アクセス・コントロール・ソリューション 購入ガイド ジュニパー統合型アクセス・コントロール (UAC)2.0 ロズリン・リスラー プロダクト・マーケティング Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408 745 2000 or 888 JUNIPER www.juniper.net Part number:710057-002 2006年11月 アクセス・コントロール購入ガイド - UAC2.0 目次 はじめに ........................................................................................................................3 購入基準の概要 ................................................................................................... 4 包括的なアクセス・コントロール ................................................................. 4 堅牢なセキュリティ ...................................................................................... 4 柔軟性と使いやすさ ...................................................................................... 5 運用と管理 .................................................................................................... 5 コスト ........................................................................................................... 6 ジュニパーの統合型アクセス・コントロール(UAC)2.0 制約のないアクセス・コントロール ...............................................................................7 ジュニパーの統合型アクセス・コントロール(UAC)2.0 .........................................7 UAC の機能 ...........................................................................................................8 ジュニパーネットワークス統合型アクセス・コントロール(UAC)2.0 購入のための詳細チェックリスト ...............................................................................10 2 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 はじめに ここ数年、企業はアクセス・コントロールの必要性に直面しています。企業が活動 範囲を広げた部分、つまり、リモートユーザーが管理されていないデバイスや管理 できないなデバイスを使用して、重要な LAN 資源にアクセスしようとしている状況 から、最初にこのアクセス・コントロールの必要性が認識されました。かといって、 このようなリモートユーザーにはアクセス権を与えないようにすると、生産性に影 響が出てしまいます。また、ユーザーに IPSec VPN アクセスへの権限を与えた場 合、エンドポイントと LAN の間を素通しするトンネルが、ユーザーのエンドポイン トが既に感染している可能性のあるウィルス、ワーム、スパイウェア、その他のマ ルウェアを自由に行きさせる感染経路として機能してしまうことが、頻繁に発生す るようになってしまいます。【「また、ユーザーに IPSec VPN アクセスへの権限 を与えた場合、エンドポイントと LAN の間を素通しするトンネルが出来てしまい、 それがユーザーのエンドポイントから、既に感染している可能性のあるウィルス、 ワーム、スパイウェア、その他のマルウェアが自由に行き来できる感染経路となっ てしまう、という事象が頻繁に発生するようになってしまいました。」ではどうで しょうか?】 この問題の大きな解決策となったのが、SSL VPN です。SSL VPN は、エンドポイ ントのセキュリティ状態をユーザー認証に結び付け、また特定のセッションベース のロールと非常にきめ細かいリソースポリシーの実施によって、ネットワーク・ア プリケーション/リソースを安全に未知のデバイスに提供したのです。しかし、サ ードパーティのユーザーなどキャンパス LAN のユーザーになる人が増えるにつれ、 同じ問題がキャンパス LAN で再び浮上してきました。実際、いくつかの場面では、 アクセス・コントロールの必要性が LAN そのものの中でより強くなっています。こ れは、ユーザーのタイプが企業活動の拡大で見られたよりも、多様化しているから です。ユーザーが多様化すると、エンドポイントも同じように多様化します。ネッ トワークの境界を通るモバイルデバイスから、企業が管理していないビジネスパー トナーのデバイス、さらに、まったく管理できないゲストユーザーのデバイスまで、 さまざまに変化します。