: 豊富なコンテキスト データの共有による協調的かつ適応的なモビリティ防御機能の構築 企業ネットワークには Wi-Fiに対応した数十億台ものスマートフォンやタブレットが接続しており IT 部門は可視性の確保とセキュリティの維持に苦心しています セキュリティを確保し 同時にプロビジョニングに混乱を来すことなく優れたユーザー エクスペリエンスを提供することは 大きな課題となっています IT 部門が現在もネットワーク アクセス制御 (NAC) エンタープライズ モビリティ管理 (EMM) ポリシー管理 ファイアウォール ゲスト管理 シングルサインオン ソリューション ヘルプデスク トラブルチケットに複数の異なるシステムを利用していることが この問題をさらに複雑にしています 多数のポイント製品を組み合わせて使用することが 複雑さ 高コスト セキュリティ制御の脆弱性を招いています このようなサイロ化されたアプローチでは 設定に多くの時間がかかり ヘルプデスクの手作業も増加します モバイル企業のセキュリティを確保するには IT 部門にはより優れた 適応的な手法が必要です 今日のモバイル人材の柔軟な勤務習慣に対応するには ユーザー ロール デバイス タイプ 所有者 場所 使用アプリなどのコンテキスト データに基づいてポリシーを動的に適用する必要があります より重要なことは 導入したセキュリティ製品や管理システムがこのコンテキスト データを相互に交換し 連携して全体的な可視性を向上させる必要があるということです 総合的かつ適応的なセキュリティのニーズに対応するために Aruba Networks は ClearPassアクセス管理システムのベースライン機能である ClearPass Exchangeを開発しました ClearPass Exchangeは コンテキスト データを広範な種類のサードパーティ製 ITシステムと共有するための一元的な判断機能を提供します これを導入することで すべてのコンポーネントが完全に統合された 1つのシステムとして動作するようになり 協調的な防衛機能が実現します
流入するアクセス層トラフィックの監視役として機能する ClearPassは ユーザーとデバイスのプロファイリング 認証 承認を行います そのために ClearPassサーバーは信頼できる貴重なコンテキスト データを大量に収集します 次に例を挙げます ユーザーのID デバイスの現在のステータスとポスチャ 接続しているユーザーとデバイスの場所 どのようなマルチベンダー ネットワーク向けにもアクセス ポリシーを定義できるように ClearPassはアダプティブ トラスト ( 適応的信頼 ) のアプローチを採用しています 企業リソースへのアクセスのためにネットワークに接続するすべてのユーザーとデバイスは 接続の前と後に評価されます コンテキストを通じて接続のリスクが判断され それに基づいてアクセス ポリシーは動的に調整されます このコンテキスト データは 多数の社内システムとサードパーティ製システムから 1 方向と双方向の通信を通じて収集されます コンテキストの共有を容易にするために ClearPassは SQL syslog XML SOAP SAML OAuth2 HTTPなど 多様な APIとプロトコルに対応しています たとえば ClearPass ExchangeはXML APIを使用して EMMシステムをポーリングし メーカーとモデル 暗号化ステータス ブラックリスト / ホワイトリスト指定アプリケーション ジェイルブレイク ステータスなど 多様なデバイス情報を収集できます EMMシステムが検出したポリシー違反は ClearPassのポリシー判断に反映されます 接続の判断が完了すると ClearPassが作成した豊富なセッション コンテキストは 他のシステムと共有できるように保存され ネットワークの保護に利用されます ClearPass Exchangeは 多数のサードパーティ製デバイスおよび管理システムとコンテキストを共有し ClearPassサービスとのシームレスな連携を実現します お客様は 導入済みの自社システムとの連携からメリットが得られるだけでなく 連携が事前に組み込まれている Arubaの多数のソリューションからもメリットを得られます たとえば Arubaは Palo Alto Networksの次世代ファイアウォールとの情報交換をパッケージ化しました これにより アプリ レベルのポリシーをユーザー レベルおよびデバイス レベルでより正確に適用できるようになり ネットワーク エッジのセキュリティを強化できます 同様に SplunkやHP ArcSightなどの SIEMソリューションは ClearPassが収集したユーザー デバイス 場所の可視性を利用できます
ClearPassは ネットワーク関連以外の ITシステムやヘルプデスク ツールとも連携し ユーザーが認証に失敗した場合に そのユーザー デバイス 場所に関する情報が記載されたチケットを自動的に作成できます さらに ネットワーク デバイス ユーザーに関するインテリジェンスをTwilio ServiceNow Nearbuy/RetailNextなどのクラウド ベースのサービスにまで拡張することで 別の ITワークフローにモビリティのコンテキストを追加することもできます その結果自動化が進み ユーザーの満足度が向上し IT 部門の手作業の時間が短縮されます モビリティ インフラストラクチャがセキュリティ システムやビジネス システムと連携するため IT 部門は他の業務に集中することができます カスタマイズされたメインストリーム以外のシステムとの連携を必要とする革新的なアイデアをお持ちであれば Aruba 