企業ネットワークには、Wi-Fiに対応した数十億台ものスマートフォ ンやタブレットが接続しており、IT部門は可視性の確保とセキュリ ティの維持に苦心しています。セキュリティを確保し、同時にプロビ ジョニングに混乱を来すことなく優れたユーザー・エクスペリエン スを提供することは、大きな課題となっています。 IT部門が現在もネットワーク・アクセス制御(NAC)、エンタープラ イズ・モビリティ管理(EMM)、ポリシー管理、ファイアウォール、ゲ スト管理、シングルサインオン・ソリューション、ヘルプデスク、トラ ブルチケットに複数の異なるシステムを利用していることが、この 問題をさらに複雑にしています。 多数のポイント製品を組み合わせて使用することが、複雑さ、高コ スト、セキュリティ制御の脆弱性を招いています。このようなサイロ 化されたアプローチでは、設定に多くの時間がかかり、ヘルプデス クの手作業も増加します。 モバイル企業のセキュリティを確保するには、IT部門にはより優れ た、適応的な手法が必要です。今日のモバイル人材の柔軟な勤務習 慣に対応するには、ユーザー・ロール、デバイス・タイプ、所有者、 場所、使用アプリなどのコンテキスト・データに基づいてポリシー を動的に適用する必要があります。 より重要なことは、導入したセキュリティ製品や管理システムがこ のコンテキスト・データを相互に交換し、連携して全体的な可視性 を向上させる必要があるということです。 総合的かつ適応的なセキュリティのニーズに対応するために、 Aruba Networks®は、ClearPassアクセス管理システムのベースラ
イン機能であるClearPass Exchangeを開発しました。 ClearPass Exchangeは、コンテキスト・データを広範な種類の サードパーティ製ITシステムと共有するための一元的な判断機能を 提供します。これを導入することで、すべてのコンポーネントが完全 に統合された1つのシステムとして動作するようになり、協調的な 防衛機能が実現します。
構築
より詳細な情報に基づく状況判断
流入するアクセス層トラフィックの監視役として機能する ClearPassは、ユーザーとデバイスのプロファイリング、認証、承認 を行います。そのために、ClearPassサーバーは信頼できる貴重な コンテキスト・データを大量に収集します。次に例を挙げます。 • ユーザーのID • デバイスの現在のステータスとポスチャ • 接続しているユーザーとデバイスの場所 このコンテキスト・データは、多数の社内システムとサードパー ティ製システムから1方向と双方向の通信を通じて収集されます。 コンテキストの共有を容易にするために、ClearPassは、SQL、 syslog、XML、SOAP、SAML、OAuth2、HTTPなど、多様なAPIと プロトコルに対応しています。たとえば、ClearPass ExchangeはXML APIを使用してEMMシス テムをポーリングし、メーカーとモデル、暗号化ステータス、ブラッ クリスト/ホワイトリスト指定アプリケーション、ジェイルブレイク・ ステータスなど、多様なデバイス情報を収集できます。EMMシステ ムが検出したポリシー違反は、ClearPassのポリシー判断に反映 されます。 どのようなマルチベンダー・ネットワーク向けにもアクセス・ポリ シーを定義できるように、ClearPassはアダプティブ・トラスト(適 応的信頼)のアプローチを採用しています。企業リソースへのアク セスのためにネットワークに接続するすべてのユーザーとデバイス は、接続の前と後に評価されます。コンテキストを通じて接続のリ スクが判断され、それに基づいてアクセス・ポリシーは動的に調整 されます。 コンテキストを共有する理由 接続の判断が完了すると、ClearPassが作成した豊富なセッショ ン・コンテキストは、他のシステムと共有できるように保存され、 ネットワークの保護に利用されます。 ClearPass Exchangeは、多数のサードパーティ製デバイスおよ び管理システムとコンテキストを共有し、ClearPassサービスとの シームレスな連携を実現します。お客様は、導入済みの自社システ ムとの連携からメリットが得られるだけでなく、連携が事前に組み 込まれているArubaの多数のソリューションからもメリットを得ら れます。
