HPE Aruba ClearPassが実現する「モバイルファースト時代のネットワーク」 第2回
セキュリティ機能を実装しないIoTデバイスとデータをどう守るか
ClearPassの導入でIoT時代特有の課題に備えるネットワーク
2017年01月13日 09時00分更新
数年後には訪れるIoT時代、 IoTネットワーク特有の課題とは
本稿第1回でも触れたが、企業ネットワークには今後、これまでの何倍もの数のIoTデバイスが接続されるようになる。それは遠い未来の話ではなく、早ければあと数年後には訪れる世界だ。実際、これから取り組むべき経営課題としてIoTを捉えている企業も多いだろう。
企業ネットワークの管理者にとって、こうしたIoTデバイスの増加は、従業員の持つPCやスマートフォンの数が増えることとはまた違った課題をもたらす。IoTデバイス特有の「セキュリティ」の課題、そして「ネットワーク接続管理」の課題である。
企業ネットワークにはこれまでも、プリンタ/スキャナ/複合機や、IPカメラ、IPフォン、ビデオ会議システムといった、PCやサーバー以外のIP対応デバイスが接続されてきた。さらに今後は、照明器具や空調機器、防犯装置、ウェアラブルセンサー、環境センサー、製造機械や各種ロボットの制御装置(PLC)まで、ありとあらゆるものがIoT機能を備え、ネットワーク接続されるようになる。
ただし、こうしたIoTデバイスは一般的に、PCやスマートフォンのような設定インタフェースも、高度なセキュリティ機能も備えていない。そのため、ネットワーク管理者には、前述のような課題が重くのしかかることになる。
特に喫緊の課題となっているのがセキュリティだ。「Mirai」ボットネットの報道にもあるように、最近では攻撃者たちが積極的にIoTデバイスを攻撃ターゲットとし、企業内への侵入や第三者への攻撃(DDoS攻撃など)の“踏み台”として悪用するようになっている。IoTデバイスのセキュリティ機能は一般に貧弱であるうえ、導入後は長期にわたって管理されないまま放置されがちだ。そのため、IoTデバイスが“効率の良い”攻撃ターゲットになっているわけだ。
IoTデバイスのネットワーク接続管理も、大きな課題である。IoTデバイスの接続を無制限に許可するわけにはいかないが、こちらもPCやスマートフォンなどとは異なり、802.1x認証に対応していないケースが多く、接続時に「信頼できるデバイスである」ことを確認する手段が限られている。デバイスのセキュリティリスクだけでなく、仮に“なりすまし”のIoTデバイスが接続され、そこから偽のIoTデータがばらまかれてしまえば、業務に甚大な影響ももたらしかねない。
だが、こうした課題の一方で、現場のユーザーは「IoTデバイスをネットワークにつなげば、難しい設定なしですぐに使える」ことを期待しているだろう。管理者には、そうした意識のギャップを埋められるような、なるべく手間がかからず、なおかつ確実なネットワーク接続管理の手段を用意することが求められている。
ネットワークがIoTにセキュリティを提供、 「HPE Aruba ClearPass」のアプローチ
こうしたIoT時代の課題に対し、HPE Arubaは「IoTデバイスに欠けている能力をネットワーク側で補う」というアプローチを提案している。
これは、本稿第1回でも紹介した「HPE Aruba ClearPass」を中心に据え、有線/無線LANを制御する「HPE Arubaモビリティ・コントローラー」と連携させ、ネットワーク接続のコンテキスト情報を活用したアダプティブトラストモデルを実現することで、IoTにおけるセキュリティと接続管理の課題を解決するものだ。もちろん、既存のネットワーク機器を最大限生かした形でそれを実現するため、これまでのネットワーク投資を無駄にしない。
具体例を挙げてみよう。たとえば、802.1x認証に対応していないIoTデバイスのアクセスコントロールを、どうやって確実に行うか。従来のネットワークでもMACアドレス認証は可能だが、その場合はあらかじめホワイトリストに1台ずつデバイスを登録しておく必要があり、導入の際には手間がかかる。
この課題を解決するため、最新版のClearPassでは「OnConnect」という機能が追加された。これは802.1x認証を使わず、SNMPのプロトコルを用いて、接続されたデバイスの種類やOSといったプロファイル情報を自動的に収集する機能だ。MACアドレスにこうした情報も付与し、多角的なデバイスのコンテキスト情報を収集し、アクセスポリシーを自動適用することができる。
もっとも、これから多種多様なIoTデバイスが登場するなかでは、既知のデバイスデータベースには見つからない“未知のIoTデバイス”も増え続けるだろう。
そこでClearPassでは「カスタムプロファイリング」機能も備えている。ネットワークに接続されたIoTデバイスが未知のものだった場合、ClearPassが管理者に通知して、デバイス情報や適用するポリシーの登録を促す。登録することで、登録した(1台目の)デバイスだけでなく、2台目以降の同じデバイスも自動認識/ポリシー適用されるようになるため、大量のIoTデバイスを導入する際の作業が大幅に簡素化される。
こうした仕組みを提供することで、ClearPassは、新たなIoTデバイスを導入した際のネットワーク接続管理を省力化し、なおかつ他のエンドポイントデバイスと同様にポリシーベースでのアクセス制御を可能にしている。
マイクロセグメンテーションの適用で IoTデバイスのアクセス先も最小限に制限
セキュリティの側面では、第1回でも紹介した、GREトンネル+ファイアウォールによるポリシーベースのマイクロセグメンテーションが有効に作用するだろう。
この仕組みならば、IoTデバイスが社内のどこで接続されても、デバイスからアクセスできるネットワークやサーバーを最小限に制限できる。したがって、万が一IoTデバイスがハッキングされても、そこから社内のほかのシステムに侵入したり、“踏み台”として外部への攻撃に悪用したりする攻撃を食い止めることができる。
もちろん、第1回で説明したPCなどと同じように、コンテキスト情報を他のセキュリティ製品と共有することで、不正サイトへの接続時の自動遮断など、さらに強力なセキュリティ対策を実現することもできる。管理者にとっては、PCやスマートデバイスとIoTデバイスを、同じポリシーで一元管理できるという点もポイントが高いだろう。
なおHPE Arubaでは、製造、小売、ビル/ホームオートメーション、ヘルスケアなどの分野でIoTデバイス/制御機器メーカーとのパートナーシップを推進しており、セキュアなIoT活用を実現する共同ソリューションも展開している。
このように、ClearPassとHPE Arubaのテクノロジーを導入することによって、将来のIoT時代にも備えたネットワークが実現するわけだ。
* * *
以上、今回は来たるべきIoT時代のネットワークに求められる要件を、HPE Aruba ClearPassがどうサポートしていくのかを紹介した。
最終回となる次回は、これからの企業ネットワークにはどのような“価値”が求められ、ネットワーク/セキュリティベンダーはそれをどう提供していくのか、ClearPassを中心に連携するHPE ArubaとNEC、パロアルトネットワークスの3社による座談会のもようをお届けする。
(提供:日本ヒューレット・パッカード HPE Aruba事業統括本部)
この連載の記事
-
第3回
sponsored
企業ネットワークがこれから備えるべき「インテリジェンス」とは -
第1回
sponsored
モバイルファースト時代に必要なネットワークセキュリティの作り方 -
sponsored
HPE Aruba ClearPassが実現する「モバイルファースト時代のネットワーク」 - この連載の一覧へ