製品を利用することで簡単に独自システムを構築し 非従来型ヘルプデスク / インシデント通知 顧客関係管理 (CRM) ルーム オートメーションとLED 照明など 他の多数のシステムとコンテキスト データを共有できます ClearPassとサードパーティ製システムの間にコンテキスト共有の連携を簡単に構築できるように ClearPass Exchangeは リアルタイム イベントのフレームワーク カスタマイズ可能なアウトバウンド API 分かりやすいフォームを提供します ClearPass Exchangeは アウトバウンド HTTPベースの RESTful APIを使用することで 標準的な HTTPコマンドを使用する任意の API 対応 Webサービスと対話できます これにより 驚くほどの柔軟性と拡張性が ClearPassにもたらされ あらゆるサーバーとネットワーク主導型ワークフローを連携させることができます Arubaは ソーシャル ネットワーキングの Airheadsコミュニティ (http://community.arubanetworks.com) 向けにClearPass Exchangeレシピ サイトも用意しました ここでは 独自連携の構築体験を他のClearPassユーザーと共有できます
パートナーの協力 カスタム連携以外にも ClearPass を EMM ファイアウォール シングルサインオンなどの多くのシステムと設定なしでネイティブに連携できるように Aruba は業界をリードするパートナー企業と協力しています ClearPass MobileIron 職場でのBYOD および Internet of things (IoT) エンドポイントの使用が増加する中で EMMとNAC システムの連携の重要性が高まっています EMMシステムがデバイスのコンテキスト データを共有できるようにすることで EMMエージェントが収集した属性を使用してネットワーク ポリシーをより簡単に適用できます 幸いにも ClearPassは MobileIron AirWatch by VMware Citrix XenMobile JAMF Software IBM SOTI SAP Afariaをはじめとする多数のティア 1 EMMベンダーとの多機能な双方向連携に対応しています たとえば MobileIronのEMMは デバイスのポスチャ OSバージョン 実行中アプリ 所有者 個人所有と企業支給の区別などの情報を ClearPassサーバーに提供できます ClearPassは この詳細なコンテキスト情報に基づいて デバイスにネットワークへの接続を許可するかどうか 接続後にどのリソースへのアクセスを許可するか 接続中にどのアクションの実行を許可するかを判断します ユーザーがネットワーク接続の認証に複数回失敗した場合は ClearPassはMobileIronの通知メッセージをデバイスに直接送信し そのデバイスの検疫などの対策をネットワークに自動的に実行させることができます 反対に MobileIronがデバイスに対して実行する EMMエージェントの有無やブラックリスト指定アプリケーションに関するポスチャ アセスメントの結果に基づいて ClearPassがアクセス権限の適用 修復 通知を行う場合もあります この標準装備のEMMとの連携機能により ClearPassは アダプティブ トラストの最適な判断を下す際に必要となるデバイス ポスチャ情報を確保でき 追加の通知や付加価値のあるポリシー イベントを実行することもできます
ClearPass Palo Alto Networks Palo Alto Networksの次世代ファイアウォールは すべてのアプリ 脅威 コンテンツをネイティブに検査するトラフィック分類機能を備えています ClearPassと連携することで これらのファイアウォールのポリシー適用機能は 単なる IPアドレス ベースやディレクトリ ベースの識別情報を超えて拡張されます これにより ユーザー デバイス ゲスト ネットワークや ディレクトリ以外の識別情報に基づいてポリシーを適用できるようになります エンタープライズ ボリュームに接続するデバイスの量と多様性に対応し 適用ルールを正しく確実に適用することが重要です ClearPassとPalo Alto Networksのファイアウォールの連携により あるユーザーが使用する ipadには社外 Webのブラウズ権限とWeb メールおよびソーシャル サイトへのアクセス権限を付与し 同じユーザーが使用する企業支給のノート PCには社外 Webのブラウズ権限のみを付与し Webメールとソーシャル サイトへのアクセスは禁止することができます
(SIEM) ClearPass Splunk SIEMシステムを使用することで あらゆるセキュリティ イベントを収集し データの関連付けや 他のシステムとの協調的なポリシー適用アクションに利用することができます これらのソリューションとの NAC/AAAデータの共有は あらゆるアクセス層セキュリティ戦略に不可欠です ClearPassは LogRhythm HP ArcSight Splunkなどの SIEMシステムと連携し セッション ログ 監査イベント イベント記録 その他のsyslogデータを共有します ClearPassが共有するコンテキスト データを利用することで SIEMシステムはセキュリティ上の脅威やポリシー違反の検出を迅速化できます Splunk 向けのClearPassアプリを使用すれば 無線 有線 VPNで企業ネットワークに接続している従業員 契約業者 ゲストなどに関するClearPass Policy Manager syslogフィードを表示できます さらに ClearPassとSplunkの連携により 認証要求 失敗とアラート ポリシー適用の傾向 ( 最も頻繁に適用された上位 10プロファイルなど ) エンドポイント プロファイル セッションの詳細や その他の有用な情報を簡単に追跡できるようになります