たとえば、Arubaは、Palo Alto Networksの次世代ファイアウォー ルとの情報交換をパッケージ化しました。これにより、アプリ・レ ベルのポリシーをユーザー・レベルおよびデバイス・レベルでより 正確に適用できるようになり、ネットワーク・エッジのセキュリティ を強化できます。同様に、SplunkやHP ArcSightなどのSIEMソ リューションは、ClearPassが収集したユーザー、デバイス、場所 の可視性を利用できます。
ClearPassは、ネットワーク関連以外のITシステムやヘルプデスク・ ツールとも連携し、ユーザーが認証に失敗した場合に、そのユー ザー、デバイス、場所に関する情報が記載されたチケットを自動的 に作成できます。 さらに、ネットワーク、デバイス、ユーザーに関するインテリジェン スをTwilio、ServiceNow、Nearbuy/RetailNextなどのクラウド・ ベースのサービスにまで拡張することで、別のITワークフローにモ ビリティのコンテキストを追加することもできます。 その結果自動化が進み、ユーザーの満足度が向上し、IT部門の手 作業の時間が短縮されます。モビリティ・インフラストラクチャがセ キュリティ・システムやビジネス・システムと連携するため、IT部門 は他の業務に集中することができます。 独自連携システムの構築 カスタマイズされたメインストリーム以外のシステムとの連携を必 要とする革新的なアイデアをお持ちであれば、 Aruba製品を利用 することで簡単に独自システムを構築し、非従来型ヘルプデスク/イ ンシデント通知、顧客関係管理(CRM)、ルーム・オートメーション とLED照明など、他の多数のシステムとコンテキスト・データを共 有できます。 ClearPassとサードパーティ製システムの間にコンテキスト共有の 連携を簡単に構築できるように、ClearPass Exchangeは、リアル タイム・イベントのフレームワーク、カスタマイズ可能なアウトバウ ンドAPI、分かりやすいフォームを提供します。 ClearPass Exchangeは、アウトバウンドHTTPベースのRESTful APIを使用することで、標準的なHTTPコマンドを使用する任意の API対応Webサービスと対話できます。これにより、驚くほどの柔 軟性と拡張性がClearPassにもたらされ、あらゆるサーバーとネッ トワーク主導型ワークフローを連携させることができます。 Arubaは、ソーシャル・ネットワーキングのAirheadsコミュニ ティ(http://community.arubanetworks.com)向けにClearPass Exchangeレシピ・サイトも用意しました。ここでは、独自連携の構 築体験を他のClearPassユーザーと共有できます。
エンタープライズ・モビリティの管理
ClearPassとMobileIronの連携職場でのBYODおよびInternet of things (IoT)エンドポイントの使用が増加する中で、EMMとNACシステムの連携の重要性が高まってい
ます。EMMシステムがデバイスのコンテキスト・データを共有できるようにすることで、EMMエージェントが収集した属性を使用してネッ
トワーク・ポリシーをより簡単に適用できます。
幸いにも、ClearPassは、MobileIron、AirWatch by VMware、Citrix XenMobile、JAMF Software、IBM、SOTI、SAP Afariaをはじめと
する多数のティア1 EMMベンダーとの多機能な双方向連携に対応しています。 たとえば、MobileIronのEMMは、デバイスのポスチャ、OSバージョン、実行中アプリ、所有者、個人所有と企業支給の区別などの情報を ClearPassサーバーに提供できます。 ClearPassは、この詳細なコンテキスト情報に基づいて、デバイスにネットワークへの接続を許可するかどうか、接続後にどのリソースへ のアクセスを許可するか、接続中にどのアクションの実行を許可するかを判断します。 ユーザーがネットワーク接続の認証に複数回失敗した場合は、ClearPassはMobileIronの通知メッセージをデバイスに直接送信し、その デバイスの検疫などの対策をネットワークに自動的に実行させることができます。 反対に、MobileIronがデバイスに対して実行する、EMMエージェントの有無やブラックリスト指定アプリケーションに関するポスチャ・ア セスメントの結果に基づいて、ClearPassがアクセス権限の適用、修復、通知を行う場合もあります。 この標準装備のEMMとの連携機能により、ClearPassは、アダプティブ・トラストの最適な判断を下す際に必要となるデバイス・ポスチャ 情報を確保でき、 追加の通知や付加価値のあるポリシー・イベントを実行することもできます。
