HPE Aruba 次世代NAC「Aruba ClearPass」 業界初コモンクライテリア認証を取得 Arubaの次世代NACでIoTの脅威に対応

デバイスやネットワークの多様化により、ビジネス環境は様変わりしている。セキュリティ対策も従来の「入口対策」と「出口対策」による「多層防御」では不十分だ。HPE Arubaの次世代NAC「Aruba ClearPass」は、コアネットワークで端末ごとにアクセス制御を実行するので、万が一マルウェアの侵入を許しても内部拡散を防止することができる。
(左から)日本ヒューレット・パッカード ネットワーク事業統括本部 技術統括本部長の佐藤重雄氏とHPE Arubaシニア・コンサルティングSEの水谷雅洋氏

(左から)日本ヒューレット・パッカード ネットワーク事業統括本部 技術統括本部長の佐藤重雄氏とHPE Arubaシニア・コンサルティングSEの水谷雅洋氏

 スマートフォン、タブレット、ノートPCなど複数のデバイスを業務の目的や場所に応じて使い分けることは、今や当たり前となっている。BYOD(私有端末の業務利用)やコーポレート(会社支給端末)など利用形態も様々だ。

 端末やネットワークの多様化は柔軟な働き方を可能にする一方、社内のセキュアなネットワークを通らず、Wi-Fiからインターネットやクラウドにアクセスする機会は増える。このため、マルウェアへの感染リスクが高まることは避けられない。感染したことに気付かないままデバイスが社内ネットワークに接続すれば、マルウェアがシステム内部で拡散し、甚大な被害を及ぼすことになってしまう。

 また、最近はビデオ会議システムやWebカメラ、IPフォン、スキャナなどIoTデバイスの利用も増えている。こうしたデバイスは、CPUや電源容量、メモリ容量などの制約から、PCなどと比べてセキュリティ面が脆弱と指摘されている。

 従来は、ファイアウォールやIDS/IPSで入口に境界を構築し、不正侵入を防ぐセキュリティ対策が推奨されてきた。しかし、侵入を完全に防ぐことが難しくなっており、いったん侵入されればネットワーク内部の端末間をマルウェアが自由にアクセスし、またたく間に拡散してしまう。このため「入口対策」だけではなく、マルウェアの侵入を前提に、内部における被害を最小限に抑える「内部対策」が必須となっている。

エージェントレスでIoT端末も対応 リスクを検知し有害端末を隔離


 現在、有効な内部対策として注目を集めているのが「マイクロセグメンテーション」だ。

 マイクロセグメンテーションとは、ネットワークを細かく切り分けることを意味する。もともとは仮想化されたプラットフォーム上で仮想サーバーや仮想デスクトップにファイアウォールを実装し、マルウェアの内部拡散を防ぐセキュリティソリューションとして使われていたが、最近は企業内ネットワークの内部感染対策にも活用されるようになっている。

 このマイクロセグメンテーションを実現するセキュリティソリューションの1つが、HPE Arubaの次世代NAC(Network Access Control:ネットワークアクセス制御)ソリューション「Aruba ClearPass」だ。

 NACは、一般的なユーザー認証に加えて、利用するデバイスに対してあらかじめ設定したポリシーを適用することでアクセスコントロールを強化するセキュリティ手法を指す。ClearPassはこの機能を拡張し、クラウドやIoT環境までサポートすることから、HPE Arubaでは従来のNACと区別して「次世代NAC」と呼んでいる。

 「ネットワークに接続している端末についても各々ポリシーを設定し、守っていくというエンドポイントのマイクロセグメンテーションを提唱しているのは、ClearPassだけです」と日本ヒューレット・パッカード ネットワーク事業統括本部 技術統括本部長の佐藤重雄氏は説明する。

図表1 次世代NAC「Aruba ClearPass」の概要

図表1 次世代NAC「Aruba ClearPass」の概要

 ClearPassの機能は、大きく分けて3つある。

 1つめが、Identify(デバイスの特定)だ。無線/有線を問わず接続されるデバイスの情報を収集・識別し、データベースに格納する。ソフトウェアをインストールする必要がないため、IoTデバイスのようにエージェントをインストールできない端末のプロファイリングも行える。

 2つめが、Policy Enforcement(デバイス単位のポリシー適用)だ。収集したデバイス情報を元に「いつ、誰に、どこへ」アクセスを許可するか、厳格なポリシーを簡単に適用できる。ポリシーによるアクセスコントロールによって、ID/パスワードの手入力による認証を行えないIoTデバイスも安全に接続可能になる。