今のネットワークの大半は、ユーザーの位置、つまりは LAN 上ですが、これが信頼できるという確信の下に構築されています。そのため、 現在の LAN の大半には、ほとんど保護機能が組み込まれていません。キャンパスに いるとき、ユーザーはほとんどの時間 LAN 上にいます。また、ユーザー自身が気づ かないうちに持ち込んでしまったセキュリティの脅威や脆弱性も同様に、LAN 上に 存在するのです。 このような状況に呼応するように、現在アクセス・コントロールの市場が急速に発 展しています。ベンチャーから定評あるネットワーク/セキュリティベンダーまで、 数多くのベンダーが人々の関心を引くために「アクセス・コントロール」という業 界の流行語を多用しています。もちろん、正統派の考え抜かれた製品やサービスも ありますが、単に既存の技術に新しい名前を付けて別の目的を持たせたに過ぎない もの、あるいは、実際には端から端まで何かしらのベンダーに縛られてしまう名前 だけのマルチベンダー「ソリューション」もあります。 ここでは、ユーザー独自の環境に適したアクセス・コントロールを検討する場合に、 考えなければならない質問事項を検証していきます。質問は、お客様からの実際の 要望に基づいています。特に、下記の分野についてご説明します。 •包括的なアクセス・コントロール •堅牢なセキュリティ •柔軟性と使いやすさ •運用と管理 •コスト Copyright © 2006, Juniper Networks, Inc. 3 アクセス・コントロール購入ガイド - UAC2.0 購入基準の概要 包括的なアクセス・コントロール 最も革新的なアクセス・コントロール技術は、エンドユーザー確認とエンドポイン トインテグリティ(整合性)を組み合わせたものです。ソリューションの中には、こ の組み合わせの一部分(たとえば、認証)しか利用していないものもあります。また、 エンドポイントのセキュリティ状態をチェックするような機能を作ろうと、トラフ ィックの検査と組み合わせているソリューションもあります。しかし、それだけで 本当に十分でしょうか?一方、エンドポイントのセキュリティ状態だけに依存し、 アクセス・コントロールのためにネットワークベースのトラフィック処理機能と組 み合わせていないソリューションもあります。真のソリューションでは、最低でも、 ユーザー認証、デバイスの整合性、そしてポリシーで決定された位置情報を組み合 わせる必要があります。これによって、包括的なアクセス・コントロールを実現す ることが可能になります。 アクセス・コントロールのソリューションを購入するときに、まず確認が必要な質 問の 1 つは、「そのソリューションは、今後直面するあらゆるユーザーケースを本 当に処理してくれるのか?」ということです。従業員が週末にノートパソコンでイ ンターネット・サーフィンを行った後、そのノートパソコンを持ち込む場合、まず はユーザーを認証し、エンドポイントのセキュリティ状態をチェックすることが必 要です。、請負業者の PC やゲストユーザーの PC のセキュリティ状態をチェック する場合とは、おそらく何かまったく違うことをする必要がある場合があります。 完全なアクセス・コントロール・ソリューションは、企業の PC や事前に組み込ま れているソフトウェアなどに依存してはいけないのです。同時に、クロス・プラッ トフォームにも対応できなければなりません。ブランチオフィス(支店や支社)のユ ーザーについても別の適切な配慮が必要です。キャンパス LAN で見られるように、 ブランチオフィスのユーザーにはすべてのユーザータイプ、つまり、従業員、請負 業者、ゲストが含まれます。これらのユーザーは多くの同じ主要リソースへのアク セスを必要としますが、同じセキュリティ制限であることはほとんどありません。 包括的なアクセス・コントロール・ソリューションは、エンドポイントのセキュリ ティ状態、ネットワーク情報、またはユーザー情報が変わった場合、さらにこのよ うな変更がセッション中に行われた場合にも、動的にこの変化に対応できなければ なりません。また、この動的なポリシーは、エンフォースメント・ポイント上のネ ットワーク全体に対して、リアルタイムで実施されなければなりません。キャンパ スやブランチオフィスの企業 LAN インフラに大規模な投資をしている場合は、ポリ シーのエンフォースメントに投資済みの既存のネットワークインフラをそのまま活 用できることが理想です。 堅牢なセキュリティ アクセス・コントロールは、最終的に、セキュリティの問題に収束します。つまり、 ネットワークにおけるセキュリティに関する決定が、セキュリティを実現するとい う目的に特化したデバイスによって行われているかどうか、検討しなければなりま せん。この時点での検討事項は、企業インフラのある特定の機器類を購入した(また はこれから購入する)目的です。数多くの、さまざまな種類の装置の目的が、アクセ ス・コントロールのシナリオの中で変化しています。このような装置は、ネットワ ーク図の上でアクセス・コントロールのポジションをただ埋めているだけであり、 アクセス・コントロールの装置として十分機能しているということではありません。 このようなケースは、標準的なアクセス・コントロール・ソリューション全体のど こかというよりも、エンフォースメント・デバイス、特に、インラインに設置され ているデバイスについて多く見られます。このように導入されている装置のスルー プット、可用性、そしてフォールトトレランスについては、慎重に検討する必要が あります。 