パートナーの
協力
カスタム連携以外にも、ClearPassをEMM、ファイアウォール、シングルサインオンなどの多くの システムと設定なしでネイティブに連携できるように、Arubaは業界をリードするパートナー企業と 協力しています。次世代ファイアウォール
ClearPassとPalo Alto Networksの連携
Palo Alto Networksの次世代ファイアウォールは、すべてのアプリ、脅威、コンテンツをネイティブに検査するトラフィック分類機能を備
えています。ClearPassと連携することで、これらのファイアウォールのポリシー適用機能は、単なるIPアドレス・ベースやディレクトリ・
ベースの識別情報を超えて拡張されます。
これにより、ユーザー、デバイス、ゲスト・ネットワークや、ディレクトリ以外の識別情報に基づいてポリシーを適用できるようになります。 エンタープライズ・ボリュームに接続するデバイスの量と多様性に対応し、適用ルールを正しく確実に適用することが重要です。
ClearPassとPalo Alto Networksのファイアウォールの連携により、あるユーザーが使用するiPadには社外Webのブラウズ権限とWeb
メールおよびソーシャル・サイトへのアクセス権限を付与し、同じユーザーが使用する企業支給のノートPCには社外Webのブラウズ権限
セキュリティ・インシデント・イベント管理(SIEM)
ClearPassとSplunkの連携 SIEMシステムを使用することで、あらゆるセキュリティ・イベントを収集し、データの関連付けや、他のシステムとの協調的なポリシー適 用アクションに利用することができます。これらのソリューションとのNAC/AAAデータの共有は、あらゆるアクセス層セキュリティ戦略に 不可欠です。 ClearPassは、LogRhythm、HP ArcSight、SplunkなどのSIEMシステムと連携し、セッション・ログ、監査イベント、イベント記録、その他 のsyslogデータを共有します。ClearPassが共有するコンテキスト・データを利用することで、SIEMシステムはセキュリティ上の脅威やポ リシー違反の検出を迅速化できます。 Splunk向けのClearPassアプリを使用すれば、無線、有線、VPNで企業ネットワークに接続している従業員、契約業者、ゲストなどに関す るClearPass Policy Manager syslogフィードを表示できます。さらに、ClearPassとSplunkの連携により、認証要求、失敗とアラート、ポリシー適用の傾向(最も頻繁に適用された上位10プロファイル
インシデント通知システム
ClearPassとPagerDutyの連携 ClearPassは、管理システム、SMS、従来型電子メール、コールバック音声システムなど、ほぼあらゆる通知システムと連携できます。たと えば、PagerDutyのオペレーション・パフォーマンス・プラットフォームと連携することで、ClearPassはセキュリティ・イベントについてオ ペレーション・チームに通知し、メッセージを確実に伝えることができます。 従業員、顧客満足度、売上に影響するインシデントへの対応時間を短縮するには、タイムリーなイベント通知とエスカレーションが重要で す。ClearPassとPagerDutyを連携させることで、不要な通知の量を削減し、ネットワーク・セキュリティの問題の特定と解決を迅速化でき ます。 この連携で提供されるパフォーマンス・データは、プロセスの合理化と顧客体験の改善にも利用できます。ホテルにVIPゲストが到着す れば、顧客関係の担当者にプロアクティブに通知することができ、ネットワーク・アクセスに困っている宿泊客がいれば、それを迅速に特 定できます。アプリの自動サインオン
ClearPassとIBM Security Access Manager (iSAM)の連携
