ホワイトペーパー セキュアなエンタープライズ・モビリティ のためのARUBA ADAPTIVE TRUST™ 防御機能 リアルタイム・コンテキストを利用して今日の新しいリスクを緩和 目次 企業の新しい境界 多様なモバイル・リスク ARUBA ADAPTIVE TRUST™防御機能について ARUBAの違い ARUBA ADAPTIVE TRUST防御機能によるセキュアな エンタープライズ・モビリティ 同一SSID上のBYODデバイスと企業支給デバイス 家庭内デバイスへのIT部門の統制の拡張 ゲスト・ネットワークでのBYODの防止 オープン・ネットワークでの承認と暗号化 まとめ アルバネットワークスについて 3 3 4 5 6 6 7 7 7 7 8 ホワイトペーパー セキュアなエンタープライズ・モビリティのためのARUBA ADAPTIVE TRUST™防御機能 企業の新しい境界 • ユーザーの習慣と行動:モバイル・ユーザーには、独自の 今日の企業ネットワークでは、構造的転換が進行しており、 テクノロジーを職場に持ち込むためにIT部門の統制をバイ #GenMobileと呼ばれるユーザーとモビリティ・ルールが場所や時 パスするという悪しき習慣があります。これらのユーザー 間を問わずに企業リソースにアクセスでるきように、静的で固定さ は、無許可のアプリとクラウド・ストレージを(場合に れた有線ネットワークからオープンで動的な環境へと移行していま よっては無意識のうちに)使用し、生産性向上という名目 す。 多数の個人デバイスとアプリを使用する#GenMobileは、Wi-Fiや セルラー経由での企業リソースへの一層のアクセスを求めており、 ITとセキュリティ管理者の負担になっています。 BYODは勢いを増し続けていますが、多くの企業はポリシー管理 を採用していないため、対応が遅れています。同時に、ネットワー で企業の制御が及ばない機密データにアクセスします。 • データ制御の喪失:モバイル企業でのデータの管理は複雑 です。現在では、企業データはコンテナやアプリを超え、 従業員が使用するオフサイトのバックアップ・デバイス、 無許可のクラウド・システム、アウトソーシングしたサー ビス・プロバイダーにまで広がっています。 • デバイスの変化:ユーザーが使用するデバイスは、セキュ ク・セキュリティへの投資は、相変わらず境界防御の強化に重点が リティ制御が異なる新しいデバイスに絶えず置き換えられ 置かれており、モビリティの課題は考慮されていません。 ているため、IT部門は、ネットワーク上に実際に何が存在 その結果、企業はデータの保護とモビリティに関連する新しいリス クの緩和に苦心しています。ゲートウェイ・ファイアウォール、IDS/ IPS、AV、スパム対策、URLフィルタリングなどの境界セキュリ ティ・ソリューションは、外部からの攻撃に対しては機能しますが、 現在では、重大な脅威の多くは企業内から発せられています。 し、どのように対処すべきかを特定できずにいます。無許 可の変更や、ジェイルブレイクされたデバイス・オペレー ティング・システムは、さらなる脆弱性をもたらします。 • 常時オン、常時接続:モバイル・デバイスは、利用可能な Wi-Fiネットワークを探し求めます。これにより、信頼性 の低いネットワーク、オープン・ネットワーク、不正ネッ 固定された境界と従来の防御メカニズムの概念では、モビリティが トワーク、アドホック・ネットワークや、中間者攻撃に機 課題となります。正面玄関から入ったスマート・デバイスは、IT部門 密データがさらされる可能性が高くなります。 が知らないうちにセキュリティ制御をバイパスして企業ネットワー クに直接接続します。モバイル環境では、ネットワークの境界は ユーザーが接続するあらゆる場所に広がり、ゲートウェイ防御の有 効性は損なわれます。 固定のエンドポイントや明確に定義されたデータ・パスの保護を対 象とした従来のセキュリティ対策は、今日のモバイル企業の保護に はまったく十分ではありません。ユーザーがあらゆる場所から接続 し、脅威があらゆる場所から発せられるという動的な特質に対応 多様なモバイル・リスク したセキュリティ制御が必要です。 洗練された今日の常駐型の攻撃は、最小限の共通項をターゲット さらに、企業支給のデバイスを使用する従業員向けに構築された とし、放置された脆弱性や無防備なバックドアから侵入して足場を 信頼モデルは、BYODの世界では通用しません。信頼は前提にで 築きます。ポリシー制御がなく、モバイル・デバイスに対する可視 きるものではなくなりました。現在では、信頼は獲得するものであ 性が限られていれば、企業は新しいさまざまなリスクに対して脆弱 り、適切なアクセス権限を決定するために追いかけ続けなければ になります。 