi-Fiを社員用Wi-Fiと完全に分離します。多くのSOHOルーターやビジネス向けAPにはゲストSSID機能があり、設定するだけで別ネットワークに隔離できます。
STEP3(1か月~):FreeRADIUSでMAB認証を導入する
802.1X対応スイッチがある環境なら、FreeRADIUSとMAB認証の組み合わせで登録済み端末のみ接続を許可する仕組みを作れます。証明書配布が不要なため、中小企業でも取り組みやすい第一歩です。
STEP4(中期):クラウドNACサービスを検討する
予算がとれる段階になったら、クラウド型NACサービスの導入を検討します。Cisco Meraki、Aruba ClearPass、Portnox Cloudなどは管理画面がシンプルで、オンプレのRADIUS構築より早く導入できます。
よくある誤解と注意点
【誤解1】NACを入れれば内部不正はゼロになる
NACは「誰の端末か」を認証しますが、正規ユーザーが悪意を持って操作することまでは防げません。内部不正対策にはDLP(Data Loss Prevention)やSIEMによるログ監視との組み合わせが必要です。
【誤解2】Wi-FiにWPA2-PSKを使っているからNACは不要
WPA2-PSK(事前共有鍵)はパスフレーズが流出すると誰でも接続できます。また、誰がいつ接続したかの記録も残りません。WPA2/WPA3 Enterpriseと802.1Xを組み合わせることで、個人単位の認証・ログ管理が初めて実現します。
【誤解3】MACアドレス認証は安全
MACアドレスはOSから比較的簡単に偽装できます。LinuxならMACアドレス変更は一行のコマンドで実行可能です。MABは802.1X非対応機器の補完的な手段であって、主要な認証方式として単独で使うには弱すぎます。重要なセグメントには必ず802.1Xを使ってください。
【誤解4】NACの設定は一度やれば終わり
端末の入れ替え・人事異動・退職者対応など、端末台帳とRADIUSの登録情報は定期的なメンテナンスが必要です。特に退職者端末の証明書・MABアカウントの即時失効フローを確立しておかないと、退職後も社内ネットワークに接続できる状態が続くリスクがあります。
NACとゼロトラストの関係
ゼロトラストは「ネットワーク内にいるからといって信頼しない」という考え方です。NACはゼロトラスト実装の重要な要素の一つです。
・NACの役割(アクセス前): 正規端末・ユーザーのみをネットワークに接続させる
・マイクロセグメンテーション(接続後): ネットワーク内の横断移動(ラテラルムーブメント)を制限する
・継続的認証(利用中): 接続後も端末のセキュリティ状態を常時監視し、異常があれば切断する
NACだけで「ゼロトラストを実現した」とはいえませんが、ゼロトラストへの移行において最初に整備すべきアクセス制御の基盤です。
ゼロトラストの概念と実装手順については「ゼロトラストとは?概念・仕組み・導入手順をわかりやすく解説」で詳しく解説しています。
ネットワークの内部セグメント設計については「VLANとは?ネットワークセグメンテーションで内部脅威を封じ込める設計と実践ガイド」も参照してください。
よくある質問(FAQ)
Q. NACの導入費用はどれくらいかかりますか?
FreeRADIUSを使ったオンプレ構築なら、802.1X対応スイッチとLinuxサーバーがあればソフトウェアコストはほぼゼロです。Cisco ISEやAruba ClearPassなどのエンタープライズ製品は端末数に応じたライセンス料がかかり、100端末規模で年間数十万円程度から。クラウドNACサービスは1端末あたり月数百円~という価格帯の製品もあります。
Q. 有線LANとWi-FiのNACを別々に管理するのは大変ですか?
同じRADIUSサーバーに両方の認証要求を集約できます。スイッチとWi-FiアクセスポイントのRADIUSサーバーIPを同じ宛先に向けることで、一元管理が可能です。
Q. 802.1X非対応の古いスイッチがあります。どうすればよいですか?
古いスイッチのポートはMACアドレスベースのポートセキュリティ(最大接続MAC数の制限)で最低限の制御を行い、計画的にリプレースするのが現実的なアプローチです。いきなり全社802.1X化するのではなく、重要度の高いセグメント(サーバーVLAN・経理PC等)から順次対応することをおすすめします。
Q. テレワーク端末のNAC制御はどうすればよいですか?
在宅勤務端末は社内ネットワークに直接接続しないため、NACではなくVPN + MDM(エンドポイント管理)の組み合わせが主流です。VPN接続前に端末のポリシー準拠を確認する「ホストチェック機能」付きVPNソリューション(Palo Alto GlobalProtectなど)を使うことで、VPN経由でもNACに近い制御が実現できます。
NACソリューション比較
| 製品・方式 | コスト | 導入難易度 | 向いている規模 | 特徴 |
|---|---|---|---|---|
| FreeRADIUS(OSS) | 無償 | 高 | 中小~中堅(ITスキルあり) | 柔軟なカスタマイズ可能、保守は自力 |
| Microsoft NPS | Windows Server含む | 中 | Active Directory環境 | AD連携が容易、GUI設定可 |
| Cisco ISE | 高(ライセンス制) | 中 | 中堅~大企業 | 豊富な機能・可視化、Cisco機器との親和性高 |
| Portnox Cloud | 中(SaaS) | 低 | 中小企業 | クラウド管理、エージェントレス対応あり |
| Cisco Meraki | 中~高(ハード+ライセンス) | 低 | 中小~中堅 | Wi-FiとNACをセットで管理、GUI操作のみ |
本記事のまとめ
NACはネットワークへの接続を「認証・認可・検疫」で制御することで、管理外端末の侵入・セキュリティポリシー違反端末の接続を防ぐ仕組みです。本記事の要点を整理します。
| 項目 | 内容 |
|---|---|
| NACの役割 | 認証・認可・検疫の3ステップでネットワーク接続を制御 |
| 主な認証方式 | 802.1X(最も堅牢)、MAB(IoT向け補完)、Web認証(ゲスト向け) |
| 中小企業の導入起点 | MACアドレス台帳整備→ゲストWi-Fi分離→FreeRADIUS+MABの順で段階実装 |
| ゼロトラストとの関係 | NACはゼロトラスト実装の「アクセス前制御」レイヤーを担う |
| よくある誤解 | MACアドレス認証の単独依存・NACだけで内部不正防止は不可 |
NACの構築はゼロからだと工数がかかりますが、まずは「今つながっている端末をすべて把握する」ところから始めるだけでも、リスクの可視化という大きな一歩になります。Linuxのネットワーク設定やファイアウォールの詳細については、姉妹サイトLinuxMaster.JPの実践解説記事もあわせてご参照ください。
社内ネットワークへの不正接続、今どう防ぎますか?
NACの導入検討を始めたばかりの方から、FreeRADIUSの具体的な設定で詰まっている方まで、情シス1人体制で対処するためのセキュリティ実践ノウハウをメルマガでお届けしています。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
