セキュアなエンタープライズ モビリティ のためのARUBA ADAPTIVE TRUST 防 御 機 能 リアルタイム コンテキストを 利 用 して 今 日 の 新 しいリスクを 緩 和
企 業 の 新 しい 境 界 多 様 なモバイル リスク ARUBA ADAPTIVE TRUST 防 御 機 能 について ARUBAの 違 い ARUBA ADAPTIVE TRUST 防 御 機 能 によるセキュアな エンタープライズ モビリティ 同 一 SSID 上 のBYODデバイスと 企 業 支 給 デバイス 家 庭 内 デバイスへのIT 部 門 の 統 制 の 拡 張 ゲスト ネットワークでのBYODの 防 止 オープン ネットワークでの 承 認 と 暗 号 化 まとめ アルバネットワークスについて 3 3 4 5 6 6 8
今 日 の 企 業 ネットワークでは 構 造 的 転 換 が 進 行 しており #GenMobileと 呼 ばれるユーザーとモビリティ ルールが 場 所 や 時 間 を 問 わずに 企 業 リソースにアクセスでるきように 静 的 で 固 定 さ れた 有 線 ネットワークからオープンで 動 的 な 環 境 へと 移 行 していま す 多 数 の 個 人 デバイスとアプリを 使 用 する#GenMobileは Wi-Fiや セルラー 経 由 での 企 業 リソースへの 一 層 のアクセスを 求 めており ITとセキュリティ 管 理 者 の 負 担 になっています BYODは 勢 いを 増 し 続 けていますが 多 くの 企 業 はポリシー 管 理 を 採 用 していないため 対 応 が 遅 れています 同 時 に ネットワー ク セキュリティへの 投 資 は 相 変 わらず 境 界 防 御 の 強 化 に 重 点 が 置 かれており モビリティの 課 題 は 考 慮 されていません その 結 果 企 業 はデータの 保 護 とモビリティに 関 連 する 新 しいリス クの 緩 和 に 苦 心 しています ゲートウェイ ファイアウォール IDS/ IPS AV スパム 対 策 URLフィルタリングなどの 境 界 セキュリ ティ ソリューションは 外 部 からの 攻 撃 に 対 しては 機 能 しますが 現 在 では 重 大 な 脅 威 の 多 くは 企 業 内 から 発 せられています 固 定 された 境 界 と 従 来 の 防 御 メカニズムの 概 念 では モビリティが 課 題 となります 正 面 玄 関 から 入 ったスマート デバイスは IT 部 門 が 知 らないうちにセキュリティ 制 御 をバイパスして 企 業 ネットワー クに 直 接 接 続 します モバイル 環 境 では ネットワークの 境 界 は ユーザーが 接 続 するあらゆる 場 所 に 広 がり ゲートウェイ 防 御 の 有 効 性 は 損 なわれます 洗 練 された 今 日 の 常 駐 型 の 攻 撃 は 最 小 限 の 共 通 項 をターゲット とし 放 置 された 脆 弱 性 や 無 防 備 なバックドアから 侵 入 して 足 場 を 築 きます ポリシー 制 御 がなく モバイル デバイスに 対 する 可 視 性 が 限 られていれば 企 業 は 新 しいさまざまなリスクに 対 して 脆 弱 になります モバイル デバイスに 関 連 する 脅 威 は 多 様 です これらのデバイス は 場 所 を 問 わずに 使 用 され 機 密 データを 保 存 できるため デー タ 損 失 の 可 能 性 が 大 幅 に 向 上 します さらに 小 型 で 携 帯 性 に 優 れていることから 紛 失 や 盗 難 に 遭 う 可 能 性 も 高 くなりますが 多 くの 場 合 パスワードによる 保 護 は 有 効 化 されていません 実 際 に モバイル セキュリティを 担 当 するIT 管 理 者 の 懸 念 事 項 として 置 き 忘 れたデバイスからのデータ 損 失 が 上 位 に 挙 げられます モビリティによって 生 じるセキュリティ ギャップを 埋 めるには データ 損 失 以 外 にも 多 くの 事 項 を 検 討 する 必 要 があります :モバイル ユーザーには 独 自 の テクノロジーを 職 場 に 持 ち 込 むためにIT 部 門 の 統 制 をバイ パスするという 悪 しき 習 慣 があります これらのユーザー は 無 許 可 のアプリとクラウド ストレージを( 場 合 に よっては 無 意 識 