Categories: セキュリティ

広がり続ける境界を ISE で管理してゼロトラストを実践する 3 つの方法

この記事は、Security の Product Marketing Manager である Paul Burdette によるブログ「3 ways to put the expanding perimeter on ISE and gain zero-trust」(2020/5/8)の抄訳です。

 

広がり続ける境界を ISE で管理してゼロトラストを実践する 3 つの方法

ここ 10 年以上、セキュリティは大きな課題となってきました。2013 年には金銭目的のマルウェア攻撃や大規模なセキュリティ侵害が社会問題となり、セキュリティを重視する風潮が加速しました。

そこで誕生したのが、ネットワークの境界をファイヤーウォールで何重にも囲い、異常検出を重視した、受け身型の階層型セキュリティです。

こうした対策が根強く使われてきましたが、今や境界そのものが消失しつつあります。
その背景にあるのは、クラウドへの移行やワークフォースのモバイル化といった大きな流れや、セキュリティの甘い IoT デバイスの急増などです。接続しやすい環境を整備してビジネスの利便性を追求するか、社内ネットワークへの接続を厳格化し制限して保護を強化するかの間で、妥協点を探るために膨大な時間を費やすことも珍しくありません。

しかし接続の厳格化に歯止めをかけ、ビジネスの推進に欠かせない IT イニシアティブを滞らせないために、多くの組織がアクセスに関する根本的な再考を迫られています。
セキュリティ業界では「誰も信頼してはならない」が定説でしたが、今や「どんなモノも」を付け加えるべきでしょう。ゼロトラストフレームワークはこうした背景から生まれました。

類似の概念は以前にもありましたが、テクノロジーの進歩によってネットワーク内の多数のポイントでアクセスの認証と承認を常時行えるようになり、ゼロトラスト実現のハードルは下がってきています。

今ではセキュリティをネットワークに直接組み込み、ネットワークをセグメンテーションできるようになりました。具体的には、エンドポイントの認証とアクセスの承認を継続的に行い、業務を遂行する上で必要最小限のアクセス権のみをエンドポイントに付与します。

Cisco Identify Services Engine(ISE)はアクセス保護に伴う課題をおよそ 10 年前から担い続けています。ISE の重要さは、シスコのお客様を対象にした調査で証明されています。
職場でゼロトラストアプローチを実現させ、拡大し続ける境界を管理してネットワークにセキュリティ保護を直接組み込む上で、ISE におけるイノベーションが大きな役割を果たしてきたからです。

 

広がり続ける境界を ISE で管理してゼロトラストを実践する 3 つの方法

①アセットの可視性:

調査で回答が得られたお客様の 75% は、ISE の幅広い価値の中でも、ネットワークに接続しているユーザとデバイスを把握できる能力を最も高く評価しています。

しかし可視化の実現はほんの第一歩です。接続しているデバイスやユーザの正体を正確に把握し、脅威の進化スピードに応じて動的かつ緻密にエンドポイントを可視化できること。こうした環境があって初めて、ビジネス目標への影響を避けながら、業務に必要なアクセス権だけをエンドポイントに許可できるポリシー管理が実現できるのです。

②ネットワークのセグメンテーション:

ネットワーク自体を利用してアクセスポリシーを適用できる ISE の機能について、最も高く評価したお客様は全体の 79% でした。

ネットワークのセグメンテーションは、アセットが効果的に可視化されてこそ可能になります。
エンドポイントの場所を問わずきめ細かく制御するには、詳細な可視性が不可欠です。
かつて信頼に基づくアクセスゾーンの構築を阻んでいた最大の理由は、可視性の欠落です。

ISE ではビジネス目的と寸分違わずにセグメンテーションを実装でき、ワイヤレス、有線、VPN など、あらゆる接続にわたってポリシーを簡単に管理できます。さらに、ISE 以外のセキュリティ製品を購入しなくても効果的なセグメンテーションを実現できたと回答したお客様は全体の 58% に上ります。

追加製品の購入は「単一プラットフォーム」という概念に反したつぎはぎ状態を生み出すため、CapEx や複雑性が増大します。

Cisco IESは、セキュリティポートフォリオと情報を統合・共有し、資産に関する現場の意思決定をサポートします。

③コストの増加を伴わずに価値を実現:

ISE でセキュリティプロファイルが大幅に改善し、運用コストが下がったと回答したお客様は全体の 79% に上ります。

シスコのお客様が抱える現実的な問題の 1 つは、予算が限られていることです。複雑さや運用コストは増やさずに、ネットワーク セグメンテーションなどの高度な対策に移行できるよう、ISE チームはユーザエクスペリエンスの合理化に尽力してきました。

相互運用性とプラットフォームの統合に重点を置くことで、お客様は追加投資を行わなくても保護を強化し、既存ソリューションの価値を高めることができます。これにより受け身のセキュリティソリューションを脱して、プロアクティブに環境の保護に取り組むことができます。

Cisco ISE導入によるITの運用

ISE は約 10 年にわたって、ネットワークのポリシー管理や保護で活躍してきました。お客様の 95% が ISE を同僚や友人にも勧めると回答したのには、理由があるのです。

本調査結果の詳細については、こちらをご覧ください。 ISE の詳細については、https://www.cisco.com/jp/go/ise をご覧ください。

木村 滋

2000 年シスコシステムズ入社。テクニカルアーキテクト/エバンジェリスト。セキュリティ ソリューション専任技術担当として、大手データセンター/キャリア ビジネスのプロジェクトをサポート。データセンター/VDI/デスクトップ仮想化/ネットワーク仮想化に従事、普及活動、ソリューション開発を担当

CCIE#19521

著書:「Cisco ISR ルータ教科書」、「Cisco WAN 実践ケーススタディ」、「実践Cisco IPSec VPN 教科書」等

NPO法人日本ネットワークセキュリティ協会(JNSA)幹事