HPE Aruba ClearPassが実現する「モバイルファースト時代のネットワーク」 第3回
NEC/パロアルトネットワークス/HPE Arubaの協業が実現する、新時代のセキュリティと価値
企業ネットワークがこれから備えるべき「インテリジェンス」とは
2017年01月17日 09時00分更新
本稿第1回、第2回で解説したとおり、「HPE Aruba ClearPass」を中心に据えた企業ネットワークは、サードパーティ製品との連携によってさらに大きな価値をもたらすことになる。今回は、HPE Aruba製品と連携するSDN対応製品「UNIVERGE PFシリーズ」を擁するNEC、次世代ファイアウォール「PAシリーズ」を擁するパロアルトネットワークスとともに、これからの企業ネットワークで求められるもの、そして3社連携で提供できる「価値」を考えてみた(文中敬称略)。
企業ネットワークとセキュリティ、その要件は大きく変化している
――まず、企業ネットワークに対する顧客のニーズや要件は、近年、どのように変化しているのでしょうか。
NEC 砂田:これまでの企業ネットワークに対する要件は、「太い帯域を持っていて、安定して稼働すること」が中心でした。よく“土管”と表現されたりもしますが、基本的には静的でシンプルなネットワークでよかったわけです。しかし近年、ITに対するビジネスニーズが変化したことで、企業ネットワークに対する要件も大きく変化しています。
たとえばデータセンターでは、サーバー仮想化が普及したことで、柔軟かつダイナミック(動的)に構成が変更できるネットワークが求められるようになりました。同様に、オフィス内のネットワークにおいても、従業員やデバイスのモビリティ(移動性)や、頻繁な異動/組織替えに対応できる能力が求められるようになっています。
つまり、「広帯域」「安定稼働」というこれまでの要件に加えて、「柔軟で動的な構成変更」「セキュアなトラフィック分離」、そして「運用管理の効率化」といった要件も新たに加わっているわけです。顧客企業は、エンドユーザーにとっても運用者にとっても使いやすく管理しやすい、そしてよりセキュアなネットワークを望んでいます。
パロアルトネットワークス 神田:ネットワークセキュリティベンダーの立場から言いますと、「インターネットの出入口(ゲートウェイ)だけで通信を止める」という、従来型のネットワークセキュリティのあり方には限界が来ていると考えています。
これまでは、業務アプリケーションはオンプレミスに設置され、それを社内ネットワーク経由で使うという「閉じた」利用形態が一般的でした。しかし現在では、業務アプリケーションは社内だけでなく、クラウドにも配置されるようになっています。一方で、ワークスタイルはよりモビリティの方向へと進化し、社外からオンプレミスの業務アプリケーションにアクセスしたいというニーズも高まっています。
このように、多様なアプリケーション通信が社内/外を出入りするようになると、攻撃者はそこに隠れるようにしてサイバー攻撃を仕掛けてきます。したがって、現在の企業ネットワークには、どのようなアプリケーション通信が行われているかを可視化し、その情報をネットワーク全体で共有して、より迅速なインシデント対応につなげることが求められています。
HPE Aruba 天野:神田さんがおっしゃった業務アプリケーションの多様化に加えて、「業務デバイスの多様化」という変化もありますね。従来はWindows PCだけだった環境にMacが入ってきたり、スマートフォンやタブレットも使われるようになった。BYODに取り組む企業も増えています。
過去の企業ネットワークはシンプル、そこに接続されるデバイスもシンプルでしたが、両方とも複雑化してきているわけです。一方で、セキュリティ脅威とリスクは非常に増している。
ただ、そうは言っても、エンドユーザーが求めるものは従来と変わらず、「安心」で「簡単」に使えるネットワーク環境です。管理者自身も常に「運用負荷を減らしたい」と考えている。複雑化しているのに簡単さやシンプルさが求められるという、この相反するニーズをどう実現していくのかが、現在の企業ネットワークの課題だと考えます。
“インテリジェントなネットワーク”3社連携ソリューションが実現するもの
――そうした課題もふまえて、3社製品の連携ソリューションを提供されているとのことですが、具体的にはセキュリティとネットワークがどう連携し、どんなメリットが生まれるのでしょうか。
パロアルトネットワークス 神田:当社の次世代ファイアウォール(NGFW)は、アプリケーション通信の可視化を得意としています。そこに、HPE ArubaのClearPassが収集したIPアドレスとユーザー/デバイスとをひも付ける情報を渡してもらうことで、より細かな通信状況の把握や制御が可能になります。