のうちに) 使 用 し 生 産 性 向 上 という 名 目 で 企 業 の 制 御 が 及 ばない 機 密 データにアクセスします :モバイル 企 業 でのデータの 管 理 は 複 雑 です 現 在 では 企 業 データはコンテナやアプリを 超 え 従 業 員 が 使 用 するオフサイトのバックアップ デバイス 無 許 可 のクラウド システム アウトソーシングしたサー ビス プロバイダーにまで 広 がっています :ユーザーが 使 用 するデバイスは セキュ リティ 制 御 が 異 なる 新 しいデバイスに 絶 えず 置 き 換 えられ ているため IT 部 門 は ネットワーク 上 に 実 際 に 何 が 存 在 し どのように 対 処 すべきかを 特 定 できずにいます 無 許 可 の 変 更 や ジェイルブレイクされたデバイス オペレー ティング システムは さらなる 脆 弱 性 をもたらします :モバイル デバイスは 利 用 可 能 な Wi-Fiネットワークを 探 し 求 めます これにより 信 頼 性 の 低 いネットワーク オープン ネットワーク 不 正 ネッ トワーク アドホック ネットワークや 中 間 者 攻 撃 に 機 密 データがさらされる 可 能 性 が 高 くなります 固 定 のエンドポイントや 明 確 に 定 義 されたデータ パスの 保 護 を 対 象 とした 従 来 のセキュリティ 対 策 は 今 日 のモバイル 企 業 の 保 護 に はまったく 十 分 ではありません ユーザーがあらゆる 場 所 から 接 続 し 脅 威 があらゆる 場 所 から 発 せられるという 動 的 な 特 質 に 対 応 したセキュリティ 制 御 が 必 要 です さらに 企 業 支 給 のデバイスを 使 用 する 従 業 員 向 けに 構 築 された 信 頼 モデルは BYODの 世 界 では 通 用 しません 信 頼 は 前 提 にで きるものではなくなりました 現 在 では 信 頼 は 獲 得 するものであ り 適 切 なアクセス 権 限 を 決 定 するために 追 いかけ 続 けなければ ならないものになっています 適 切 な 資 格 情 報 を 提 供 したからといって ユーザーに 常 に 無 制 限 アクセス 権 を 付 与 する 必 要 はありません リソースにアクセスする 権 限 を 付 与 するには 特 にユーザーとデバイスの 場 所 が 企 業 の 制 御 領 域 を 離 れている 場 合 は ユーザー 名 とパスワードだけでは 不 十 分 です 従 来 のセキュリティ モデルでは ユーザー ロール デバイス タ イプ 所 有 者 場 所 などの 関 連 コンテキスト 情 報 を 利 用 できませ ん コンテキスト 情 報 を 利 用 することで IT 部 門 は 企 業 を 新 しい 脅 威 にさらすことなく アクセスの 許 可 または 拒 否 をケースバイケー スで 決 定 するポリシーを 適 用 できます 組 織 には モバイル エンタープライズ ネットワークの 保 護 に 対 す る 新 しいアプローチが 必 要 です コンテキストを 活 用 してそれを 共 有 し 従 業 員 の 生 産 性 を 損 なわずにモビリティ ニーズに 基 づく 適 応 的 な 制 御 を 適 用 するアプローチが 求 められています 3
ARUBA ADAPTIVE TRUST セキュリティは 従 業 員 の 生 産 性 という 観 点 からは 障 害 とみなされが ちです 面 倒 なプロセスや 厳 格 なポリシーはバイパスされることが 多 いため 企 業 は 脅 威 に 対 してさらに 脆 弱 になり 統 制 を 失 います エンタープライズ モビリティに 起 因 する 新 たなリスクへの 対 応 に IT 部 門 が 苦 心 する 一 方 で 従 業 員 は さらに 多 くのデバイスからの アクセスを 求 め 続 けています 基 本 的 なサービスを 利 用 できるよう にし それと 同 時 に 適 切 なセキュリティ ポリシーを 確 実 に 適 用 す るには ネットワーク チームとセキュリティのチームの 連 携 が 必 要 です 特 定 のセキュリティ ニーズに 対 応 するポイント 製 品 ソリューション の 組 み 合 わせは リスクの 緩 和 には 役 立 つかもしれませんが 複 雑 さは 増 加 し 制 御 は 制 限 されます ソリューション 間 の 不 十 分 な 連 携 も モバイル 人 材 の 変 化 するニーズの 特 定 と 対 応 を 難 しくします Aruba Adaptive Trustは 各 種 ネットワーク セキュリティ ソ リューションとの 間 で 豊 富 なコンテキスト データを 共 有 すること で セキュリティ ギャップが 生 じる 可 能 性 を 排 除 します これによ り すべてのセキュリティ コンポーネントが1つの 統 合 システムとし て 機 能 する 協 調 的 な 防 御 機 能 が 実 現 し 従 業 員 の 生 産 性 に 影 響 す ることもありません この 防 御 フレームワークでは 企 業 のアクセス 管 理 システムは 多 数 のソースから 収 集 されたコンテキストを 利 用 して 接 続 の 前 後 に ユーザーとデバイスのステータスを 簡 単 に 精 査 できます さらに 優 れているのは このデータがエンタープライズ モビリ ティ 管 理 (EMM) ネットワーク ファイアウォール 侵 入 防 止 など のセキュリティ ソリューションとの 間 で 相 互 に 共 有 されることで す それを 可 能 にしているのは REST (REpresentational State Transfer) APIとsyslogタイプのデータ フィードです ARUBA ADAPTIVE TRUST :リアルタイムのコン テキスト データにより ユーザー デバイス タ イプ 場 所 に 関 係 なく セキュリティ 対 策 を 確 実 に 適 用 します ポリシーは 一 元 的 に 管 理 され 無 線 有 線 ネットワーク またはVPNへの 接 続 時 に 適 用 さ れます :ネットワークへの 接 続 前 に すべてのデバイスはセキュリティとポスチャ のガイドラインに 従 っていることが 確 認 されます コンプライアンスを 満 たしていないデバイスは 修 復 を 求 められるか アクセスを 拒 否 されます :ITポリシーに 基 づいてワー クフローを 開 始 できるのは 権 限 を 持 つユーザーの みです 個 人 所 有 のデバイスが 企 業 リソースにアク セスできるのは ポリシーによって 許 可 される 場 合 のみです バックドアは 悪 用 される 前 に 閉 じられ ます これにより 既 存 のセキュリティ ソリューションで 求 められる 複 雑 なスクリプティング 言 語 や 面 倒 な 手 作 業 による 設 定 なしでソリュー ションを 連 携 させ エンタープライズ モビリティに 起 因 するリスク をより 効 率 的 に 緩 和 できます Aruba Adaptive Trustを 導 入 することで ユーザーとデバイスの 接 続 方 法 とアクセス 権 限 の 割 り 当 て 方 法 について IT 部 門 はより 賢 い 判 断 を 下 すことができます このように 一 元 化 されたポリシー 適 用 エンジンは ネットワークに 接 続 するあらゆるものにとっての 中 枢 神 経 系 のように 機 能 します Aruba ClearPass 4
ARUBA ClearPassアクセス 管 理 システムは Aruba Adaptive Trust 防 御 モ デルの 基 盤 を 提 供 し あらゆるマルチベンダー ネットワーク 上 で 一 元 的 な 制 御 と ロールおよびリアルタイムのコンテキスト 情 報 に 基 づくモバイル セキュリティ ポリシーの 適 用 を 可 能 にします この 独 自 のアプローチは ClearPass Exchangeでの 共 通 言 語 を 利 用 した 連 携 に 基 いており 企 業 はセキュリティ システム 全 体 でコンテキ スト 情 報 を 活 用 し より 詳 細 なポリシーを 正 確 に 適 用 できます ClearPassは AAA ゲスト ネットワーク アクセス セキュアな オンボーディング デバイス 正 常 性 チェック その 他 のセルフサービ ス 機 能 とポリシー 管 理 を1つのプラットフォームで 連 携 させること で セキュアなエンタープライズ モビリティを 実 現 します ClearPassは Microsoft Active Directory LDAP 準 拠 ディレクト リ ODBC 準 拠 SQLデータベース トークン サーバー 社 内 デー タベースなどの 複 数 のIDストアを1つのサービス 内 で 利 用 する2 要 素 認 証 にも 