4 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 もう 1 つの検討事項は、アクセス・コントロール・ソリューションが、既に投資し ているセキュリティデバイスを活用できるかどうかです。この点は、既存のファイ アウォールへの投資を考えたときに重要になりますが、既存の AAA インフラへの 投資を考えた場合も含めると、極めて重大な問題です。アクセス・コントロールは、 既存の AAA スキームをシームレスに統合でき、既存の認証インフラを利用してユ ーザー確認を実行できるものでなければなりません。同じように、ユーザーおよび グループのメンバーシップ情報についてディレクトリサーバーも使用できれば、よ り高いコスト効率で、より安全な導入を実現できます。 柔軟性と使いやすさ アクセス・コントロール・ソリューションを考えるときの重要な検討事項の 1 つは、 ネットワークにそのソリューションを導入する場合に何が必要になるのか、という ことです。(アクセス?)コントロール(ソリューション?)を少しずつ適用できる 場合には、多くの企業では、最適な段階的アプローチを取ります。事実、すべての ネットワーク・セグメントは同じというわけではありません。たとえば、ネットワ ークの一部では、アクセス・コントロールのレベルのメリットを享受できるが、他 の部分では、同じレベルのアクセス・コントロールに対し、規制へのコンプライア ンスを示すためのビジネスニーズを満たすことが求められることもあります。さら に、トップアナリストによれば、多くの企業では、全社レベルで一度にアクセス・ コントロールを導入することは、考えたことがないのだそうです。最善のソリュー ションとは、複数の導入方法を備え、また、理想的には、既存のインフラを基本要 素のコンポーネントとして活用できるソリューションです。 もう 1 つの重要な点は、アクセス・コントロール・ソリューションの柔軟性です。 ネットワークは流れており、静止していません。包括的なアクセス・コントロー ル・ソリューションは、ネットワークの流れに伴って変化できるものでなければな りません。これは、多種多様な導入方法を備えたソリューションが必要となる、も う 1 つの理由です。ソリューションが柔軟性に富んでいれば、必要に応じて高額な 特殊技術を備えた装置を利用することも可能であり、また、適切な選択であれば、 より一般的な装置を使用することも可能です。どの導入方法を選択するかという問 題には関係なく、導入済みのものを無駄にすることなく、別のエンフォースメント 方法を追加できる必要があります。 このレベルの相互運用性を約束する最善策の 1 つは、オープンな仕様と標準規格を ベースとしたソリューションを探すことです。中には、「連携が可能」とか「業界 全体」の標準規格への対応を謳うソリューションがありますが、このようなソリュ ーションは、実際には単一のベンダーの独自アプライアンスまたはプロトコルに依 存しています。今あるもの、たとえば、さまざまなエンドポイント・ベンダーのセ キュリティ・ソリューション、さまざまな監査/ロギング用のソリューション、さ まざまなネットワークインフラ(スイッチやルーターなど)、さまざまな認証プロト コルなど、既存のデバイスやサービスの安全を確保しながら新しく追加されたアク セス・コントロール・ソリューションを使用できるかどうか、または、1 つのベン ダーのソリューションに自社のネットワークを束縛されてしまわないか、というこ とをよく考えなければなりません。さらに、気を付けなければならないのは、シン プルという理由から単一ベンダー路線を採用した場合は、装置の製品寿命を考慮し てネットワークインフラを詳細に調べることが必要となってしまいうということで す。 運用と管理 新しいアクセス・コントロール・ソリューションを評価するときに、導入しやすさ が主な検討事項である場合、その次に重要になるのが、毎日の運用と管理です。結 局、管理できなければ、堅牢なアクセス・コントロールは無意味です。管理要因を 探るための大きな指標の 1 つは、ソリューションまたはコンポーネントは導入現場 でのテストが完了しているかどうかを見ることです。アクセス・コントロールの分 野はまだ新しいという単純な理由から、 このアクセス・コントロール・ソリューシ ョンは 完全に入念な検証が行われていると公言するベンダーこそいませんが、ソリ Copyright © 2006, Juniper Networks, Inc. 5 アクセス・コントロール購入ガイド - UAC2.0 ューションを構成するそれぞれの要素を検討することは可能です。ソリューション が動的に引き渡されるエージェントに依存している場合、たとえば、そのベンダー にこの技術を使っている製品の実績があるかどうか調べます。 アクセス・コントロール・ソリューションの管理しやすさを判断するためのもう 1 つの方法は、そのアクセス・コントロール・ソリューションを管理するために、既 存のインフラを使用できるかどうか、ということです。監査ツールやロギングツー ルは独自仕様であるか? または日常的に使い慣れているものを使用できるか? 必要なデータをインポートまたはエクスポートし、そのデータを処理してレポート を作成する簡単な方法があるか? また、ポリシーの作成または編集や、エンドポ イントのセキュリティ基準の導入に必要な手順を、そのソリューションによってど の程度単純化できるのか? ということも検討するといいでしょう。 コスト 最後の検討事項はコストです。