ClearPass PagerDuty ClearPassは 管理システム SMS 従来型電子メール コールバック音声システムなど ほぼあらゆる通知システムと連携できます たとえば PagerDutyのオペレーション パフォーマンス プラットフォームと連携することで ClearPassはセキュリティ イベントについてオペレーション チームに通知し メッセージを確実に伝えることができます 従業員 顧客満足度 売上に影響するインシデントへの対応時間を短縮するには タイムリーなイベント通知とエスカレーションが重要です ClearPassとPagerDuty を連携させることで 不要な通知の量を削減し ネットワーク セキュリティの問題の特定と解決を迅速化できます この連携で提供されるパフォーマンス データは プロセスの合理化と顧客体験の改善にも利用できます ホテルに VIPゲストが到着すれば 顧客関係の担当者にプロアクティブに通知することができ ネットワーク アクセスに困っている宿泊客がいれば それを迅速に特定できます
ClearPass IBM Security Access Manager (isam) エンタープライズ アプリケーションへのアクセスにスマートフォンのようなエンドポイントが使用されることが多くなると Webアプリケーションのユーザー認証とシングルサインオンが課題になる可能性があります ClearPassの自動サインオン機能を使用すれば ネットワークへのユーザー認証が完了しているユーザーは モバイル アプリを使用するたびにログインを繰り返す必要はありません ClearPassは ユーザーのネットワーク ログインを検証し モバイル アプリに対してユーザーを自動的に認証します ClearPass Exchangeは SAML (Security Assertion Markup Language) を使用して自動サインオンを isamを含むサードパーティ製システムにまで拡張します ClearPassとの連携により isamの機能はネットワーク認証やデバイス ステータスなどにまで拡張されます これにより リアルタイムの認証属性を使用して 無線 有線 VPNの全体で保護対象アプリへのセキュアなアクセスを確保できます たとえば isam-for-webは コンテキスト アウェアなアクセス制御と高度な脅威に対する追加の保護によって Webアプリへのアクセスを保護します ClearPass Exchangeは 自動サインオンを保護対象 Webアプリケーションにまで拡張することで ユーザーが isamに個別にログインする必要性を解消します ユーザーの接続体験は よりシンプルかつ安全になり 同時に IT 部門はWebアクセスの統制を維持できます
協調的で適応的なセキュリティ防御機能を構築するには 最善の組み合わせのITシステムとのコンテキスト情報の共有を含む連携が鍵になります 企業のセキュリティ境界の内外で接続する Wi-Fi 対応モバイル デバイスが増え続ける現在のモバイル企業では このようなセキュリティが求められます Aruba ClearPass Exchangeは 複数のセキュリティ システムが相互のアクションを認識しないサイロ化されたアプローチを採用せずに 連携を通じて双方向の可視性を実現します ClearPassを利用することで アクセス層から EMMやネットワーク セキュリティ製品 サービス業向け 支払い メッセージングに至るさまざまなシステムと簡単に連携し 自由に選択したオープン プラットフォーム上で HTTPベースのワークフロー アクションを実行できます ワークフローの大幅な自動化は IT 部門のメリットとなります セルフサービスとユーザー体験の大幅な向上は エンド ユーザーのメリットとなります そして何よりも 動的で高度な今日のモバイル環境専用に構築された 協調的かつ適応的なセキュリティは 企業のメリットとなります 2015 Aruba Networks, Inc. Aruba Networks Aruba The Mobile Edge Company ( 定型 ) Aruba Mobilty Management System People Move. Networks Must Follow. Mobile Edge Architecture RFProtect Green Island ETIPS ClientMatch Bluescanner The All Wireless Workspace Is Open For Business は 米国およびその他の国々のアルバネットワークスの商標です 上記の商標がすべてではなく 記載されていない商標もアルバネットワークスの商標の可能性があります All rights reserved. アルバネットワークスは 本書ならびに製品の仕様を 予告なく変更 修正 譲渡 またはその他の方法で改訂する権利を留保します 本書記載の仕様に関しては商業上合理的な範囲で正確を期しておりますが 誤記 脱落については責任を負いません 開発元アルバネットワークス株式会社 105-0004 東京都港区新橋 5-27-1 パークプレイス3F TEL. 03-6809-1540( 代表 ) FAX. 03-6809-1541 お問い合わせ www.arubanetworks.com SO_ClearPassExchange_061915