ならないものになっています。 モバイル・デバイスに関連する脅威は多様です。これらのデバイス 適切な資格情報を提供したからといって、ユーザーに常に無制限 は、場所を問わずに使用され、機密データを保存できるため、デー アクセス権を付与する必要はありません。リソースにアクセスする タ損失の可能性が大幅に向上します。 権限を付与するには、特にユーザーとデバイスの場所が企業の制 さらに、小型で携帯性に優れていることから紛失や盗難に遭う可 能性も高くなりますが、多くの場合、パスワードによる保護は有効 御領域を離れている場合は、ユーザー名とパスワードだけでは不 十分です。 化されていません。実際に、モバイル・セキュリティを担当するIT管 従来のセキュリティ・モデルでは、ユーザー・ロール、デバイス・タ 理者の懸念事項として、置き忘れたデバイスからのデータ損失が上 イプ、所有者、場所などの関連コンテキスト情報を利用できませ 位に挙げられます。 ん。コンテキスト情報を利用することで、IT部門は企業を新しい脅 モビリティによって生じるセキュリティ・ギャップを埋めるには、 データ損失以外にも多くの事項を検討する必要があります。 威にさらすことなく、アクセスの許可または拒否をケースバイケー スで決定するポリシーを適用できます。 組織には、モバイル・エンタープライズ・ネットワークの保護に対す る新しいアプローチが必要です。コンテキストを活用してそれを共 有し、従業員の生産性を損なわずにモビリティ・ニーズに基づく適 応的な制御を適用するアプローチが求められています。 3 ホワイトペーパー セキュアなエンタープライズ・モビリティのためのARUBA ADAPTIVE TRUST™防御機能 ARUBA ADAPTIVE TRUST™防御機能について セキュリティは、従業員の生産性という観点からは障害とみなされが ちです。面倒なプロセスや厳格なポリシーはバイパスされることが多 いため、企業は脅威に対してさらに脆弱になり、統制を失います。 今日のアクセス・セキュリティの課題に対応する ARUBA ADAPTIVE TRUST • コンテキストに基づく状況判断:リアルタイムのコン エンタープライズ・モビリティに起因する新たなリスクへの対応に テキスト・データにより、ユーザー、デバイス・タ IT部門が苦心する一方で、従業員は、さらに多くのデバイスからの イプ、場所に関係なく、セキュリティ対策を確実に アクセスを求め続けています。基本的なサービスを利用できるよう 適用します。ポリシーは一元的に管理され、無線・ にし、それと同時に適切なセキュリティ・ポリシーを確実に適用す 有線ネットワーク、またはVPNへの接続時に適用さ るには、ネットワーク・チームとセキュリティのチームの連携が必 れます。 要です。 • デバイスのコンプライアンス:ネットワークへの接続 前に、すべてのデバイスはセキュリティとポスチャ 特定のセキュリティ・ニーズに対応するポイント製品ソリューション の組み合わせは、リスクの緩和には役立つかもしれませんが、複雑 さは増加し、制御は制限されます。ソリューション間の不十分な連 携も、モバイル人材の変化するニーズの特定と対応を難しくします。 のガイドラインに従っていることが確認されます。 コンプライアンスを満たしていないデバイスは、修 復を求められるか、アクセスを拒否されます。 • セキュアなワークフロー:ITポリシーに基づいてワー Aruba Adaptive Trustは、各種ネットワーク・セキュリティ・ソ クフローを開始できるのは、権限を持つユーザーの リューションとの間で豊富なコンテキスト・データを共有すること みです。個人所有のデバイスが企業リソースにアク で、セキュリティ・ギャップが生じる可能性を排除します。これによ セスできるのは、ポリシーによって許可される場合 り、すべてのセキュリティ・コンポーネントが1つの統合システムとし のみです。バックドアは、悪用される前に閉じられ て機能する協調的な防御機能が実現し、従業員の生産性に影響す ます。 ることもありません。 この防御フレームワークでは、企業のアクセス管理システムは、多 数のソースから収集されたコンテキストを利用して、接続の前後に これにより、既存のセキュリティ・ソリューションで求められる複雑 ユーザーとデバイスのステータスを簡単に精査できます。 なスクリプティング言語や面倒な手作業による設定なしでソリュー ションを連携させ、エンタープライズ・モビリティに起因するリスク さらに優れているのは、このデータがエンタープライズ・モビリ ティ管理(EMM)、ネットワーク・ファイアウォール、侵入防止など のセキュリティ・ソリューションとの間で相互に共有されることで す。