コストを検討する場合、柔軟性、使いやすさ、アク セス・コントロール・ソリューションを運用および管理するために費やされる日常 の時間を、実際の取得コストとネットワークを再設計するための時間(必要に応じ て)と合わせて考慮します。 コストを検討する場合、柔軟性の問題、つまり、ソリューションが標準対応かどう かという点も浮上します。独自仕様のソリューションを導入すると、ベンダーのソ リューションに事実上束縛された状況で、コスト、つまり価格を検討するというこ とになります。標準規格対応のソリューション、またはオープンな仕様に対応して いるソリューションであれば、必然的に投資収益率(ROI)は上がり、総所有コスト (TCO)は削減されます。これは市場圧力の単純な作用によるものです。顧客がもの を選ぶときには、より良い製品をより安く求めようとするからです。 たとえば、あるソリューションの導入に既存のスイッチインフラをアップグレード する必要がある場合、ネットワーク上のデバイス一覧を作成する時間を計算に入れ、 ネットワークに導入するスイッチのタイプとスイッチを稼働させるプログラムのバ ージョンを決定し、また必要に応じてハードウェア/ソフトウェアをアップグレー ドし、ネットワークをテストすることも計算に入れなければなりません。ここでも う 1 つの考えなければならないことは、クライアント・ソフトウェアのインストー ルです。場合によっては、このプロセスが非常に煩わしく思われることもあります。 コストの検討は、アクセス・コントロールの導入を段階的な導入に向かわせる可能 性のある別の条件です。場合によっては、段階的な導入が好まれ、正当化がより簡 単なこともあります。これは、段階的な導入によって、貴重な時間と経費が節約で きるからです。一部のアクセス・コントロール・ソリューションは、段階的な方法 で簡単に導入できるものもありますが、そうでないものもあります。 6 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 ジュニパーの統合型アクセス・コントロール(UAC)2.0 制約のないアクセス・コントロール アクセス・コントロールのカテゴリは、今や、テクノロジーの中で最も関心の高い 話題の 1 つです。アクセス・コントロールによって、知的財産の保護と規制コンプ ライアンスの実現から、企業の生産性の確保に至るまで、さまざまなメリットがあ るからです。しかし、このカテゴリはまだ新しいので、アクセス・コントロールが 非常に必要とされていることとは無関係に、多くの企業はソリューションの検討に は注意深くなっています。一部のベンダーが提供するソリューションは、限定され たシングルベンダータイプのインフラに企業を束縛します。一方、新興ベンダーの ソリューションには実績がありません。多くのベンダーがアクセス・コントロー ル・ソリューションを提供していますが、これらのソリューションは、スイッチイ ンフラ、相互運用性の問題、ユーザータイプ、デバイスタイプ、導入に関する問題 などの要因による制約があります。 ジュニパーネットワークスの統合型アクセス・コントロール・ソリューション UAC2.0 は、このような制約のないアクセス・コントロールです。ジュニパーの UAC2.0 ソリューションは、エンフォースメント・ポイントにジュニパーのベスト セラーのファイアウォールを採用している UAC v1.X に、さらに Funk Software 社 製の市場トップの 802.1x コンポーネントを組み合わせたソリューションで、 Odyssey アクセス・クライアント(OAC)のクライアント側のサプリカントと SteelBelted Radius が含まれます。この結果が、多種多様な導入シナリオに対応可能な アクセス・コントロール・ソリューションであり、これに、802.1x の有線/無線イ ンフラ、ジュニパー製のファイアウォール、またはこの両方を組み込むことも可能 です。ソリューションの要素はどれも、文字どおり世界中の何千という企業への導 入実績があるものばかりです。 UAC2.0 はまた、オープンな標準規格に対応するというジュニパーの公約を具体化 したものです。UAC2.0 は、無線/有線に関わらず、あらゆる 802.1x インフラに対 応します。また、UAC2.0 は、Trusted Computing Group(TCG)の Trusted Network Connect(TNC)に準拠しています。TNC ソリューションは、異なるベンダーのコン ポーネントを安全に連携させるための標準インタフェースを規定したオープンなア ーキテクチャで、既に設置されている装置と異機種ネットワークから、エンドポイ ント整合性とネットワーク・アクセス・コントロール(NAC)ソリューションを作り 出します。TNC のアーキテクチャは、802.1x、RADIUS、IPsec、EAP、TLS/SSL など既に確立されている標準規格と技術の上に構築されるように設計されています。 これにより、企業は選択の幅が広がり、柔軟性も確保できます。 企業は UAC2.0 を使用して、現在と将来のアクセス・コントロールを実現すること ができます。スイッチインフラのことを考えなくても、また、ジュニパー製のファ イアウォールの有無に関係なく、企業は自分たちの会社に最善な導入方法を選ぶこ とができます。また企業は、TNC 準拠のソリューションを使用して導入する追加セ キュリティを決定できます。さらに、UAC2.0 はシームレスに相互運用されるので、 企業にとっては安心です。たとえば、多くの企業では 802.1x 対応のスイッチをま だ完全に稼働させていません。したがって、ジュニパーのファイアウォールを採用 して段階的な導入を可能にすることが考えられます。