 そして3つめが、Protect(隔離)だ。国内では2018年第2四半期に販売開始を予定している。UEBA(User and Entity Behavior Analytics:ユーザーおよびエンティティ行動アナリティクス)の「Aruba IntroSpect」や他社製品との連携により、リスクを検知し、有害なデバイスを隔離する。

 UEBAは、ネットワークに接続される様々なデバイスの振る舞いを継続的にモニタリングし、機械学習で解析を行う。その際、100種類以上の学習モデルを使って個々の事象からコンテキストを導き出し、0~100までのリスクスコアを算出する。AI(人工知能)が不審な動きを判定するとClearPassに通知。ClearPassで対象となるデバイスを「ネットワークから除去する」というポリシーを作成し、ArubaのネットワークコントローラーからWi-Fiアクセスポイントやスイッチにポリシーを適用することで、端末は即座に検疫ネットワークに隔離されるという流れだ。これにより、内部感染の拡大を阻止することができる。

 「特にネットワーク監視に関する学習能力に優れたAIを搭載していることが、他のUEBA製品との違いです」とHPE Arubaシニア・コンサルティングSEの水谷雅洋氏はアピールする。既知の脅威だけでなく未知の脅威にも対応するので、有害になる可能性のあるデバイスも除去することができる。

100社超のセキュリティ企業と連携 IoTにまつわるスキルも養成


 HPE ArubaではClearPassとIntroSpect、さらにはネットワークセキュリティソリューション「Aruba SecureCore」を組み合わせ、セキュリティフレームワーク「Aruba 360 Secure Fabric」として提供している。

 ClearPassは、パートナープログラム「360 Security Exchange Partner」に参加するセキュリティベンダーのソリューションと業界標準のREST APIで接続し、より高度なセキュリティ環境を構築することもできる。

 360 Security Exchange Partner企業には、グローバルで100社以上が名を連ねる。国内ではカーボン・ブラック、パロアルトネットワークス、マカフィーの3社と協業しており、日本ヒューレット・パッカード本社(東京都江東区大島)内には、各社と検証やデモンストレーションを行うためのラボ環境を設けている。

図表2 100社以上のセキュリティベンダー製品と連携

図表2 100社以上のセキュリティベンダー製品と連携

 ClearPassは、他のHPE Aruba製品と同様、プラットフォームのインフラをSIerに頼ることなく、エンドユーザー自らが組み上げ、運用できるのも特長だ。

 国内ではセキュリティ人材の不足からセキュリティ管理者を置いている企業は限られており、ネットワーク管理者が兼務していることが多い。さらにIoTともなると“門外漢”という人がほとんどだ。「ClearPassを通じてIoTの利用技術やインフラの運用に関するスキルが身に付くので、人材の育成にもつながります」と佐藤氏は話す。

 ClearPassはこの2月、標準化機関であるISO/IECが規定し、国家情報保証パートナーシップ(National Information Assurance Partnership)が授与するコモンクライテリア認証をNACソリューションとしては業界で初めて取得した。

 政府や国防上の厳格なサイバーセキュリティ基準に適合していることが独立した試験機関により証明されたことになり、高い信頼性を持ったサイバーセキュリティ製品と言えるだろう。

 ネットワークとセキュリティの垣根を越えたセキュリティ対策を実現するClearPassを既存のセキュリティ製品に加えてみてはいかがだろうか。

Gartnerマジッククアドラントでリーダーの評価を獲得

ホワイトペーパーダウンロード
ホワイトペーパーダウンロード 【エンタープライズ】デバイスの可視化、制御、攻撃対応
- Aruba ClearPass【ネットワークセキュリティ】


Gartnerでは、2020年までにネットワークに接続されるデバイスの数が500億台に達するものと予測しており、オフィス環境でもラップトップ、スマートフォン、タブレット、IoTデバイスなどが今後業務でネットワークに接続されると考えられています。運用面の負担とセキュリティ面での脆弱性が課題となる中、ArubaのNACソリューションが提供する解決策を是非ご確認ください。

ホワイトペーパーダウンロードはこちら
page top
お問い合わせ先
日本ヒューレット・パッカード
Aruba事業統括本部
E-mail:aruba.marketing@hpe.com
URL:http://www.arubanetworks.com/ja/