CLEARPASSポリシー管理プラットフォーム

ソリューション概要
CLEARPASSポリシー管理プラットフォーム
かつてはIT部門が企業全体の監視役であり、ネットワークだけで
きれば、それが基盤となります。鍵になるのは、ユーザーやデバイ
なく、一連の厳格なポリシー、専用のテクノロジー、完全に閉鎖さ
スがコンプライアンスを満たしていない場合にどうするかというこ
れたテクノロジー・エコシステムの統制も行っていました。しかし
とです。
これは、はるか昔のことです。
組織は、既存の課題と予期できない課題の両方に備えて計画を用
今日の職場には、スマートフォンやタブレットなど、数十億台もの
意する必要があります。ユーザーがリモート環境での作業を選択し
Wi-Fi対応デバイスが流入しています。ユーザーは1人で3台以上
たり、新しいスマートフォンを購入したりするたびに、IT部門やヘル
のデバイスを使用し、それぞれに40以上の業務用アプリと個人用
プデスクの担当者が手動で介入することは現実的ではありません。
アプリが搭載されています。
モビリティを実現するには、環境全体にデバイスとネットワークを
ユーザーの自由度も増しており、個人所有のスマートフォンやタブ
配備し、それを保護するための優れた方法が必要です。PINコード
レットをネットワークに接続し、気に入ったアプリを自由にダウン
の無責任な使用、企業ネットワークでの個人アプリの使用、場所を
ロードしています。家庭でも、職場でも、求められているのは機能
選ばない勤務など、組織は#GenMobileのリスキーな行動に適合
するモビリティ体験です。
する必要があります。
残念ながら、IT部門は統制の維持に苦しんでいます。
モバイルのすべてを一元管理
モビリティによって定義し直されるIT部門の仕事
IT部門の仕事の境界は、現在では企業を超えて広がっており、
ユーザーがどこからでも接続できることが求められています。目
標は、セキュリティを損なうことなく、あらゆる場所で接続を常時
Aruba NetworksのClearPassポリシー管理プラットフォームは、
モビリティの課題の解決に新しいアプローチを採用しています。こ
れを導入することで、IT部門は、企業全体に適用されるポリシー、
強力なセキュリティ、強化されたユーザー体験を実現するための基
盤を簡単に構築できます。
提供することです。
IT部門は、どうすれば可視性と統制を維持できるでしょう。デバ
イスがどこで使用され、1人のユーザーが何台のデバイスを使用
し、どのオペレーティング・システムがサポートされるかを把握で
このClearPassポリシーとAAAの単一プラットフォームから、アク
セス方法とデバイス所有者に関係なくユーザーとデバイスに適切な
アクセス権限を確実に付与するために、ネットワーク全体でコンテ
キスト・データが利用されます。
ソリューション概要
CLEARPASSポリシー管理プラットフォーム
モビリティ・ポリシーには、ユーザー・ロール、デバイス・タイプ、利
を特定する標準装備のデバイス・プロファイリング機能
用できるMDMデータと証明書ステータス、場所、曜日、時間帯など
• 接続とユーザーの問題の迅速な解決に役立つリアルタイ
を指定する必要があります。
ClearPassは、ポリシー管理の基盤であり、ユーザーとデバイスに
関する貴重な属性が記録された、共有可能なコンテキスト・データ
ベースを備えています。これにより、サイロ化されたAAA、NAC、ゲ
ム・トラブルシューティング・ツール
• MDM/EMM、ファイアウォール、SIEMツールなどのサー
ドパーティ製セキュリティ・ソリューションのすべてが1
つのソリューションとして動作する協調的な防衛機能を構
築するための標準装備の連携機能
スト・ソリューションでは提供できない、エンド・ツー・エンドのア
プローチによる一貫性のあるポリシー適用が実現します。
CLEARPASSのメリット
• 無線、有線、VPNのどの環境にも対応するポリシーとAAA
サービス
• コンテキスト・データ(ユーザー・ロール、デバイス・タ
強固なベースラインの構築
モビリティへの対応は、ユーザーがデバイスをどのような方法(有
線、無線、VPN)で接続し、企業リソースにどのようにアクセスする
かを管理することから始まります。アクセスを確実に差異化する詳
細なポリシーの作成には、ユーザー・ロールやデバイス・リスク・プ
ロファイルなどのコンテキスト・データを使用します。
イプ、場所、時間帯など)に基づいてリアルタイムに付与
されるネットワーク権限
• ネットワークに接続するあらゆるデバイスのタイプと属性
ClearPassは、モビリティを容易にするための重要機能を提供します。
• ユーザーとデバイス(企業支給とBYOD)のロール・ベース
のポリシー管理
• RADIUS/TACACS+、802.1X、非802.1Xサービスを含むエ
ンタープライズ・グレードのAAA
• ゲスト・アクセス、BYOD、BonjourやDLNAサービスを利
用したリソース共有のためのカスタマイズ可能な完全セッ
トのキャプティブ・ポータル・オプション
• リアルタイム・ダッシュボードや認証後レポート作成など
の完全セットの可視性機能
旧式のAAAでは実現できない機能を提供するために、ClearPass
では、ユーザーとデバイスのロール、動的VLANとアクセス制御リ