ジュニパーのファイアウォー ルをエンフォースメント・ポイントとして使用する場合は、既存のファイアウォー ルの後ろに透過モードで導入することも可能です。802.1x が導入されている場合は、 同じコントローラと同じエージェントを使用して、新しいポリシーを簡単に設定す ることができます。同様に、多くの企業は無線ネットワークの安全にも関心を持っ ています。この場合は、UAC を使用して 802.1x ベースのアクセス・コントロール を実行できます。さらにきめ細かいアクセス・コントロールが必要な場合は、ジュ ニパーのファイアウォールをいつでも追加することができます。 ジュニパーの統合型アクセス・コントロール(UAC)2.0 ジュニパーの統合型アクセス・コントロール(UAC)2.0 は、複数のコンポーネントか ら構成されています。この構成には、中央でポリシー管理を行うインフラネット・ コントローラ、動的にダウンロードされるエンドポイント・ソフトウェアの UAC Copyright © 2006, Juniper Networks, Inc. 7 アクセス・コントロール購入ガイド - UAC2.0 Agent(ゲストデバイスなど、ダウンロードができない場合には、エージェントレ ス・モードも可能)、および、ジュニパー製のファイアウォールとベンダーを問わな い 802.1x 準拠のスイッチの両方を含む複数のさまざまな形式のエンフォースメン ト・ポイントと無線アクセスポイントが含まれます。コントローラとエージェント の両方には、2005 年にジュニパーが買収した Funk Software の Odyssey アクセ ス・クライアント(OAC)の 802.1x サプリカントと Steel-Belted Radius を含む機能 が統合されています。 インフラネット・コントローラは、堅牢なポリシー管理サーバーで、ユーザー認証、 エンドポイント整合性の検証、デバイスの位置情報を収集し、この情報をネットワ ーク、リソース、そしてアプリケーション・アクセスを制限するためのポリシーと 組み合わせます。次に、802.1x 経由で IP アドレスを付与する前に、ネットワーク の境界またはファイアウォール上のネットワーク内、あるいはその両方で、ポリシ ーがエンフォーサに渡されます。両方のタイプのエンフォースメント・ポイントを 使用すれば、よりきめ細かいアクセス・コントロールを実行できます。 UAC Agent は、コントローラによってリアルタイムに供給され動的にダウンロー ドされるエージェントで、ジュニパーのインストーラサービスでインストールする か、または、別の方法で導入します。このエージェントでは、Odyssey アクセス・ クライアント(OAC)の 802.1x 機能やレイヤ 3~7 のオーバーレイ機能を備えていま す。これらの機能には、動的なクライアント側のポリシー・エンフォースメントの ための統合パーソナル・ファイアウォール、IPSec VPN(エンドポイントからファイ アウォールまでの暗号化を実現)、アクティブ・ディレクトリへのシングルサインオ ンを含む、Windows デバイス用の機能も含まれます。さらに、このエージェントに は、既に何千という導入実績を誇るジュニパーの Secure Access SSL VPN で洗練 されたホストチェッカー機能も含まれます。管理者は、このホストチェッカー機能 を使用して、たとえば、アンチウィルス、マルウェア、パーソナル・ファイアウォ ールなど(これらを含むが、これに限定されない)、多種多様なセキュリティ・アプ リケーションとセキュリティ状態をチェックするために、エンドポイントをスキャ ンします。既に定義されているホストチェッカーのポリシーと、セキュリティステ ータスを評価する AV シグネチャファイルが最新の定義ファイルかどうかを自動的 に監視する機能を使えば、導入が簡単になります。UAC では、レジストリやポート 状態などの要素をチェックするカスタムチェックも可能で、MD5 のチェックサムを 行って、アプリケーションの妥当性を検証することもできます。 UAC エンフォースメント・ポイントには、ベンダーを問わない 802.1x スイッチ/ 無線アクセスポイントのインフラ、およびオーバーレイ・エンフォースメント・ポ イントが含まれます。これには、ジュニパーのセキュアルーターFW/VPN アプライ アンスとジュニパーの IDP モジュール搭載の統合型セキュリティ・ゲートウェイな ど、実質的にすべてのジュニパーの FW/VPN プラットフォームが含まれます。多彩 なエンフォーサのプラットフォームによって、プリンターファームを保護する程度 の小規模なファイアウォールから、多くのトラフィックが集中する場所でポリシー を実施する 30Gbps モデルに至るまで、柔軟な導入が可能です。ベンダーを選ばず 規格として 802.1x スイッチや無線アクセス・ポイントに対応しているので、ハー ドウェアを再構成しなくても、企業はアクセス・コントロールのメリットをネット ワーク接続の非常に早い段階で実現できます。UAC は、802.1x ベースの、または レイヤ 3~7 のオーバーレイ・エンフォースメント・スキームに適合しています。 この両方の技術を同時に使用すれば、よりきめの細かいアクセス・コントロールも 可能です。 UAC の機能 ユーザーが認証情報をコントローラに送信する前でも、(802.1x モードまたは非 802.1x モードで、エンドポイントに供給されたブラウザ対応のエージェントを経由 して)ユーザーの要求から、数多くのさまざまなエンドユーザー属性が明らかになり ます。