ネットワーク アクセス コントロール(NAC)の変化
この記事は、シスコのセキュリティ担当マーケティング マネージャ Dave D’Aprile によるブログ「Network Access Control Sure Isn’t What It Used to Be…」
(2014/12/23)を意訳したものです。
今、このブログ記事をノート パソコンやデスクトップ コンピュータ以外のデバイスで読まれている方がいらっしゃるのではないでしょうか。そして、おそらくそのデバイスは仕事のメールや機密文書の確認などという仕事用、そして、携帯ゲームやソーシャル メディアなどを利用するというプライベート用の両方に使ってはいませんか。
このような使い方をしている人は少なくありません。今では、スマートフォンやタブレットを使用して社内ネットワークや社外ネットワーク(コーヒー ショップのゲスト ネットワークなど)に接続して仕事をしている人をあらゆる場所で見かけます。これは IT 部門の観点から見ると、「エンタープライズ ネットワーク」で管理する対象の範囲が、社内イントラネットにアクセスするユーザのみに限らず、さまざまな場所や方法でログイン可能な「拡張されたネットワーク」から企業データににアクセスするユーザにまで広がったことを意味します。
「攻撃対象範囲(Attack Surface)」が広がり、攻撃を受けるリスクが高まっていることから、アクセス コントロールやセキュリティへの取り組みは大きな転換を迫られています。従来のネットワーク アクセス コントロール(NAC)は複雑で、導入に手間がかかりましたが、イントラネットやデバイス調達を IT 部門が直接管理しているうちは、それでも大きな問題にはなりませんでした。
しかし、「個人所有デバイスの持ち込み(BYOD)」と呼ばれるモバイル活用のしくみが企業で一般的に利用されるようになると、従来の NAC では効果的な制御ができなくなりました。従来の NAC は、一般的に Windows PC などの旧来のエンドポイントを想定して複数の 802.1x サプリカントに包括的に対応することを目的としており、規模を拡大するには複雑な作業が必要でした。そのため、各企業はモバイル デバイス用のセキュリティ対策としてモバイル デバイス管理(MDM)プラットフォームを利用するようになりました。これらの MDM ソリューションは、NAC よりも導入や管理が簡単で、コストも大きく削減できるため、セキュリティに関する ROI を目に見える形で向上させることができました。
今日でも、多くの組織では MDM やその後継であるエンタープライズ モビリティ管理(EMM)を利用してこれらのデバイスを管理し、セキュリティを確保しています。しかし、この戦略には、いくつかの欠点があります。
- MDM/EMM は、デバイス ポリシー(PIN ロック、暗号化、アプリケーションのホワイトリストなど)を適用することはできますが、ネットワーク アクセス ポリシーは適用できません。たとえば、財務データベースや営業資料リポジトリへの社内ネットワーク アクセスを制限できないのです。デバイス自体のセキュリティは確保できますが、ネットワーク アクセスに制限をかけることはできません。
- MDM または EMM ソリューションは他のセキュリティ ソリューションとは独立して動作するため、エンドポイントでの MDM または EMM エージェントのインストールや設定に関して 100 % のコンプライアンスを達成することはほぼ不可能です。そのため、コンプライアンス達成度はエンド ユーザの協力と関与に大きく依存せざるを得ず、コンプライアンスの低いデバイスがネットワークにアクセスするおそれが出てきます。このようなデバイスのセキュリティが侵害された場合は、ネットワークが危険にさらされます。
つまり、デバイスやネットワークの保護対策として MDM または EMM のみを利用している企業は、セキュリティ目標の一部しか達成できないことになります。
幸いなことに、この数年で NAC プラットフォームは大きな進歩を遂げています。前回のブログ記事では、現在の NAC はただの基本的なアクセス コントロールやアドミッション コントロールから、エンドポイントの可視性(Endpoint Visibility)、アクセス(Access)、セキュリティ(Security)を包括的に制御できるテクノロジーへと進化していることをご紹介しました。新しい NAC は、各要素の頭文字を取って「EVAS」とも呼ばれています。かつての NAC は複雑で手間がかかるテクノロジーでしたが、最新世代の NAC(EVAS)ソリューションは EMM および MDM エージェントを含む数多くのソースから収集した高度な状況依存データに基づいて、ネットワーク アクセス ポリシーを正確かつ動的に適用します。
基本的に、新しい NAC(EVAS)ソリューションではネットワークをセンサーとして利用し、ユーザやデバイスがどのような方法で接続している場合でも、拡張されたネットワーク全体にわたってプロアクティブなアクセス コントロールの決定が下せるようにしています。これにより、使用されているデバイスや、デバイスのコンプライアンス状態に応じて、異なるアクセス ポリシーを適用できます。また、ネットワーク内での不正な侵入の拡大を防止できます。
このように、NAC は、限定的なセキュリティ保護機能から、企業における強力なビジネス推進要因へと進化しています。さらに高度なソリューションになると、単純にアクセス ポリシーを適用する以上の機能を備えています。高度なソリューションでは、他のネットワークや他のセキュリティ ソリューションと連携して、データを共有し、すべてのソリューションの有効性を向上させることができます。たとえばシスコ社内では、個人所有の iPad を使用してネットワークにアクセスすると、シスコの NAC(EVAS)ソリューションである Cisco Identity Services Engine(ISE)によってデバイスの接続が認証されます。Cisco ISE は、タブレットのプロファイルとポスチャを確認し、当社のモバイル デバイスのワイヤレス アクセス ポリシーに準拠していること(つまり、MDM または EMM ソフトウェアがインストールされていること)を確認します。
ポリシーに準拠していない場合は、MDM/EMM ソフトウェア ソリューションと連携している Cisco ISE によって、MDM または EMM ソフトウェアのインストールが促され、タブレットをポリシーに準拠させることができます。ポリシーへの準拠が確認されると、ネットワーク上で自分に許可されているアクセス レベルに応じてネットワークにアクセスすることができます。ここで重要なのは、2 つのソリューションが統合されていることです。タブレットの保護は MDM/EMM ソフトウェアによって実現され、ネットワーク リソースへのアクセス レベルは NAC(EVAS)ソリューションによって透過的に制御されます。これにより、MDM/EMM の欠点が克服されます。
ただし、これはまだほんの始まりに過ぎません。この「新しい NAC」は、高度なセキュア アクセスを提供するだけではなく、企業ネットワークにすでに導入されていながら独立した存在として扱われていた EMM や MDM などのセキュリティ/生産性向上ソリューションを統合するための中心的要素として期待されています。
繰り返しになりますが、今日の NAC は かつての姿から大きく成長しています。
NAC の詳細、市場のトレンド、およびソリューションについては、新しくリリースされたレポート「ネットワーク アクセス コントロール(NAC)に関する Gartner Magic Quadrant 2014 年版」をご覧ください。
Tags:
