モバイルファースト時代に必要なネットワークセキュリティの作り方



HPE Aruba ClearPassが実現する「モバイルファースト時代のネットワーク」
第1回

「HPE Aruba ClearPass」が提供するコンテキスト情報の価値とは

2017年01月11日 09時00分更新

文● 大塚昭彦/TECH.ASCII.jp

「モバイルファースト」時代にエッジネットワークはどう変化するか

 近年、ビジネスの現場におけるモバイル活用が急加速している。調査会社のレポートによれば、法人市場ではPCの出荷台数が縮小する一方で、スマートデバイス(タブレットやスマートフォン)の出荷台数は伸びている。業種を問わず、あらゆる業務の現場で、業務のスピードアップや効率化、顧客サービスの向上などを目的として、モバイルデバイスを活用した新しい業務スタイルが生まれている。

 こうした変化に対応するため、企業ITの世界では「モバイルファースト」のアプローチが求められるようになった。「業務におけるモバイル活用」を前提として、あらためてこれまでの業務プロセスや業務アプリケーションを見直そうというものだ。

 そして、モバイルファースト時代への対応は企業ネットワーク、特に各種デバイスが接続されるエッジネットワーク環境にも求められるようになっている。

 たとえば無線LANだ。かつてはオフィスでの利用が中心だったが、現在では店舗や工場、倉庫など、あらゆる業務の現場で快適に利用できる無線LAN環境が求められている。利用者層も拡大しており、正社員だけでなく派遣社員やアルバイトなどのスタッフ、ゲスト(来客)にも利用を許可するケースを想定しなければならない。接続されるデバイスも、会社の管理下にあるものだけとは限らず、使い慣れた私物デバイスを業務で使いたいという“BYOD”のニーズも高まっている。

 数年後には、IoTの本格的な浸透によってさらに大きな変化が訪れる。企業内に設置されるIoTデバイスは、現在の数倍に増えると予想されている。こうしたIoTデバイスの大半はエッジネットワークに接続されることになるため、それに備えておく必要もあるだろう。


モバイルファースト時代には、エッジネットワークに求められる要件も変化する

ネットワークセキュリティにもさまざまな課題が生じている

 モバイルファースト時代のこうした環境変化を背景として、企業のネットワークセキュリティには現在、さまざまな課題が生じ始めている。

 たとえば現在では、従来の「境界防御」アプローチだけではネットワークのセキュリティを維持できなくなっている。いくら境界防御で「外側」からの脅威をブロックしても、エッジネットワークにセキュリティ対策が不十分なデバイスや無許可のデバイス(攻撃者のデバイスも含む)が接続されてしまえば、「内側」からセキュリティ侵害が発生するおそれがあるからだ。したがって、エッジネットワークの接続時に、より厳しい認証を行う手段が求められる。

 また、ネットワークに接続されるデバイス数が何倍、何十倍にも増えつつあることで、人手によるセキュリティ管理や監視、インシデント対応に限界が訪れている。最近では、SIEMを導入してセキュリティ侵害の発生を迅速に検知しようとする企業も増えているが、アラート発生後の対処がすべて管理者の手作業にゆだねられている限りは、被害の拡大スピードには追いつけないだろう。ある調査によると、現在の企業では、セキュリティ侵害の発見から排除までに平均で「46日間」もかかっているという。ここには自動化が必要だろう。

 加えて、有線LANと無線LANのネットワークアクセスポリシーが統一されていない、という課題もある。無線LAN接続には暗号鍵の入力が必要だが、有線LANのほうはスイッチにケーブルをつなぐだけで、何のチェックもなく接続できてしまうという企業も少なくない。あまりにも無防備だ。

 このように、エッジネットワークでは、モバイルファースト時代ならではのさまざまな課題が浮上している。しかし、だからといって、既存のセキュリティ機器やネットワーク機器を、そっくり丸ごと買い換えるわけにもいかないだろう。これまでのセキュリティ/ネットワーク投資を無駄にすることなく、“モバイルファーストな環境”へと移行できるソリューションが求められている。