たとえば、あるデバイスが危険なマルウェアをダウンロードしてしまったことをNGFWが検知しても、これまでは「誰が」ダウンロードしたのかをつきとめ、対応するまでには時間がかかっていました。しかし、ClearPassのIPアドレスとユーザー/デバイスとのマッピング情報を活用すれば、迅速な判断や対処が可能になります。
他方で、当社のNGFWは、NECのSDNコントローラーとも連携します。NGFWで検知した感染デバイスやリスクの高いデバイスの情報をSDNコントローラーに渡すことで、そのデバイスをエッジネットワークから自動的に遮断する処理ができます。
これまでは人手で数日かかっていたインシデント対応が、SDNコントローラー連携の自動化によって数秒から数十秒で済むので、内部感染の拡大や機密情報の外部漏洩リスクを大幅に低減できるわけです。
NEC 砂田:ネットワークやセキュリティの知識を持つ人がいないと対応できない、という属人性の問題も解消できますね。人手で迅速に対応するとなると、ネットワークやセキュリティの担当者が24時間365日待機しなければなりません。現実には不可能です。
セキュリティとネットワークが連携し、感染デバイスを自動遮断する初動対策を行ってくれる環境ならば、管理者が事後対応をするための時間的、精神的な余裕も生まれます。
なお、NECのSDNコントローラーはHPE Arubaの無線LAN環境と連携できますので、有線でも無線でも、感染デバイスはエッジネットワークから即座に遮断できます。
HPE Aruba 天野:企業ネットワークが複雑化したことで、「どこで通信を止めなければならないか」も要件により異なるようになっています。インターネットの出入口か、コアネットワークか、あるいはエッジネットワークか。3社が協業し、製品間の連携を実現したことで、そのすべてに対応できるようになったわけです。
――3社製品のインテリジェンスを持ち寄ることで、ネットワークとセキュリティの連携が実現されているわけですね。
パロアルトネットワークス 神田:デバイスからゲートウェイまで、企業ネットワーク内のさまざまなポイントからより多くの情報を収集することで、インシデントの発生箇所をすぐに突き止めたり、人手を介さないインシデント対応ができたりするようになりました。実際に、顧客企業からもそうした要望を多くいただいています。
HPE Aruba 天野:従来のセキュリティ対策は、主に「デバイスのほうをインテリジェント化する」アプローチでした。しかし、先ほどお話ししたとおり、現在はデバイスが多様化しており、さらに今後は数多くのIoTデバイスも接続されるようになります。
そうなると、高度な機能やインテリジェンスを持たないデバイスへの対応として、「ネットワーク側がインテリジェンスを持つこと」が求められるようになります。大量のIoTデバイスをボットネット化した「Mirai」のような例も出てきていますが、ネットワーク側で脅威を監視し、インシデントが発生した場合はデバイス単位で即座に自動遮断できる、そんな企業ネットワークが必要とされているわけです。
そうしたソリューションを、認証、セキュリティ、SDNの各分野でベストの製品を持つHPE Aruba、パロアルトネットワークス、NECの連携で提供できるという点もポイントです。各社がオープンに取り組んでいるからこそ、ベストオブブリードなソリューションが実現しているのです。
単なる“土管”ではもったいない、顧客や販売側の意識を変えていく
――こうした連携ソリューションへの、顧客企業の反応はいかがですか。
NEC 砂田:国内でも標的型攻撃が増加し、情報漏洩事故も多発していますので、どの企業でもセキュリティ意識は高まっています。ですが、いくら「不審なメールの添付ファイルは開かないように」といった従業員教育を行っても、攻撃が巧妙化するなかで、脅威の侵入を100%防ぐことは不可能に近いでしょう。
侵入を防ぐための対策強化も当然必要ですが、それに加えて、侵入されてしまっても情報は盗まれないようにする、内部感染が拡大しないようにする、といった対策を考える顧客も増えつつあります。
――セキュリティの「事後対策」をどう効率良く実現するのか、そのためにネットワークは何ができるのか、という点にも目が向き始めているのですね。
NEC 砂田:そうですね。
たとえば建設機械メーカーの竹内製作所では、IoT時代の競争力向上を目的として、工場ネットワークの刷新を検討されていました。従来は工場内でネットワークを構成していましたが、これからは工場内にとどまらず、社内のオフィスや社外ともつながってくる。この「つながる工場」を柔軟かつセキュアに実現するため、NECのSDNを採用し、パロアルトネットワークスのNGFWも導入して、セキュリティと連携する工場ネットワークを完成させました。
――なるほど、もう十分に実用段階なんですね。すでに3社のネットワーク機器やセキュリティ機器が入っている企業ならば、さらに早くソリューションを実現できますね。
HPE Aruba 天野:そのとおりなのですが、顧客と話していると、まだまだ意識や組織の面で「変化に追いついていない」印象も受けます。たとえば、せっかくパロアルトネットワークスのNGFWを導入されているのに、「ネットワークとの連携は考えていない」とおっしゃる企業もあります。
詳しくうかがってみると、「これはセキュリティの予算だから」「ネットワークは自分の担当範囲ではないから」といった理由を挙げられるケースが多く、非常にもったいないと思います。こうした顧客の“意識の壁”をどう崩していくのかも、われわれの課題だと言えるでしょう。
モバイルファーストの時代になると、ユーザーやデバイスの認証処理が必須となり、その情報はどんどん認証サーバーに集まっている。その情報をNGFWやSDNでも活用できる技術もあるにもかかわらず、まだ認証は認証だけで閉じてしまっている顧客が多い。そこにどう「気づき」を与えるか、ですね。
――たしかに、それはもったいない話ですね。すでに自社にある機器、インテリジェンスをもっと生かすことができるのに。
NEC 砂田:天野さんがおっしゃった“意識の壁”を崩すためには、売る側も意識を変えていかなければならないと思います。ネットワークのこともセキュリティのことも、両方がわかって、提案できる人を増やしていく必要もあるでしょう。
企業ネットワークには“土管”のイメージがあって、「そこにコストをかけるな」と考える風潮もまだあるのは確かです。なので、まずはインテリジェンスを持ったネットワークを認知してもらい、それで何ができるのか、どんな価値があるのかをしっかり伝えていかなければなりません。そのために、ネットワークとセキュリティの連携はわかりやすい例だと考えています。
IoT時代への先行投資でもある簡単でインテリジェントなネットワーク
――さて、これからの企業ネットワークではIoTへの対応も考えなければなりません。現場のユーザーからは、これまでのPCやスマートデバイス以上に「簡単につながる」ネットワークが求められるでしょう。
HPE Aruba 天野:どんな分野のIoTでも必要になるのが、ネットワークとセキュリティです。この3社協業は、IoT時代を見据えて、今のうちから“IoT Ready”なネットワークを用意していく取り組みでもあります。
ポイントは、現在のネットワークがそのまま“IoT Ready”なものに進化できるという点。つまり、ネットワークやセキュリティに対する今現在の投資が、そのまま将来にも生きてくるわけです。
ユーザーも管理者も簡単に使えて、しかもセキュアなネットワーク。3社協業によるインテリジェントなネットワークは、すでにそれを実現可能であり、IoT時代になってもそれは変わらず使えます。
NEC 砂田:IoTデバイス側にインテリジェンスを持たせようとすると、高価になりますから、インテリジェントなネットワークで統一的にセキュリティ対策をかけられるという点は、重要になります。
パロアルトネットワークス 神田:これからIoTデバイスが無数につながるなかで、企業ネットワークでは、これまで以上にきめ細かな対応が必要になります。接続されたデバイスに最小限のアクセス権限だけを与える「マイクロセグメンテーション」の考え方も、より重要になると思います。
さらに、内部脅威対策もこれまでと同様に必要となるでしょう。
――これまでのデバイスとは違って、IoTデバイスはユーザーにひも付かないという部分が大きな変化だと思います。
HPE Aruba 天野:そうですね。認証の部分が大きく変わります。
最新版のClearPassでは、802.1xを使って認証を行わないIoTデバイスでも、どんなデバイスなのかの情報を収集するプロファイリング機能を備えています。これにより、たとえば同じ種類のセンサーが多数接続される場合でも、自動的にアクセスポリシーを適用することができます。
この機能をどう3社連携のなかで生かしていくのかも、今後さらに検討していきたいと考えています。
(提供:日本ヒューレット・パッカード HPE Aruba事業統括本部)
この連載の記事
-
第2回
sponsored
ClearPassの導入でIoT時代特有の課題に備えるネットワーク -
第1回
sponsored
モバイルファースト時代に必要なネットワークセキュリティの作り方 -
sponsored
HPE Aruba ClearPassが実現する「モバイルファースト時代のネットワーク」 - この連載の一覧へ