この記事は、ディフェンス セキュリティ担当システム エンジニアリング マネージャーである Michael Overstreet によるブログ「Cybersecurity for Defense: Network Segmentation」 (2016/5/11)の抄訳です。
この数十年の間に、DoD のデータはデジタル形式に移行し、ネットワーク経由でデータセンターに保存されるようになりました。また、データの分類や区分の管理に使用されたものと同じ規制が、ネットワークにも適用されるようになりました。さらに、過去 10 年間でネットワークがますます複雑になるにつれ、新しい要件も示されてきています。そこでは、データの分類や区分が規定されるだけでなく、同じ分類内でタイプの異なるネットワークをどうセグメント化するかということも規定されます。こうした要件は、組織の大規模ネットワーク内にある小さなセグメントをより厳密に管理することにつながり、ネットワークのセグメント化をさらにおし進めます。
これらの規制は新しいものですが、ネットワークのセグメント化は、DoD にとっては特に新しいものではありません。従来、DoD のネットワーク セグメント化は、セグメントのファイアウォールやルータ上のアクセス コントロール リスト(ACL)で実現されていました。しかし、今日のネットワークは、わずか 10 年前のネットワークと比べてもはるかに複雑です。要件が増え続け、ますます複雑化していく状況に、DoD は対処し続けてきました。その結果、ファイアウォールやルータなどのエッジ デバイスだけで、ネットワークをセグメント化し続けるのが困難になってきました。要件が増し、複雑になっていくにつれて、管理のしやすさも失われていきます。そのため、DoD のネットワーク セグメント化は、ネットワーク管理者やサイバー管理者にとって非常に困難な課題となってきています。
しかし、ネットワークのセグメント化は、シスコにとっても特に新しいものではありません。シスコのサイバーセキュリティ ソリューションでは、その複雑さにもかかわらず、ネットワークのセグメント化が容易に管理できます。シスコの Identity Services Engine(ISE)と Cisco TrustSec、StealthWatch
シスコは、DoD の機関がデータの安全を確保し続けることがいかに重要かをわかっています。また、セキュリティ ソリューションの管理性が向上すればするほど、優れたメリットが発揮されることも理解しています。シスコのネットワークを効率的なエンフォーサにしているのも、また、すべてをシンプルにして管理しやすくすることに注力しているのもそのためです。シスコが DoD のネットワークのセグメント化をどのようにサポートしているかについては、こちらからシスコのサイバー脅威対策をご覧ください。
