セキュリティエグセクティブサマリ AAAからポリシー管理への移行認証方法に変化を迫るユーザー・モビリティ AAA (認証、承認、アカウンティング)とRADIUSが開発された理由を振り返ると、簡単に10年以上の時間をさかのぼることになります。モデム、ISP間のローミング、UNIX、AOLなどの略語やフレーズが頭に浮かびます。ユーザーは1台のデバイスを使用し、有線デスクトップにつながれていました。デバイスも、アプリケーションも、ネットワーク・リソースへのアクセスも、すべてIT部門によって管理されていました。 1台のデバイスを使用する1人のユーザーを固定的な条件に基づいて認証することは、過去のものになりました。現在では、実際に 65%のユーザーが3台以上のデバイスを利用しています。彼らは、いつ、どこからでも電子メールやセキュアなエンタープライズ・リソースにアクセスします。#GenMobileと呼ばれる次世代の人材は、IT部門と旧式AAAプラットフォームの限界を押し広げています。つまり、新たな課題が存在するということです。それでは、行動に基づくモビリティ関連ポリシーの適用、個人所有デバイスの使用、 1ユーザーによる複数タイプのデバイスの使用に対応するポリシー管理を実装するには、どうすればよいのでしょう。可視性とプロファイリングネットワークに接続するデバイスが分かっていれば、IT部門は基本的な無線・有線アクセス・ポリシーを簡単に定義できます。デバイ 1つ確かなことは、セキュアなモビリティを実現するには、ポリシースの所有者も分かっていれば、特定タイプのデバイスとデバイス管理が鍵になるということです。ポリシーは、旧式のAAAで使用所有者に基づいて、より詳細なポリシーを作成できます。される長く複雑なルール・セットよりずっとコスト効率に優れ、管理が容易です。また、複数のモバイル・デバイスを使用する多数のこれにより、IT部門が用意するノートPCには、幅広いネットワーユーザーに対応できます。ク・リソースへのセキュアなアクセスを許可し、同じ従業員が使用する個人所有のスマートフォンよりも広い帯域幅を割り当てることポリシーの自動化旧式のAAAのルール・セットは、ユーザー・ロール、デバイス・タイプ、アプリケーション・フロー、ロケーションといったコンテキスト・ができます。標準装備のサービスデータに基づいてアクセス可能なリソースを動的に適用するポリこれは、大きな変化をもたらします。IT部門は、AAAとポリシーのシー管理システムに置き換えられました。基礎的要素を使用して、サードパーティ製アプリケーションと自動的にデータを交換し、セルフサービスのワークフローを実装できます。ポリシーが優れているのは、想定される結果と想定外の結果の両これらの機能は、旧式のAAAソリューションには存在せず、BYOD 方に基づいて作成できることです。たとえば、コンプライアンスを導入の妨げになる可能性があります。満たしていると考えられていたノートPCの状態が一晩で変化すれことも考えられます。この場合、修正を加えるか、解決するまでアクセスを制限する必要があります。エグセクティブ・サマリ AAAからポリシー管理への移行今日のポリシー管理システムでは、ユーザー自身が自分のデバイポリシー管理プロキシ・サービスにより、有線VoIPの実装などの多スにセキュアなWi-Fi接続を設定できます。モバイル・デバイス管くのカスタマイズが必要であった従来のユースケースを旧式AAAで理(MDM)またはエンタープライズ・モビリティ管理(EMM)ソリューサポートできます。旧式AAAサーバーを使用するサービスは、IT部ションからのデータを利用すれば、デバイスがエンタープライズ・門がポリシー管理システムのAAA機能に慣れてきた段階で廃止でネットワークにセキュアに接続できるかどうかを簡単に判別できまきます。す。ネットワーク・インフラ基盤ゲストの認証最高のポリシー管理システムは、既存の無線・有線ネットワーク上ゲスト・ポリシーの一元管理も、旧式AAAソリューションにはないに実装することができ、802.1X、標準RADIUS、CoA (change-of- 大きなメリットをもたらします。優れた柔軟性を備えたポリシー管 authorization、認証変更)、RFC 3576、外部キャプティブ・ポータル理システムが対応しているモジュールを使用することで、IT部門はをサポートします。これらの機能はほとんどのベンダーがサポートし認証とポリシー適用の各種方式を利用し、社内データベースを活ていますが、旧式の機器を使用している場合は、ソフトウェアまたは用できます。ハードウェアのアップグレードが必要になる可能性があります。また、エンタープライズ・トラフィックからゲスト・トラフィックを分モバイル・デバイス離するためのセキュリティ・ポリシーも作成できます。さらに、ゲス認証サービスは、AAAとポリシー管理システムの間でほとんど変トがいつネットワークに接続でき、どれだけの時間接続していられわりません。ただし、何らかの正常性チェックまたはデバイス検査るかを決定するルールも簡単に定義できます。を行うには、ポリシー管理システムが必要です。ポリシー管理への移行の準備ポリシー管理の重要機能は、NAC、MDM、または両方のエージェほとんどのIT部門は現在、ユーザーとデバイスのセキュリティ・ポリシーの割り当てと適用にActive DirectoryまたはLDAPを使用しています。しかし、リアルタイムのポリシー適用は行われておらず、コンテキスト・データも使用されていません。この2つは、ユーザーの行動やデバイスのステータスに基づいて承認前および承認後の判断を下す上で不可欠です。ントを使用してデバイスから収集したインテリジェンスに基づくリアルタイムの意思決定にまで及びます。デバイスを接続させるか、修復を求めるか、アクセスを拒否するかは、ポリシー管理システムによって決定されます。まとめユーザーが無線・有線ネットワークに1日中接続するモバイル環境ポリシーとAAAサーバーでのポリシー管理の使用は、従来には存在しなかった新しい課題それでは、ポリシー管理を導入するための最適な方法は何でしょう。をすべて解決します。今日では、デバイスがアクセスを拒否されれ旧式AAAから一元的ポリシー管理への移行は、段階的に行うことがば、ユーザーやIT部門の生産性は失われます。得策であり、新たに導入するゲストと従業員のBYODは、新たに導入するポリシー管理ソリューションによって管理することがベストプ適切なポリシー管理のアプローチを採用することで、IT部門は、増ラクティスです。え続ける#GenMobile従業員がどこにいて、どのようなデバイスを使用していても、使用が認められているアプリ、プリンター、ネットワーク・サービスに簡単にアクセスできる環境を実現できます。 ©2015 Aruba Networks, Inc. Aruba Networks®、 Aruba The Mobile Edge Company® ( 定型 )、 Aruba Mobilty Management System®、 People Move. Networks Must Follow.®、 Mobile Edge Architecture®、 RFProtect®、 Green Island®、 ETIPS®、 ClientMatch®、 Bluescanner ™、The All Wireless Workspace Is Open For Business ™は、米国およびその他の国々のアルバネットワークスの商標です。上記の商標がすべてではなく、記載されていない商標もアルバネットワークスの商標の可能性があります。 All rights reserved. アルバネットワークスは、本書ならびに製品の仕様を、予告なく変更、修正、譲渡、またはその他の方法で改訂する権利を留保します。本書記載の仕様に関しては商業上合理的な範囲で正確を期しておりますが、誤記・脱落については責任を負いません。 ■ 開発元 ■ お問い合わせアルバネットワークス株式会社〒105-0004 東京都港区新橋5-27-1 パークプレイス3F TEL. 03-6809-1540（代表） FAX. 03-6809-1541 www.arubanetworks.com EB_AAAtoPolicy_061915