マルチベンダーネットワークのセキュリティを強化する「ClearPass」

 モバイルファースト時代の課題に対するソリューションとして、HPE Arubaが提唱するのが「コンテキストベースのネットワークセキュリティ」だ。これは、「誰が/いつ/どこで/どんなデバイスを/どんな方法で」ネットワークに接続したかという多面的なコンテキスト情報を収集することで、より強力で柔軟なネットワークセキュリティを、自動化されたかたちで実現しようというコンセプトである。

 具体的にどのようなセキュリティが実現するのか。簡単な例を挙げると、同じ従業員(ユーザー)のデバイスでも、業務用PCには接続を許可するが、無許可の私物タブレットは接続させない、といった制限が簡単に実現する。それぞれの接続先を、自動的に別々のVLANに振り分けることもできるだろう。さらには、接続が許可されている業務用PCであっても、OSが最新バージョンでなければネットワークから隔離するなど、より厳密な制御も可能になる。

 こうしたコンテキストベースセキュリティの中核となるのが、統合認証基盤の「HPE Aruba ClearPass」である。アプライアンス版、およびバーチャルアプライアンス版を提供している。


「HPE Aruba ClearPass」アプライアンス

 ClearPassは、企業ネットワークにデバイスが接続された際の認証処理を一元的に行う認証サーバー(RADIUS/TACACS+サーバー)だが、それだけではなく、デバイスプロファイリングやポリシー管理/制御エンジン(Policy Manager)の機能も備えている。

 デバイスがネットワークに接続されると、ClearPassはすぐに詳細なコンテキスト情報を収集し、それに応じてあらかじめ定義されたアクセスポリシーを動的(ダイナミック)に適用する。これにより、単純な「〇か×か」(接続を許可するか、拒否するか)だけでなく、より詳細なネットワークリソースへのアクセス制御が可能になる。


デバイスのネットワーク接続時にClearPassが収集する「コンテキスト情報」の例

 なお、ネットワーク接続の制御を行うのは、実際にはスイッチや無線LANコントローラーの役割だが、ClearPassはマルチベンダーのネットワーク環境(無線LAN/有線LAN/VPN)に対応している。つまり、ClearPassを導入する企業は、これまでのネットワーク投資を無駄にすることなく、接続時の認証を強化することができる。

 加えてClearPassには、セルフサービス型の端末プロビジョニング(Onboard)、ゲストアクセスの管理(Guest)、検疫ネットワーク(OnGuard)といったサービスも追加できる。これらを利用すれば、新たに供与した業務用PCから従業員や来客が持ち込んだデバイスまで、ユーザー自身でポータルから登録し、ネットワーク利用を開始できる、管理者とユーザーの双方に対し、利便性の高いネットワーク環境が実現する。


ClearPassはマルチベンダーのネットワーク製品に対応。また、ゲストアクセス管理やデバイスプロビジョニングなどのサービスも提供できる

他社セキュリティ製品との情報連携でより厳密で強固なセキュリティを実現

 ClearPassは、他社のセキュリティ製品やモバイルデバイス管理製品(MDM/EMM)などとコンテキスト情報を交換できる仕組み(ClearPass Exchange)も用意している。これにより、ネットワークセキュリティをさらに強靱なものにすることができる。

 ゲートウェイセキュリティ製品の多くは、「ネットワークに誰が、どのようなデバイスを接続しているか」という情報は持っていない。そうした情報を提供し、あるいは逆に情報を受け取ることで、ClearPassはネットワークセキュリティのための“コンテキスト情報のハブ”となる。

 ClearPass Exchangeの連携パートナーとしては、たとえばパロアルトネットワークス、チェック・ポイント・ソフトウェア・テクノロジーズ、ジュニパーネットワークス、スプランク、ヴイエムウェア(AirWatch)、モバイルアイアンなどがある。この連携を通じて、企業は導入済みのセキュリティ製品をそのまま活用し、コンテキスト情報によってセキュリティをより強化することができるわけだ。

ネットワークのセキュリティ課題をClearPassはどのように解決するか

 ClearPassを中心に据え、ネットワーク製品やセキュリティ製品と連携させてコンテキストベースのセキュリティを実現することで、前述した「モバイルファースト時代の課題」はどのように解決されるのだろうか。具体的な例を見ていこう。

 まずは、エッジネットワーク接続時の「認証の厳格化」からだ。従来は、ユーザーIDやパスワード、デバイスのMACアドレスなど単一の情報に基づいて認証が行われ、ひとたび認証をパスすれば「信頼されたデバイス」としてネットワークリソースへのフルアクセス権限が与えられていた。しかし、同じユーザーが複数のデバイスを所有していたり、デバイスのセキュリティが不十分な状態になっていたりするケースを考えると、その「信頼」は常に確実なものとは言えないだろう。

 したがって、まずはすべてのデバイスを「信頼できないデバイス」として扱うことし、コンテキスト情報をチェックしたうえで、必要最小限の信頼を付与していく「アダプティブトラスト」の方針をとるべきである。これならば、無許可のデバイスやリスクの高いデバイスが接続されることによるリスクを低減できる。


企業ネットワークにおける信頼モデルやアクセス制御手段の変化

 また、ClearPassにHPE Aruba製のモビリティ・コントローラー、無線LANアクセスポイント(AP)、およびスイッチを組み合わせることで、有線LAN/無線LAN環境において、GREトンネルとファイアウォールを用いた「マイクロセグメンテーション」も実現する。

 従来、企業ネットワークをセグメントに切り分け、アクセス範囲を制限するための手段としては、主にVLANが用いられてきた。しかし、VLANは静的に構成されるものであり、リアルタイムに柔軟かつ複雑なアクセス制限を実現するのは難しい。

 一方で、HPE Aruba製の無線LAN AP/スイッチとモビリティ・コントローラーは、GREトンネル(Tunneled Node)機能とL4-7ファイアウォール機能を備えており、ClearPassが収集したコンテキスト情報に基づいて、ロールベースのアクセスポリシーをトンネルやファイアウォールに適用できる。この仕組みにより、たとえば「人事部メンバーの業務PCだけに人事システムへのアクセスを許可する」など、ユーザーやデバイスに応じた必要最小限のアクセスを許可するマイクロセグメンテーションが実現する。


GREトンネル経由でモビリティ・コントローラーに集まったトラフィックは、コンテキスト情報に基づいた詳細なファイアウォールポリシーが適用される(マイクロセグメンテーション)

サードパーティセキュリティ製品とClearPassの連携ソリューションも拡大

 ClearPassがサードパーティのセキュリティ製品やモバイルデバイス管理製品からもコンテキスト情報を収集することで、より多面的で厳格なチェックを実現し、セキュリティを高めることができる。

 たとえば、パロアルトネットワークスの次世代ファイアウォールとの連携によって、内部感染の拡大を防止するソリューションが構成できる。パロアルトネットワークスが不正なサイトにアクセスしているデバイスを検知したら、インターネットアクセスをブロックすると同時に、その情報をClearPassに通知する。これにより、エッジネットワークそのものへの接続も動的に切断できるわけだ。


ClearPassとパロアルトネットワークスの次世代ファイアウォールによる連携ソリューション

 また、ヴイエムウェア(AirWatch)やモバイルアイアンのMDM/EMM経由で取得した、詳細なデバイス情報を活用することで、たとえば特定のプロファイルやアプリがインストールされていないデバイス、ジェイルブレイクされたデバイスなど、社内ポリシー違反のデバイスをあぶり出し、ネットワークから隔離するとともに管理者に通報する、といった自動処理も可能になる。

 また、ClearPassを多要素認証製品のImageWareやKasadaと組み合わせることで、顔認証や指紋認証、音声認証などの認証手段も利用可能になる。ClearPassはSAML対応のシングルサインオン(SSO)機構を持っているため、モバイルデバイスから業務アプリケーションへのアクセスを容易にする。

* * *

 このように、HPE ArubaのClearPassを中心に据えることで、モバイルファースト時代に求められるセキュアかつ動的なネットワークが、既存の機器をそのまま生かしたかたちで実現する。

 次回はさらに数年先、IoT時代に求められる要件に、ClearPassを導入したネットワークがどう応えていくのかを見てみよう。

(提供:日本ヒューレット・パッカード HPE Aruba事業統括本部)

■関連サイト



カテゴリートップへ



この特集の記事

こんな記事も読まれています



コメントを残す