スト(ACL)の適用ルール、標準ベースのプロトコルでIDストアから
Arubaやマルチベンダーのネットワーク・インフラ基盤にまでアク
セスするサービスを利用できます。
ClearPassと旧式ソリューションの違いを鮮明にしているのは、1
つのサービスでMicrosoft Active Directory、LDAP互換ディレクト
リ、ODBC互換SQLデータベース、トークン・サーバー、社内デー
タベースなどの複数のIDストアを利用できることです。
IT部門が関与しないデバイス・プロビジョニング
BYOD環境での個人デバイスのオンボーディングは、それを管理す
るIT部門とヘルプデスクの担当者の負担となり、セキュリティ上の
懸念が生じる可能性もあります。
ClearPass Onboardを使用することで、ユーザーは、セキュアな
ネットワークでデバイスを使用するために必要なすべての設定を自
分自身で行うことができます。独自のデバイス証明書により、ユー
ザーはログインするたびに求められる資格情報の反復入力を1日中
省略できます。この利便性だけでも秀逸ですが、 証明書を使用す
ることでセキュリティがさらに向上します。
ソリューション概要
CLEARPASSポリシー管理プラットフォーム
デバイスをオンボーディングできるユーザー、オンボーディングで
ClearPass OnGuardは、ポスチャ・ベースの正常性チェックを実
きるデバイスのタイプ、各ユーザーがオンボーディングできるデバ
行するNACおよびNAP(ネットワーク・アクセス保護)機能を標準装
イスの台数は、IT部門が決定します。標準装備の認証局を使用す
備しています。これにより、幅広い範囲のコンピューター・オペレー
ることで、社内PKIと以後のITリソースが不要になるため、個人デバ
ティング・システムとバージョンで脆弱性を排除できます。
イスをより迅速にサポートできます。
さらに、使いやすいメニュー形式の検索機能が備わっているため、
ユーザーが組織から抜けた場合やモバイル・デバイスが紛失や盗
難に遭った場合に、そのモバイル・デバイスの証明書を迅速に失効
させ、削除できます。
簡単かつ迅速なゲスト・アクセス
BYODは、従業員のデバイスだけの問題ではありません。無線・有
線を問わず、ネットワーク・アクセスを必要とするすべてのビジター
ClearPassは、追加の企業セキュリティを実現する高度な正常性
チェックも提供します。
• ピアツーピア・アプリケーション、サービス、レジスト
リ・キーの処理。
• USBストレージ・デバイスや仮想マシン・インスタンスが
許可されるかどうかの確認。
• ブリッジ・ネットワーク・インターフェイスとディスク暗
号化の使用の管理。
も対象となります。ゲスト用ネットワーク・アクセスのプロビジョニ
常駐型・非常駐型のどちらのクライアントを使用する場合でも、
ングを自動化・簡略化すると同時に、エンタープライズ・トラフィッ
ClearPassは無線、有線、VPNインフラストラクチャ上で要件を満た
クからゲスト・トラフィックを分離する広範なセキュリティ機能も提
すエンドポイントを一元的に特定できます。
供するシンプルなモデルが求められます。
ClearPass Guestを使用すれば、従業員、受付係、イベント・コー
サードパーティ製ソリューションの有効活用
ClearPass Exchangeでは、ファイアウォール、MDM/EMM、SIEM
ディネータなどのIT部門以外のスタッフでも、ゲスト用の一時ネッ
ツールなど、人気の高いサードパーティ製セキュリティ・ソリューショ
トワーク・アクセス・アカウントを簡単かつ効率的に1日にいくつで
ンを利用してモバイル・セキュリティを自動化できます。ClearPass
も作成できます。また、MACキャッシュ機能を使用すれば、ゲスト
が持つコンテキスト・インテリジェンスを活用することで、デバイス、
はゲスト・ポータルへの資格情報の入力を繰り返すことなく、1日中
ネットワーク・アクセス、トラフィックの検査段階と脅威保護レベルで
簡単に接続できます。
セキュリティと可視性を確保できます。
自己登録では、従業員が何もしなくても、ゲストは自分で資格情報
ClearPass Exchangeは、共通言語であるREST (REpresentational
を作成できます。ログイン資格情報は、印刷したバッジ、SMSテキ
State Transfer) APIとsyslogなどのデータ・フィードを使用すること
スト、電子メールで配布できます。資格情報は、指定した時間また
で、ユーザーID、デバイス、場所、認証状態などのコンテキストを共
は日数だけClearPass内で保存し、その期間の経過後に自動的に
有し、より賢い判断を下すことができます。複雑なスクリプティング
無効化されるように設定できます。
言語や面倒な手作業による設定は必要ありません。
ClearPassでは、ノートPCとそれより小型のモバイル・デバイス
ClearPass Exchangeを導入すれば、ネットワークが自動的に対策を
に応じて自動的にサイジングされるゲスト・ポータルを作成するこ
実行します。
とでゲストの体験を改善することもできます。ポータルには、組織
のブランディングを施せるだけでなく、 広告、最新ニュース、割引
サービス、その他ターゲット・コンテンツ向けのオプションを使用
してカスタマイズできます。