それを可能にしているのは、REST (REpresentational State Transfer) APIとsyslogタイプのデータ・フィードです。 をより効率的に緩和できます。 Aruba Adaptive Trustを導入することで、ユーザーとデバイスの接 続方法とアクセス権限の割り当て方法について、IT部門はより賢い 判断を下すことができます。このように、一元化されたポリシー適 用エンジンは、ネットワークに接続するあらゆるものにとっての中 枢神経系のように機能します。 Aruba ClearPassは、 ユーザー、 デバイス、場所に関するコンテキスト・データを各種ネットワーク・ツール と共有し、 より詳細なポリシーの定義と適用を実現します。 4 セキュアなエンタープライズ・モビリティのためのARUBA ADAPTIVE TRUST™防御機能 ホワイトペーパー ARUBAの違い ClearPassアクセス管理システムは、Aruba Adaptive Trust防御モ デルの基盤を提供し、 あらゆるマルチベンダー・ネットワーク上で 一元的な制御と、ロールおよびリアルタイムのコンテキスト情報に 基づくモバイル・セキュリティ・ポリシーの適用を可能にします。 セキュアなエンタープライズ・モビリティの実現のた めにCLEARPASSが提供する多様な機能 • 強化された可視性:デバイスの接続時に動的に行わ れるプロファイリングは、ポリシーやトラブルシュ ーティングに利用できる貴重な情報を提供します。 • エンタープライズ対応ポリシー:標準装備のポリシ この独自のアプローチは、ClearPass Exchangeでの共通言語を利用 ー・サービス・テンプレートは、旧式のAAAソリュ した連携に基いており、企業はセキュリティ・システム全体でコンテキ ーションでは実現できない機能を提供しま スト情報を活用し、より詳細なポリシーを正確に適用できます。 す。BYODの導入やゲスト・アクセス・サービスの ClearPassは、AAA、ゲスト・ネットワーク・アクセス、セキュアな ためのポリシーは、数分間で作成して利用できま オンボーディング、デバイス正常性チェック、その他のセルフサービ ス機能とポリシー管理を1つのプラットフォームで連携させること で、セキュアなエンタープライズ・モビリティを実現します。 ClearPassは、Microsoft Active Directory、LDAP準拠ディレクト リ、ODBC準拠SQLデータベース、トークン・サーバー、社内デー す。 • 一元化されたコンテキスト:デバイスの場所、タイ プ、ステータス、所有者など、収集されたすべての データは中央のリポジトリに集約され、既存のセキ ュリティ・ソリューションと共有されます。 • セルフサービス:ユーザーは、個人所有デバイスの タベースなどの複数のIDストアを1つのサービス内で利用する2要 設定、紛失したデバイスの証明書の失効、ゲスト・ 素認証にも対応しています。 アクセスの保証を自分自身で実行できるので、ITヘ 追加コンテキストの貴重なソースとなるIDストアは、ユーザーの認 ルプデスク・チケットは削減され、すべてのユーザ 証や、特定企業リソースの使用承認にも利用できます。 ーの生産性が向上します。 ClearPass ExchangeがREST APIとデータ・フィードをサポート することで、ClearPassは、その他のセキュリティ・ソリューション やビジネス・ワークフロー・システムとの間でエンタープライズ・モ ビリティに関する重要なインテリジェンスを共有できます。 ® • モビリティ向けのポリシー適用:トラフィック・タイ プに基いてネットワーク権限を適用するための個別 VLANの管理は、複雑であり、負担になります。モ バイル・デバイス向けのポリシーは、ロールやトラ フィック・タイプなどのコンテキスト・データを利 その結果、Palo Alto Networksの次世代ファイアウォールは、ユー 用して、自動的にユーザーを適切なネットワーク・ ザーとデバイスのコンテキストを詳細なアプリ・レベルのポリシー セグメントに振り分ける必要があります。VLANと に自動的に利用できます。また、MobileIronなどのEMMアプリケー ACLの適用ルールは、必要時にのみ使用されます。 ションは、ユーザー、デバイス、場所などのコンテキスト・データを 共有し、Wi-Fiセキュリティ・ポリシーの適用に利用できます。 ServiceNow ®などのヘルプデスク・ツールとの連携では、ネット ワーク認証に失敗した場合に、ユーザー、デバイス、アクセスの問 題に関する重要な情報が記載されたヘルプデスク・チケットを自動 的に発行できます。 