これらのユーザー属性には、ソース IP、MAC アドレス、ネットワーク・イ ンタフェース(内部と外部)、デジタル証明書(存在する場合)、ブラウザの種類、SSL バージョン、エンドポイントのセキュリティチェックの結果などが含まれます。認 証情報が送信されると、コントローラは包括的な AAA(認証、許可、アカウンティ ング)エンジンを、既存の RADIUS、LDAP、AD、Netegrity SiteMinder、 8 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 Certificate/PKI サーバー、匿名認証サーバーなどほとんどすべての一般的な AAA イ ンフラに、シームレスに導入します。コントローラは、ユーザーの認証情報とグル ープ/属性情報(たとえば、グループのメンバーシップなど)を、ホストチェッカー が収集した情報など、認証情報の入力前に集められた情報と結合します。この結合 によって、コントローラはユーザーをアクセス・コントロールの第 2 ステップ、つ まり、セッション用のロールに動的にマッピングします。ロールの属性には、セッ ション属性/パラメータが含まれ、ロールがマッピングされる前にユーザーが遵守 しなければならない制限の指定も可能です。この機能は、セキュリティが変化し、 コンプライアンスを確実に行わなければいけない場合に、特に有用です。アクセ ス・コントロールの第 3 および第 4 ステップは、リソースポリシーです。リソース ポリシーは、ネットワークとリソースのアクセスを規定します。いくつか例を挙げ ると、VLAN 割り当てやベンダー固有の属性(VSA)などのポリシーに基づくレイヤ 2 の RADIUS 属性、IP アドレス/ネットマスク、ポート、または上述の範囲へのアク セスを規定するレイヤ 3 のポリシーなどです。IDP ポリシーや URL フィルタリング などのレイヤ 7 のポリシーによって、動的な脅威管理のレベルを上げることができ ます。 これまで説明したように、一連のレイヤのポリシーによって、アクセス・コントロ ール全体をさらにきめ細かく行うことができます。これに対し、ソリューションの 中には、アクセス・コントロールのプロセスに、1 つまたは 2 つのステップしか含 まないものがあります。また、顧客がこのレベルのきめ細かいコントロールを必要 としない場合、あるいは、顧客が必要とする保護レベルでこのレベルのメリットが 得られない場合、レベルを下げることも可能です。 Copyright © 2006, Juniper Networks, Inc. 9 アクセス・コントロール購入ガイド - UAC2.0 ジュニパーネットワークス統合型アクセス・コントロール(UAC)2.0 購入のための詳 細チェックリスト 検討事項 ジュニパーネットワークス統合型アクセス・コントロー ル(UAC)2.0 包括的なアクセス・コントロール - 統合型アクセス・コントロール2.0 検討中のソリューションは、数多くのさまざまなユーザーケースを扱うことができますか? たとえば、管理 10 デバイスと非管理デバイスは? UAC2.0 は、エージェント・モードまたはエージェントレス・モー ドの両方が可能なので、管理されているエンドポイントと管理され ていないエンドポイントのエンドポイント整合性を要求に応じて検 証することができます。 企業が所有/管理していないビジ ネスパートナーや請負業者のデバ イスはどうなりますか? このケースでは、いくつかの矛盾する問題が見られます。請負業者 にはきめ細かいアクセス・コントロールが必要ですが、請負業者が 所有しているデバイスは本来管理対象外のデバイスです。エージェ ントをエンドポイントにダウンロードできない場合、UAC エージ ェントレス・モードで、ユーザー証明書をブラウザで検証し、ユー ザー認証前とユーザーセッションの間ずっと、エンドポイントをス キャンしセキュリティ評価を行います。 ポートベースのネットワーク・アドミッション・コントロールだけ でなく、特定のネットワークリソースとアプリケーションへのきめ 細かいアクセス・コントロールを提供する方法を含むアクセス・コ ントロール・ソリューションが、このケースを最適に処理します。 この問題を解決する方法はいくつかあります。たとえば、VLAN ネ ットワークのセグメント化、エンフォースメント・ポイントにジュ ニパー製のファイアウォールを採用したポリシーベースのネットワ ーク・アクセス・コントロール、または両方を組み合わせた方法な どです。 非管理デバイスのユーザーのゲス トアクセスは? UAC エージェントレス・モードは、このケースのために特に開発 されました。UAC エージェントレス・モードは、ユーザー証明書 をブラウザで検証し、ユーザー認証前とユーザーセッションの間ず っと、エンドポイントをスキャンしセキュリティ評価を行います。 Windows プラットフォームの場合、エージェントレス・モードは サードパーティのアプリケーション、ファイル、プロセス、ポー ト、レジストリキー、MAC アドレス、IP アドレス、NETBIOS、カ スタム DLL をチェックします。UAC エージェントレス・モード は、このチェックの結果を基に、アクセスを許可/拒否します。 管理者権限や限定的な権限など、 権限レベルの異なる従業員に対し ては? 通常、従業員には非常にきめ細かいアクセス・コントロールが必要 ですが、一般的に従業員には、企業が所有・管理するデバイスから 企業のリソースにアクセスするというメリットがあります。ネット ワーク・アドミッション・コントロールだけでなく、特定のネット ワークリソースとアプリケーションへのきめ細かいアクセス・コン トロールを提供する方法を含むアクセス・コントロール・ソリュー ションが、このケースを最適に処理します。 この問題を UAC2.0 で解決する方法はいくつかあります。たとえ ば、VLAN ネットワークのセグメント化、ジュニパー製のファイア ウォールを採用したポリシーベースのネットワーク・アクセス・コ ントロール、または両方を組み合わせた方法などです。 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 組織内でロールの異なる従業員 は? UAC 2.0 を使用して、組織内の異なるロールを持つ従業員に、異な るエンドポイント評価モードを割り当て、さまざまなユーザー権限 を持つユーザー/エンドポイントを検証することができます。ま た、UAC 2.0 ではディレクトリストアからユーザー情報とグループ のメンバーシップ情報を集め、適切なアクセス権限を動的に容易に 割り当てることができます。 エージェントがない場合、エージ ェントをプレインストールできな いユーザーは? UAC エージェントレス・モードは、このケースのために特に開発 されました。UAC エージェントレス・モードは、ユーザー証明書 をブラウザで検証し、ユーザー認証前とユーザーセッションの間ず っと、エンドポイントをスキャンしポスチャ評価を行います。 エージェントを動的にダウンロー ドできますか? はい、UAC2.0 には、動的にインストールされるエージェントが用 意されています。さらに、自動バージョン管理機能によって、エー ジェントは常に最新バージョンにアップデートされ、トラブルシュ ーティングや保守の運用コストをできるだけ低く抑えることができ ます。UAC は、Active X または Java を使用しているため、あらゆ る接続環境において、エンドポイントを評価するエージェントを柔 軟に提供します。 クロス・プラットフォームのエン ドポイントの場合は? Mac Linux Solaris UAC エージェントレス・モードはクロス・プラットフォームにも 対応しているので、Windows 以外のデバイスの状態もチェックす ることが可能です。プラットフォームが Mac、Linux(SuSE、 Fedora、RedHat)、Solaris の場合、UAC はファイル、ポート、プ ロセスをチェックし、ネットワークアクセスを付与する前に、エン ドポイント整合性を検証します。UAC には、対応ブラウザを使用 するエンドポイントのポスチャ評価を行わずに、ユーザー認証だけ を行うオプションも用意されているので、PDA も使用できます。 出張や異動でセキュリティが変わ ったユーザーは? UAC を使用して、グループだけでなく拠点ごとにポリシーを設定 することも可能です。 オフサイトの非管理デバイス(イン ターネット・キオスクなど)からア クセスしようするユーザーは? オフサイトの非管理デバイスからアクセスを試みるユーザーは、ジ ュニパーネットワークスの Secure Access アプライアンスなど、 SSL VPN ゲートウェイ経由のアクセスを強制されます。この場 合、アクセス・コントロールは、アクセス方法に従って、非常にき め細かいレベルで、割り当てられます。SSL VPN の安全性が十分 でない場合、または、導入環境でその SSL VPN が必要な場合で も、UAC を同じように使用することができます。ユーザーがオフ サイトの場合、エージェントまたはエージェントレスの機能を利用 できない場合等は、ユーザーのアクセスをネットワークの特定領域 または特定の VLAN のみに限定することができます。 802.1x を使用する環境への対応 は? UAC2.0 は、ベンダーを問わず 802.1x 対応デバイスとの相互運用 が可能です。 さまざまなセキュリティ・ソフト ウェアを実行しているデバイスの 場合は? UAC2.0 は、Trusted Computing Group(TCG)グループの Trusted Network Connect(TNC)仕様に準拠しています。 そのソリューションは、アクセス・コントロールの一環としてネットワーク資産を保護しますか?具体的な 質問事項は次の通りです。 そのソリューションではネットワ ーク・アドミッション・コントロ ールを備えていますか? Copyright © 2006, Juniper Networks, Inc. UAC2.0 は、802.1x を使用して、ネットワーク接続の非常に早い段 階でネットワーク・アドミッション・コントロールを実行します。 11 アクセス・コントロール購入ガイド - UAC2.0 そのソリューションではリソース /アプリケーション・アクセス・ コントロールを備えていますか? UAC2.0 は多彩な導入方法に対応しているので、よりきめ細かいリ ソース/アプリケーション・レベルのアクセス・コントロールが可 能です。リソース/アプリケーション・レベルのアクセス・コント ロールを、ジュニパーのファイアウォールを使用して 802.1x のア ドミッション・コントロール展開に追加することができます。また は、オーバーレイ環境に導入することも可能です。 エンドポイントのネットワーク・ アクセスが許可された後、このソ リューションはこの保証されたエ ンドポイントを悪意あるユーザー /デバイスから保護しますか? UAC2.0 は、さまざまな方法でこれに対処することができます。1 番目は、802.1x を導入する方法です。これで、ユーザーがネット ワーク上の IP アドレスを取得する前であっても、ユーザーを認証 し、ユーザーのエンドポイント・セキュリティ状態を検証すること ができます。