モバイル全盛期を見据えたセキュリティのあり方とは──。2015年9月30日に開催された「IoTセキュリティフォーラム 2015」(主催:横浜国立大学先端科学高等研究院、インプレス)において、特別協賛講演の壇上に立ったアルバネットワークス・佐藤重雄氏が、来場者に訴求したトピックを紹介する。
悪意を持った第三者による情報詐取や、過失による外部への情報流出をいかに食い止めるか──。各種の情報システムがネットワークにつながるようになって以来、企業はセキュリティリスクへの対応に力を注いで来た。もっとも、サイバー攻撃の手口は巧妙化する一方であり、さらにシステム/ネットワークの構成が複雑化していることが問題を難しくしている。次々と顕在化する脅威に、その場しのぎとも映る対策を講じているようでは、いつまで経っても埒があかない。セキュリティ対応チームは疲弊するばかりである。
こうした状況下、アルバネットワークスの佐藤重雄氏は、「そろそろネットワーク、そしてセキュリティに対する考え方を根本から改めなくてはならない時期に差し掛かっているのではないでしょうか」と指摘する。PCなど、社内に据え置いた情報機器だけでネットワーク(もしくはシステム)を構成する時代は終焉。企業活動の機動力を高めるためのモバイル活用、あるいは、これから本格化するとIoT(モノのインターネット)といった潮流に照らせば、そこに求められる要件は自ずと異なるものとなり、今はまさに、大きなターニングポイントを迎えているのだ。
ネットワークの境界での制御から“コンテキスト”ベースへ
これからの企業活動に欠かせない「モビリティ」の概念を取り入れた時、どのような枠組みでセキュリティ対策を考えればよいのだろうか。佐藤氏は、信頼(trust)モデルやアクセスモデルといった5つの項目について、「これまで」と「これから」を対比しながら論点を整理した(図1)。
拡大画像表示
「従来の基本的な考えは、ネットワーク上に“境界”を設けて、そこで防御するというものでした。つながっている端末やデバイスが固定化されていた時代には通用していましたが、多種多様な機器が縦横無尽に場所を変え、様々な場所からアクセスしてくることを想定しなければならない今の時代には適さないものになってしまったのです」(佐藤氏)。
端的に言えば、ネットワークに接続しようとする全てについて“疑う”ことが前提となる。まずは信頼できるか否かをきっちりと判別し認証。接続を許可するにしても、各々にロール(役割)を与え、その範囲内でのみ使えるネットワークやアプリケーションに誘導する。一連のフェーズを、所定のポリシーに基づいてインテリジェントに対処していくことがポイントとなる。
ネットワーク接続を許可してもよいと判断するにあたっては、「『デバイスAはOK』というように一律に定義するのは現実的ではなく、その“コンテキスト”を把握した上で適宜、適正な判断を下すような新基軸のアプローチが必要となります」とは佐藤氏の弁。コンテキストとは、そのデバイスの仕様やどのユーザーが使っているのかといった基本的な情報のみならず、どの場所からのアクセスなのか、どんな通信経路を通ろうとしているのか、その日付や時間帯は…といった関連情報をすべて加味することで明らかになる、実際の利用シーンや用途を指し示す。そのコンテキストに沿った形で、セキュリティをコントロールすることが1つの理想になるわけだ。
これまで触れてきた、セキュリティに対する新しい考え方を、アルバネットワークスは「アダプティブ・トラスト・セキュリティ」と称し、それを具現化するソリューションの展開に力を注いでいる。アルバネットワークスと聞いて、Wi-Fiなどの無線機器を手掛ける会社というイメージを持っている人は少なくないかもしれない。しかし、昨今はモバイル時代の高信頼ネットワークを標榜し、カバー範囲を拡大させている。
「テクノロジーカンパニーとして、あるべき姿を愚直に追求するのが当社の特徴。技術力が評価されていることは、米国の国防総省をはじめ、政府関係機関で続々と採用されている事実が証左となるでしょう」(佐藤氏)。
この3月には、米ヒューレット・パッカードがアルバネットワークスを買収することを発表。両社が得意とする技術を持ち寄り、弾力性豊かで強靭なモバイルネットワークを、ひいては今後のビジネスを支える次世代IT基盤を世に提供すべく力を結集する姿勢を明示している。
ClearPassが具現化するスマートなアクセス制御
前述のアダプティブ・トラスト・セキュリティの考え方を、企業のネットワーク環境に実装するものとして、佐藤氏が紹介したのが同社の「ClearPass」だ。後述する「Policy Manager」、ゲストアクセスサービスを提供する「Guest」、端末プロビジョニングを担う「Onboard」、検疫を司る「Onguard」などのモジュールから構成される、統合認証基盤製品という位置付けだ。「すべての端末へのスムーズなネットワークアクセスとアセスメントを一括で提供することに主眼を置いています」(佐藤氏)。
拡大画像表示
中核となるのが「Policy Manager」。有線や無線、VPN(仮想プライベート網)といったネットワークの種別を問わず、ロールベース/デバイスベースのコンテキストに則ったアクセス制御を可能とする。RADIUS、TACACS+など認証時に使われる主要なプロトコルに対応。提供形態としては、500/5,000/25,000台のデバイス認証に対応したハードウェア・アプライアンスと、仮想アプライアンスとがある。
RESTベースのAPIなどを介して、他社製のセキュリティ製品やIT基盤製品などと密接な連携を図れることも大きな特徴だ。例を挙げるなら、SIEM(Security Information Event Management)、MDM(モバイルデバイス管理)、次世代ファイアウォールといったものだ。ユーザー企業のシステム構成や、セキュリティポリシーに合わせて、“ベストオブブリード”でキメ細かく制御できる。他にも多彩な機能が凝縮されており、「これまで多くのIT部門が抱えていた悩みを一掃できるものと確信しています」(佐藤氏)。
モバイルやIoTなどを筆頭とするテクノロジーの新潮流が企業活動のあり方を大きく変えようとしている。いつまでも様子見を決め込むことなく、積極的に適用を検討して、先行優位を獲得するスピード感こそがものを言う時代だ。守りを徹底的に合理化し、そこで生まれる余力を攻めの領域に転じる取り組みが欠かせない。それを最新ソリューションで支えるのがアルバネットワークスだ。
●お問い合わせ
アルバネットワークス株式会社