セキュリティ エグセクティブサマリ AAAからポリシー管理への移行 認証方法に変化を迫るユーザー・モビリティ AAA (認証、承認、アカウンティング)とRADIUSが開発された理 由を振り返ると、簡単に10年以上の時間をさかのぼることになりま す。 モデム、ISP間のローミング、UNIX、AOLなどの略語やフレーズ が頭に浮かびます。ユーザーは1台のデバイスを使用し、有線デス クトップにつながれていました。デバイスも、アプリケーションも、 ネットワーク・リソースへのアクセスも、すべてIT部門によって管理 されていました。 1台のデバイスを使用する1人のユーザーを固定的な条件に基づい て認証することは、過去のものになりました。現在では、実際に 65%のユーザーが3台以上のデバイスを利用しています。彼らは、 いつ、どこからでも電子メールやセキュアなエンタープライズ・リ ソースにアクセスします。#GenMobileと呼ばれる次世代の人材 は、IT部門と旧式AAAプラットフォームの限界を押し広げていま す。 つまり、新たな課題が存在するということです。それでは、行動に 基づくモビリティ関連ポリシーの適用、個人所有デバイスの使用、 1ユーザーによる複数タイプのデバイスの使用に対応するポリシー 管理を実装するには、どうすればよいのでしょう。 可視性とプロファイリング ネットワークに接続するデバイスが分かっていれば、IT部門は基本 的な無線・有線アクセス・ポリシーを簡単に定義できます。デバイ 1つ確かなことは、セキュアなモビリティを実現するには、ポリシー スの所有者も分かっていれば、 特定タイプのデバイスとデバイス 管理が鍵になるということです。ポリシーは、旧式のAAAで使用 所有者に基づいて、より詳細なポリシーを作成できます。 される長く複雑なルール・セットよりずっとコスト効率に優れ、管 理が容易です。また、複数のモバイル・デバイスを使用する多数の これにより、IT部門が用意するノートPCには、幅広いネットワー ユーザーに対応できます。 ク・リソースへのセキュアなアクセスを許可し、同じ従業員が使用 する個人所有のスマートフォンよりも広い帯域幅を割り当てること ポリシーの自動化 旧式のAAAのルール・セットは、ユーザー・ロール、デバイス・タイ プ、アプリケーション・フロー、ロケーションといったコンテキスト・ ができます。 標準装備のサービス データに基づいてアクセス可能なリソースを動的に適用するポリ これは、大きな変化をもたらします。IT部門は、AAAとポリシーの シー管理システムに置き換えられました。 基礎的要素を使用して、サードパーティ製アプリケーションと自動的 にデータを交換し、セルフサービスのワークフローを実装できます。 ポリシーが優れているのは、想定される結果と想定外の結果の両 これらの機能は、旧式のAAAソリューションには存在せず、BYOD 方に基づいて作成できることです。たとえば、コンプライアンスを 導入の妨げになる可能性があります。 満たしていると考えられていたノートPCの状態が一晩で変化すれ ことも考えられます。この場合、修正を加えるか、解決するまでアク セスを制限する必要があります。 エグセクティブ・サマリ AAAからポリシー管理への移行 今日のポリシー管理システムでは、ユーザー自身が自分のデバイ ポリシー管理プロキシ・サービスにより、有線VoIPの実装などの多 スにセキュアなWi-Fi接続を設定できます。モバイル・デバイス管 くのカスタマイズが必要であった従来のユースケースを旧式AAAで 理(MDM)またはエンタープライズ・モビリティ管理(EMM)ソリュー サポートできます。旧式AAAサーバーを使用するサービスは、IT部 ションからのデータを利用すれば、デバイスがエンタープライズ・ 門がポリシー管理システムのAAA機能に慣れてきた段階で廃止で ネットワークにセキュアに接続できるかどうかを簡単に判別できま きます。 す。 ネットワーク・インフラ基盤 ゲストの認証 最高のポリシー管理システムは、既存の無線・有線ネットワーク上 ゲスト・ポリシーの一元管理も、旧式AAAソリューションにはない に実装することができ、802.1X、標準RADIUS、CoA (change-of- 大きなメリットをもたらします。優れた柔軟性を備えたポリシー管 authorization、認証変更)、RFC 3576、外部キャプティブ・ポータル 理システムが対応しているモジュールを使用することで、IT部門は をサポートします。これらの機能はほとんどのベンダーがサポートし 認証とポリシー適用の各種方式を利用し、社内データベースを活 ていますが、旧式の機器を使用している場合は、ソフトウェアまたは 用できます。 ハードウェアのアップグレードが必要になる可能性があります。 また、エンタープライズ・トラフィックからゲスト・トラフィックを分 モバイル・デバイス 離するためのセキュリティ・ポリシーも作成できます。さらに、ゲス 認証サービスは、AAAとポリシー管理システムの間でほとんど変 トがいつネットワークに接続でき、どれだけの時間接続していられ わりません。ただし、何らかの正常性チェックまたはデバイス検査 るかを決定するルールも簡単に定義できます。 を行うには、ポリシー管理システムが必要です。 ポリシー管理への移行の準備 ポリシー管理の重要機能は、NAC、MDM、または両方のエージェ ほとんどのIT部門は現在、ユーザーとデバイスのセキュリティ・ポ リシーの割り当てと適用にActive DirectoryまたはLDAPを使用し ています。しかし、リアルタイムのポリシー適用は行われておらず、 コンテキスト・データも使用されていません。この2つは、ユーザー の行動やデバイスのステータスに基づいて承認前および承認後の 判断を下す上で不可欠です。 ントを使用してデバイスから収集したインテリジェンスに基づくリ アルタイムの意思決定にまで及びます。デバイスを接続させるか、 修復を求めるか、アクセスを拒否するかは、ポリシー管理システム によって決定されます。 まとめ ユーザーが無線・有線ネットワークに1日中接続するモバイル環境 ポリシーとAAAサーバー でのポリシー管理の使用は、従来には存在しなかった新しい課題 それでは、ポリシー管理を導入するための最適な方法は何でしょう。 をすべて解決します。今日では、デバイスがアクセスを拒否されれ 旧式AAAから一元的ポリシー管理への移行は、段階的に行うことが ば、ユーザーやIT部門の生産性は失われます。 得策であり、 新たに導入するゲストと従業員のBYODは、新たに導 入するポリシー管理ソリューションによって管理することがベストプ 適切なポリシー管理のアプローチを採用することで、IT部門は、増 ラクティスです。 え続ける#GenMobile従業員がどこにいて、どのようなデバイスを 使用していても、使用が認められているアプリ、プリンター、ネット ワーク・サービスに簡単にアクセスできる環境を実現できます。 ©2015 Aruba Networks, Inc. Aruba Networks®、 Aruba The Mobile Edge Company® ( 定型 )、 Aruba Mobilty Management System®、 People Move. Networks Must Follow.®、 Mobile Edge Architecture®、 RFProtect®、 Green Island®、 ETIPS®、 ClientMatch®、 Bluescanner ™、The All Wireless Workspace Is Open For Business ™は、米国およびその他の国々のアルバネットワークスの商標です。 上記の商標がすべてではなく、 記載されていない商標もアルバネットワークスの商標の可能性があります。 All rights reserved. アルバ ネットワークスは、 本書ならびに製品の仕様を、 予告なく変更、 修正、 譲渡、 またはその他の方法で改訂する権利を留保します。 本書記載の仕様に関しては商業上合理的な範囲で正確を期しておりますが、 誤記 ・ 脱落については責任を負いません。 ■ 開発元 ■ お問い合わせ アルバネットワークス株式会社 〒105-0004 東京都港区新橋5-27-1 パークプレイス3F TEL. 03-6809-1540(代表) FAX. 03-6809-1541 www.arubanetworks.com EB_AAAtoPolicy_061915
© Copyright 2024 ExpyDoc