5 ホワイトペーパー セキュアなエンタープライズ・モビリティのためのARUBA ADAPTIVE TRUST™防御機能 ARUBA ADAPTIVE TRUST防御機能によるセキュアな エンタープライズ・モビリティ 同一SSID上のBYODデバイスと企業支給デバイス ClearPassは、変化し続けるポリシーのランドスケープのニーズに ことでBYODに対応し、複数のSSIDをブロードキャストしたり、複 対応し、ポイント・ソリューションの組み合わせによる管理の複雑さ 雑なVLANマッピングを作成したりすることなく、個人所有デバイ を、安全で強力な1つの総合的ポリシー管理システムに置き換えま スのアクセスを簡単に区別できます。 す。これにより、投資コストと運用コストは削減され、#GenMobile 向けの優れたユーザー体験に重点を置いて詳細に調整されたセ キュリティ・ポリシーを簡単に作成できるようになります。 ClearPassは、コンテキスト・ポリシーをロール・ベースで適用する また、ClearPassは、各BYODエンドポイントにデバイス固有の資 格情報を配布した上でプロビジョニングすることで、アクセス権限 を制限または失効させることができます。これにより、アクセスの ClearPassでは、複数のIDストアから得られるコンテキストと複数 ためのインフラ基盤が大幅に簡略化されると同時にセキュリティが の認証方式を利用できるため、IT部門はより詳細なポリシーを作 改善され、IT部門によるプロビジョニングの負担も軽減されます。 成でき、 同一インフラストラクチャ上で企業支給デバイスと個人 所有デバイスの扱い方を区別できます。 結果として、従業員のモバイル・ニーズへの対応に必要なネット ワーク機能とセキュリティ機能に簡単に適応できる動的で強力な 統合型ソリューションが実現し、企業は広範な種類の一般的な課 題に迅速に対応できるようになります。 ClearPassは、 ユーザー、 デバイス、場所の情報を利用することで、同一SSID上で差異化されたアクセスを実現します。 6 ホワイトペーパー セキュアなエンタープライズ・モビリティのためのARUBA ADAPTIVE TRUST™防御機能 家庭内デバイスへのIT部門の統制の拡張 まとめ 個人のモバイル・デバイスにポリシーを確実に順守させることは、 ユーザーの習慣、脅威、モバイル・デバイスが変化と進化を続ける 特にデバイスが物理的にネットワークに接続していない場合は容 中で、企業ネットワークの保護には新しいアプローチが求められ 易なことではありません。ClearPassは、ポリシーの制御とデバイ ています。固定的な境界の概念は、#GenMobileのような働き方に スへの適用をホーム・オフィスなどの離れた場所から接続するデバ よって完全に弱体化されました。ユーザーが場所を問わずにネット イスにも簡単に拡張できます。 ワークに接続して業務に使用するモバイル環境には、固定的な境 企業ネットワークにアクセスするすべてのデバイスは、事前に入念 界は存在しません。 に評価されます。正常性チェックには、コンピューター上の常駐型 ポリシー管理、NAC、ネットワーク・ファイアウォール、EMMシステ と非常駐型のエージェントがどちらも同じように使用され、チェッ ムの最善の組み合わせには、企業リソースを共有し、保護するため クに合格したデバイスのみがアクセスを許可されます。 の共通の方法が必要です。求められているのは、リスクを最小化す ClearPassはEMMシステムとも連携してスマートフォンやタブレッ トからコンテキスト・データを収集し、企業の有線・無線ネット ワークやVPNへのアクセスを要求するデバイスに対してポリシー るエンタープライズ・クラスのセキュアなモビリティを実現するため の、一元管理されたポリシーとセキュアなBYODおよびゲスト・ア クセス・ワークフローです。 適用アクションを実行します。コンテキストには、ジェイルブレイ Aruba Adaptive Trustモデルの心臓部であるClearPassは、 一元 ク・ステータス、ホワイトリスト/ブラックリスト指定アプリ、デバイ 的な監視役として、また、すべてのユーザー認証およびデバイス・ ス・タイプなどが含まれます。 データのコンテキスト・ストアとして機能します。ClearPassは、 ユーザーとデバイスを識別、認証し、特定のニーズに必要な適切な ゲスト・ネットワークでのBYODの防止 アクセス権限を信頼ベースのルールによって付与します。 ゲスト・ネットワークは、企業を訪問するゲストやVIPがWi-Fi接続 Aruba Adaptive Trustモデルを導入することで、企業のIT部門は、 を利用するためのものですが、従業員がこれを悪用し、ネットワー ク接続の社内BYODポリシーをバイパスすることがよくあります。 