対 応 しています 追 加 コンテキストの 貴 重 なソースとなるIDストアは ユーザーの 認 証 や 特 定 企 業 リソースの 使 用 承 認 にも 利 用 できます ClearPass ExchangeがREST APIとデータ フィードをサポート することで ClearPassは その 他 のセキュリティ ソリューション やビジネス ワークフロー システムとの 間 でエンタープライズ モ ビリティに 関 する 重 要 なインテリジェンスを 共 有 できます その 結 果 Palo Alto Networksの 次 世 代 ファイアウォールは ユー ザーとデバイスのコンテキストを 詳 細 なアプリ レベルのポリシー に 自 動 的 に 利 用 できます また MobileIronなどのEMMアプリケー ションは ユーザー デバイス 場 所 などのコンテキスト データを 共 有 し Wi-Fiセキュリティ ポリシーの 適 用 に 利 用 できます CLEARPASS :デバイスの 接 続 時 に 動 的 に 行 わ れるプロファイリングは ポリシーやトラブルシュ ーティングに 利 用 できる 貴 重 な 情 報 を 提 供 します : 標 準 装 備 のポリシ ー サービス テンプレートは 旧 式 のAAAソリュ ーションでは 実 現 できない 機 能 を 提 供 しま す BYODの 導 入 やゲスト アクセス サービスの ためのポリシーは 数 分 間 で 作 成 して 利 用 できま す :デバイスの 場 所 タイ プ ステータス 所 有 者 など 収 集 されたすべての データは 中 央 のリポジトリに 集 約 され 既 存 のセキ ュリティ ソリューションと 共 有 されます :ユーザーは 個 人 所 有 デバイスの 設 定 紛 失 したデバイスの 証 明 書 の 失 効 ゲスト アクセスの 保 証 を 自 分 自 身 で 実 行 できるので ITヘ ルプデスク チケットは 削 減 され すべてのユーザ ーの 生 産 性 が 向 上 します :トラフィック タイ プに 基 いてネットワーク 権 限 を 適 用 するための 個 別 VLANの 管 理 は 複 雑 であり 負 担 になります モ バイル デバイス 向 けのポリシーは ロールやトラ フィック タイプなどのコンテキスト データを 利 用 して 自 動 的 にユーザーを 適 切 なネットワーク セグメントに 振 り 分 ける 必 要 があります VLANと ACLの 適 用 ルールは 必 要 時 にのみ 使 用 されます ServiceNow などのヘルプデスク ツールとの 連 携 では ネット ワーク 認 証 に 失 敗 した 場 合 に ユーザー デバイス アクセスの 問 題 に 関 する 重 要 な 情 報 が 記 載 されたヘルプデスク チケットを 自 動 的 に 発 行 できます 5
ARUBA ADAPTIVE TRUST ClearPassは 変 化 し 続 けるポリシーのランドスケープのニーズに 対 応 し ポイント ソリューションの 組 み 合 わせによる 管 理 の 複 雑 さ を 安 全 で 強 力 な1つの 総 合 的 ポリシー 管 理 システムに 置 き 換 えま す これにより 投 資 コストと 運 用 コストは 削 減 され #GenMobile 向 けの 優 れたユーザー 体 験 に 重 点 を 置 いて 詳 細 に 調 整 されたセ キュリティ ポリシーを 簡 単 に 作 成 できるようになります ClearPassでは 複 数 のIDストアから 得 られるコンテキストと 複 数 の 認 証 方 式 を 利 用 できるため IT 部 門 はより 詳 細 なポリシーを 作 成 でき 同 一 インフラストラクチャ 上 で 企 業 支 給 デバイスと 個 人 所 有 デバイスの 扱 い 方 を 区 別 できます SSID BYOD ClearPassは コンテキスト ポリシーをロール ベースで 適 用 する ことでBYODに 対 応 し 複 数 のSSIDをブロードキャストしたり 複 雑 なVLANマッピングを 作 成 したりすることなく 個 人 所 有 デバイ スのアクセスを 簡 単 に 区 別 できます また ClearPassは 各 BYODエンドポイントにデバイス 固 有 の 資 格 情 報 を 配 布 した 上 でプロビジョニングすることで アクセス 権 限 を 制 限 または 失 効 させることができます これにより アクセスの ためのインフラ 基 盤 が 大 幅 に 簡 略 化 されると 同 時 にセキュリティが 改 善 され IT 部 門 によるプロビジョニングの 負 担 も 軽 減 されます 結 果 として 従 業 員 のモバイル ニーズへの 対 応 に 必 要 なネット ワーク 機 能 とセキュリティ 機 能 に 簡 単 に 適 応 できる 動 的 で 強 力 な 統 合 型 ソリューションが 実 現 し 企 業 は 広 範 な 種 類 の 一 般 的 な 課 題 に 迅 速 に 対 応 できるようになります ClearPass SSID 6