• ネットワークへの接続を許可するかどうかは、デバイスの
ジェイルブレイク・ステータスなどのMDM/EMMデータに
基づいて判断できます。
• ファイアウォールは、ユーザー、グループ、特定デバイス
規制要件については、ゲストのアクセス記録を利用することで、
の属性に基づいて、ポリシーを正確に適用できます。
ネットワーク使用率の測定と監査、必要なWi-Fiカバレッジの特
• SIEMツールは、キャプチャしたすべての認証データを単
定、企業と業界のコンプライアンス要件への対応を無理なく行うこ
一ダッシュボードに表示するように設定できます。
とができます。
デバイスに対する双方向のアクションをネットワーク・イベントに応
デバイスの正常性に基づくアクセスの決定
じてClearPass Exchangeに実行させることもできます。たとえば、
承認プロセスでは、ウイルス対策、スパイウェア対策、ファイア
ユーザーがネットワーク認証に複数回失敗した場合に、デバイスへ
ウォールの企業ポリシーを確実に順守するために、特定のデバイ
の通知メッセージの直接送信をClearPassに実行させることができ
スについて正常性検査の実行が必要になる場合があります。自動
ます。
化は、企業ネットワークに接続する前のウイルス対策スキャンの実
行をユーザーに促します。
ソリューション概要
CLEARPASSポリシー管理プラットフォーム
場所を問わない業務用アプリへのセキュアなアクセス
モバイル・セキュリティの基盤
業務用アプリには、1日中迅速かつ簡単にログインできる必要があ
今日の#GenMobileに対してシームレスなモビリティ体験を提供す
ります。ClearPassの自動サインオン機能は、それを実現します。
誰もがアプリへの手動ログインを1回は必要とするシングルサイ
ンオンとは異なり、ClearPassの自動サインオンは、有効なネット
るには、多くの新しい課題を解決する必要があります。これには、
時間と場所に関係なくアクセスを保護するための計画、適切なツー
ル、強力な基盤が必要です。
ワーク・ログインを使用して、業務用モバイル・アプリへのアクセス
を自動的にユーザーに提供します。
ユーザーは、すべての業務用アプリのパスワードを記憶して手動で
入力する必要はありません。必要なのは、ネットワーク・ログイン、
またはデバイスの有効な証明書だけです。ClearPassは、シングル
サインオンを使用する場合のIDプロバイダー(IdP)またはサービス・
ClearPassは、ポリシー制御、ワークフロー自動化、可視性を単一
ソリューションで実現するプラットフォームを提供することで、これ
らの課題を解決します。ClearPassでは、コンテキスト・データの
取り込みと関連付けがリアルタイムで行われるため、無線、有線、
VPNのあらゆる環境で機能するポリシーを定義できます。
プロバイダー(SP)としても利用できます。
Bonjour、DLNA、UPnPサービス
DLNA/UPnP、Apple AirPlay、AirPrintを使用するプロジェクター、
テレビ、プリンター、その他のメディア・アプライアンスは、Aruba
Wi-Fiインフラストラクチャ全体で共有できます。ClearPassは、こ
れらのデバイスの検出と共有を簡略化します。
たとえば、自分のタブレットからディスプレイにプレゼンテーショ
ンを表示する教師には、教室で利用できるディスプレイのみが表示
されます。キャンパス内の別のエリアにあるデバイスは表示されま
せん。ディスプレイを使用できるユーザーをポータルで指定するこ
ともできます。これにより、学生によるディスプレイの悪用を防止で
きます。
また、医療施設では、医師は自分のiPadに保存されている電子
PACS画像を施設内のどの大規模スクリーンにも簡単に表示でき
ます。患者との協調は、よりシンプルになります。
©2015 Aruba Networks, Inc. Aruba Networks®、 Aruba The Mobile Edge Company® ( 定型 )、 Aruba Mobilty Management System®、
People Move. Networks Must Follow.®、 Mobile Edge Architecture®、 RFProtect®、 Green Island®、 ETIPS®、 ClientMatch®、
Bluescanner ™、The All Wireless Workspace Is Open For Business ™は、米国およびその他の国々のアルバネットワークスの商標です。
上記の商標がすべてではなく、 記載されていない商標もアルバネットワークスの商標の可能性があります。 All rights reserved. アルバ
ネットワークスは、 本書ならびに製品の仕様を、 予告なく変更、 修正、 譲渡、 またはその他の方法で改訂する権利を留保します。
本書記載の仕様に関しては商業上合理的な範囲で正確を期しておりますが、 誤記 ・ 脱落については責任を負いません。
■ 開発元
■ お問い合わせ
アルバネットワークス株式会社
〒105-0004 東京都港区新橋5-27-1 パークプレイス3F
TEL. 03-6809-1540(代表) FAX. 03-6809-1541
www.arubanetworks.com
SO_ClearPass_061915