拡大を続けるモビリティ関連リスクに対して認証時以降に確実に対 応し、ユーザーのIT満足度を高めることができます。 ClearPassは、デバイスの登録およびオンボーディング中に収集し たコンテキストを利用して、ゲスト・ネットワークを使用している個 人所有デバイスや企業支給デバイスを迅速に特定できます。これに より、オープンなゲスト・ネットワークにさらされる企業データの量 を制限できます。 オープン・ネットワークでの承認と暗号化 リモート環境の従業員や出張先の専門家が企業リソースへのアク セスを維持する方法としてWi-Fiホットスポットは便利ですが、 残 念ながら、多くのホットスポットは、さまざまなサイバー脅威や中 間者攻撃に対して脆弱です。 ClearPassは、あらゆるパブリックWi-Fiネットワークにエンター プライズ・グレードのセキュリティを簡単に追加する方法を提供す ることで、障害を取り除き、お客様を保護します。ClearPassは、 PEAP (Protected Extensible Authentication Protocol)フレーム ワークを補強して各ゲスト・セッションを確実に暗号化し、Wi-Fiパ ケットが盗聴されないようにします。 7 セキュアなエンタープライズ・モビリティのためのARUBA ADAPTIVE TRUST™防御機能 ホワイトペーパー アルバネットワークスについて アルバネットワークスは、モバイル・エンタープライズに向けた次世代ネットワーク・アクセス・ソリューションの主要プロバイダです。IT部 門と#GenMobileを支援するMobility Defined Network(モビリティ・ディファインド・ネットワーク)を設計、提供しています(#GenMobile は、仕事と私生活のあらゆるコミュニケーションに個人のモバイル機器を活用する、テクノロジーに精通した新しい世代です)。 #GenMobileとIT部門が安心して利用できるモビリティ体験を実現するために、Aruba Mobility-Defined Networks™は、従来IT部門によ る人的操作を必要としたインフラ全体としてのパフォーマンス最適化やセキュリティ・アクションの発動を自働化し、生産性を大幅に向上 させ運用コストを削減します。 NASDAQに上場し、Russell 2000®指数に採用されているArubaは、カリフォルニア州サニーベールに本拠地を置き、南北アメリカ大 陸、ヨーロッパ、中東、アフリカ、アジア太平洋地域で事業を展開しています。Arubaについての詳細は、www.arubanetworks.comをご 覧ください。リアルタイムで更新される最新情報については、TwitterおよびFacebookでArubaをフォローしてください。また、Airheads Social (http://community.arubanetworks.com)では、モビリティとAruba製品に関する最新の技術的討論を覧いただけます。 ©2015 Aruba Networks, Inc. Aruba Networks®、 Aruba The Mobile Edge Company® ( 定型 )、 Aruba Mobilty Management System®、 People Move. Networks Must Follow.®、 Mobile Edge Architecture®、 RFProtect®、 Green Island®、 ETIPS®、 ClientMatch®、 Bluescanner ™、The All Wireless Workspace Is Open For Business ™は、米国およびその他の国々の Aruba Networks Inc. の商標です。 上記の商標がすべてではなく、 記載されていない商標も Aruba Networks Inc. の商標の可能性があります。 All rights reserved. Aruba Networks Inc. は、 本書ならびに製品の仕様を、 予告なく変更、 修正、 譲渡、 またはその他の方法で改訂する権利を留保します。 本書記載の仕様に関しては商業上合理的な範囲で正確を期しておりますが、 誤記 ・ 脱落については責任を負いません。 ■ 開発元 ■ お問い合わせ アルバネットワークス株式会社 〒105-0004 東京都港区新橋5-27-1 パークプレイス3F TEL. 03-6809-1540(代表) FAX. 03-6809-1541 www.arubanetworks.com WP_AdaptiveTrust_0619158
© Copyright 2024 ExpyDoc