IT 個 人 のモバイル デバイスにポリシーを 確 実 に 順 守 させることは 特 にデバイスが 物 理 的 にネットワークに 接 続 していない 場 合 は 容 易 なことではありません ClearPassは ポリシーの 制 御 とデバイ スへの 適 用 をホーム オフィスなどの 離 れた 場 所 から 接 続 するデバ イスにも 簡 単 に 拡 張 できます 企 業 ネットワークにアクセスするすべてのデバイスは 事 前 に 入 念 に 評 価 されます 正 常 性 チェックには コンピューター 上 の 常 駐 型 と 非 常 駐 型 のエージェントがどちらも 同 じように 使 用 され チェッ クに 合 格 したデバイスのみがアクセスを 許 可 されます ClearPassはEMMシステムとも 連 携 してスマートフォンやタブレッ トからコンテキスト データを 収 集 し 企 業 の 有 線 無 線 ネット ワークやVPNへのアクセスを 要 求 するデバイスに 対 してポリシー 適 用 アクションを 実 行 します コンテキストには ジェイルブレイ ク ステータス ホワイトリスト/ブラックリスト 指 定 アプリ デバイ ス タイプなどが 含 まれます BYOD ゲスト ネットワークは 企 業 を 訪 問 するゲストやVIPがWi-Fi 接 続 を 利 用 するためのものですが 従 業 員 がこれを 悪 用 し ネットワー ク 接 続 の 社 内 BYODポリシーをバイパスすることがよくあります ClearPassは デバイスの 登 録 およびオンボーディング 中 に 収 集 し たコンテキストを 利 用 して ゲスト ネットワークを 使 用 している 個 人 所 有 デバイスや 企 業 支 給 デバイスを 迅 速 に 特 定 できます これに より オープンなゲスト ネットワークにさらされる 企 業 データの 量 を 制 限 できます ユーザーの 習 慣 脅 威 モバイル デバイスが 変 化 と 進 化 を 続 ける 中 で 企 業 ネットワークの 保 護 には 新 しいアプローチが 求 められ ています 固 定 的 な 境 界 の 概 念 は #GenMobileのような 働 き 方 に よって 完 全 に 弱 体 化 されました ユーザーが 場 所 を 問 わずにネット ワークに 接 続 して 業 務 に 使 用 するモバイル 環 境 には 固 定 的 な 境 界 は 存 在 しません ポリシー 管 理 NAC ネットワーク ファイアウォール EMMシステ ムの 最 善 の 組 み 合 わせには 企 業 リソースを 共 有 し 保 護 するため の 共 通 の 方 法 が 必 要 です 求 められているのは リスクを 最 小 化 す るエンタープライズ クラスのセキュアなモビリティを 実 現 するため の 一 元 管 理 されたポリシーとセキュアなBYODおよびゲスト ア クセス ワークフローです Aruba Adaptive Trustモデルの 心 臓 部 であるClearPassは 一 元 的 な 監 視 役 として また すべてのユーザー 認 証 およびデバイス データのコンテキスト ストアとして 機 能 します ClearPassは ユーザーとデバイスを 識 別 認 証 し 特 定 のニーズに 必 要 な 適 切 な アクセス 権 限 を 信 頼 ベースのルールによって 付 与 します Aruba Adaptive Trustモデルを 導 入 することで 企 業 のIT 部 門 は 拡 大 を 続 けるモビリティ 関 連 リスクに 対 して 認 証 時 以 降 に 確 実 に 対 応 し ユーザーのIT 満 足 度 を 高 めることができます リモート 環 境 の 従 業 員 や 出 張 先 の 専 門 家 が 企 業 リソースへのアク セスを 