エンタープライズ・アプリケーションへのアクセスにスマートフォンのようなエンドポイントが使用されることが多くなると、Webアプリ
ケーションのユーザー認証とシングルサインオンが課題になる可能性があります。
ClearPassの自動サインオン機能を使用すれば、ネットワークへのユーザー認証が完了しているユーザーは、モバイル・アプリを使用する
たびにログインを繰り返す必要はありません。ClearPassは、ユーザーのネットワーク・ログインを検証し、モバイル・アプリに対してユー
ザーを自動的に認証します。
ClearPass Exchangeは、SAML (Security Assertion Markup Language)を使用して自動サインオンをiSAMを含むサードパーティ製シ
ステムにまで拡張します。ClearPassとの連携により、iSAMの機能はネットワーク認証やデバイス・ステータスなどにまで拡張されます。 これにより、リアルタイムの認証属性を使用して、無線、有線、VPNの全体で保護対象アプリへのセキュアなアクセスを確保できます。た とえば、iSAM-for-Webは、コンテキスト・アウェアなアクセス制御と高度な脅威に対する追加の保護によってWebアプリへのアクセスを 保護します。 ClearPass Exchangeは、自動サインオンを保護対象Webアプリケーションにまで拡張することで、ユーザーがiSAMに個別にログインす る必要性を解消します。ユーザーの接続体験は、よりシンプルかつ安全になり、同時にIT部門はWebアクセスの統制を維持できます。
www.arubanetworks.com SO_ClearPassExchange_061915 ©2015 Aruba Networks, Inc. Aruba Networks®、 Aruba The Mobile Edge Company® ( 定型 )、 Aruba Mobilty Management System®、 People Move. Networks Must Follow.®、 Mobile Edge Architecture®、 RFProtect®、 Green Island®、 ETIPS®、 ClientMatch®、 Bluescanner™、The All Wireless Workspace Is Open For Business™は、米国およびその他の国々のアルバネットワークスの商標です。 上記の商標がすべてではなく、 記載されていない商標もアルバネットワークスの商標の可能性があります。All rights reserved. アルバ ネットワークスは、 本書ならびに製品の仕様を、 予告なく変更、 修正、 譲渡、 またはその他の方法で改訂する権利を留保します。 本書記載の仕様に関しては商業上合理的な範囲で正確を期しておりますが、 誤記 ・ 脱落については責任を負いません。 ■ 開発元 ■ お問い合わせ
アルバネットワークス株式会社
〒105-0004 東京都港区新橋5-27-1 パークプレイス3F TEL. 03-6809-1540(代表) FAX. 03-6809-1541適応的な防御機能の構築
協調的で適応的なセキュリティ防御機能を構築するには、最善の 組み合わせのITシステムとのコンテキスト情報の共有を含む連携 が鍵になります。企業のセキュリティ境界の内外で接続するWi-Fi 対応モバイル・デバイスが増え続ける現在のモバイル企業では、こ のようなセキュリティが求められます。Aruba ClearPass Exchangeは、複数のセキュリティ・システムが 相互のアクションを認識しないサイロ化されたアプローチを採用せ ずに、連携を通じて双方向の可視性を実現します。 ClearPassを利用することで、アクセス層からEMMやネットワー ク・セキュリティ製品、サービス業向け、支払い、メッセージングに 至るさまざまなシステムと簡単に連携し、自由に選択したオープ ン・プラットフォーム上でHTTPベースのワークフロー・アクション を実行できます。 ワークフローの大幅な自動化は、IT部門のメリットとなります。セル フサービスとユーザー体験の大幅な向上は、エンド・ユーザーのメ リットとなります。そして何よりも、動的で高度な今日のモバイル環 境専用に構築された、協調的かつ適応的なセキュリティは、企業の メリットとなります。