維 持 する 方 法 としてWi-Fiホットスポットは 便 利 ですが 残 念 ながら 多 くのホットスポットは さまざまなサイバー 脅 威 や 中 間 者 攻 撃 に 対 して 脆 弱 です ClearPassは あらゆるパブリックWi-Fiネットワークにエンター プライズ グレードのセキュリティを 簡 単 に 追 加 する 方 法 を 提 供 す ることで 障 害 を 取 り 除 き お 客 様 を 保 護 します ClearPassは PEAP (Protected Extensible Authentication Protocol)フレーム ワークを 補 強 して 各 ゲスト セッションを 確 実 に 暗 号 化 し Wi-Fiパ ケットが 盗 聴 されないようにします
アルバネットワークスは モバイル エンタープライズに 向 けた 次 世 代 ネットワーク アクセス ソリューションの 主 要 プロバイダです IT 部 門 と#GenMobileを 支 援 するMobility Defined Network(モビリティ ディファインド ネットワーク)を 設 計 提 供 しています(#GenMobile は 仕 事 と 私 生 活 のあらゆるコミュニケーションに 個 人 のモバイル 機 器 を 活 用 する テクノロジーに 精 通 した 新 しい 世 代 です) #GenMobileとIT 部 門 が 安 心 して 利 用 できるモビリティ 体 験 を 実 現 するために Aruba Mobility-Defined Networks は 従 来 IT 部 門 によ る 人 的 操 作 を 必 要 としたインフラ 全 体 としてのパフォーマンス 最 適 化 やセキュリティ アクションの 発 動 を 自 働 化 し 生 産 性 を 大 幅 に 向 上 させ 運 用 コストを 削 減 します NASDAQに 上 場 し Russell 2000 指 数 に 採 用 されているArubaは カリフォルニア 州 サニーベールに 本 拠 地 を 置 き 南 北 アメリカ 大 陸 ヨーロッパ 中 東 アフリカ アジア 太 平 洋 地 域 で 事 業 を 展 開 しています Arubaについての 詳 細 は www.arubanetworks.comをご 覧 ください リアルタイムで 更 新 される 最 新 情 報 については TwitterおよびFacebookでArubaをフォローしてください また Airheads Social (http://community.arubanetworks.com)では モビリティとAruba 製 品 に 関 する 最 新 の 技 術 的 討 論 を 覧 いただけます 2015 Aruba Networks, Inc. Aruba Networks Aruba The Mobile Edge Company ( 定 型 ) Aruba Mobilty Management System People Move. Networks Must Follow. Mobile Edge Architecture RFProtect Green Island ETIPS ClientMatch Bluescanner The All Wireless Workspace Is Open For Business は 米 国 およびその 他 の 国 々の Aruba Networks Inc. の 商 標 です 上 記 の 商 標 がすべてではなく 記 載 されていない 商 標 も Aruba Networks Inc. の 商 標 の 可 能 性 があります All rights reserved. Aruba Networks Inc. は 本 書 ならびに 製 品 の 仕 様 を 予 告 なく 変 更 修 正 譲 渡 またはその 他 の 方 法 で 改 訂 する 権 利 を 留 保 します 本 書 記 載 の 仕 様 に 関 しては 商 業 上 合 理 的 な 範 囲 で 正 確 を 期 しておりますが 誤 記 脱 落 については 責 任 を 負 いません 開 発 元 アルバネットワークス 株 式 会 社 105-0004 東 京 都 港 区 新 橋 5-2-1 パークプレイス3F TEL. 03-6809-1540( 代 表 ) FAX. 03-6809-1541 お 問 い 合 わせ www.arubanetworks.com WP_AdaptiveTrust_0619158