この方法によって、悪意あるユーザーや、知らないう ちに自分の端末を感染させてしまったユーザーから、効率的に保護 することができます。2 番目は、UAC Agent を使用する方法です。 UAC Agent にはステートフルなパーソナルファイアウォールも含 まれているので、より高度な保護を行うことが可能です。 そのソリューションはホストのセキュリティとネットワークのセキュリティを統合し、意味のあるセキュリ ティを実行できますか? 具体的な質問事項は次の通りです。 12 そのソリューションはアクセス・ コントロールの決定をエンドポイ ントのソフトウェアだけに頼って いるのですか? UAC2.0 は、UAC Agent を使用してホスト上のアクセス・コントロ ールを決定し、802.1x またはエンフォーサとしてジュニパーのフ ァイアウォールを使用、あるいは両方を使用して、ネットワーク上 のアクセス・コントロールを決定します。これで、意味のあるポリ シー管理を実現できます。 そのソリューションはネットワー ク全体に対してもセキュリティポ リシーを実行しますか? UAC2.0 は、アクセスレイヤとデータセンターのリソースの前で、 柔軟にポリシーを実施できるので、キャンパスの有線/無線ネット ワークの安全を確保したり、ブランチオフィスでポリシーを動的に 実施することが可能です。 そのソリューションはユーザーの ログイン前にのみエンドポイント の整合性を評価するのですか?そ れとも、動的なセッション中のコ ンプライアンスをチェックするた めに、セッションの間はずっとユ ーザー/エンドポイントの監視を 続けますか? UAC2.0 は、ログイン前にエンドポイントを評価し、ログイン後の ユーザーセッション継続中には、管理者が指定した間隔で定期的に エンドポイントの評価を行い続けます。これは、完全かつ動的な保 護を行うために欠くことのできない機能です。 そのソリューションは、最初は認 証されたものの、同じセッション 中にコンプライアントでないと見 なされたエンドポイント・デバイ スを、直ちに検疫場所に隔離でき ますか? UAC2.0 は、セッション中にコンプライアントでないことが判明し たエンドポイントに対し、複数の処理方法を用意しています。それ ぞれの処理は直ちに行われるようになっています。処理が実行され る場合、ユーザーはコンプライアントでないことについて説明 (TNC の Reason String を使ったもの)されて状況を知らされるか、 または修復用の VLAN に回され、修復のために何が行われるかを伝 えられます。あるいは、単にアクセスを拒否することも可能です。 サーバー上のポリシーが変更され た場合、ネットワーク全体を動的 に再評価し、リアルタイムでアク セス・ポリシーを実施することが 可能ですか? UAC2.0 では、アクセス・コントロール・ポリシーをリアルタイム に伝達し、実施する機能を備えています。新しいポリシーは、任意 のベンダーの 802.1x 対応デバイスまたはジュニパーのファイアウ ォール、あるいは両方を備えたエンフォースメント・ポイントに送 られます。UAC Agent が導入されていれば、エンドポイントの UAC Agent にも新しいポリシーが送られます。 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 そのソリューションは、ネットワ ークのパフォーマンスを落とさず に、セキュリティとアクセス・コ ントロールを実施しますか? UAC2.0 の唯一の要素は、インフラネット・コントローラで、これ はネットワーク上の通常のトラフィックフローにはありません。ポ リシーが設定されている場合、インフラネット・コントローラはセ ッションの非常に早い段階にのみ、アクセス・コントロールに関与 します。その後、トラフィックは通常通りに、スイッチインフラま たは無線インフラ、ファイアウォールを経由して流れます。 そのソリューションはコンプライアントではないエンドポイント・デバイスを修復することができますか? そのソリューションは修復を支援 してくれますか? UAC2.0 には、ユーザーがマシンを簡単に修復できるように、修復 機能が備えられています。ソリューションが TNC 準拠のセキュリ ティ・アプリケーションであれば、特に簡単です。なぜならば、 TNC にはユーザーに問題を伝える Reason String があるので、管理 者はわざわざ説明文を入力する必要はありません。UAC2.0 には、 自動修復機能も用意されています。修復を行う場合、UAC2.0 ソリ ューションはエンドポイントを動的に再評価してから、改めてエン ドポイントにネットワークアクセスを付与します。 堅牢なセキュリティ ― 統合型アクセス・コントロール2.0 検討中のソリューションは本当に安全ですか?具体的な質問事項は次の通りです。 そのソリューションは悪意のある ユーザーに攻撃されることがあり ますか? UAC2.0 のネットワーク内のポリシー・エンフォースメントは、悪 意あるユーザーによって簡単にすり抜けられるセキュリティ・エン フォースメントではなく、ポリシーの評価/エンフォースメントは 暗号化されたチャンネルを通して行われます。 ユーザーがそのソリューションを 簡単にスプーフィングする(偽る) ことは可能ですか? UAC2.0 は、UAC Agent に付属し、他の IPSec クライアントと互換 性のあるネイティブの IPSec クライアントを使用しているため、ネ ットワークリソースへのアクセス権とユーザートラフィックの認証 性が与えられる前に、エンドポイント/ユーザーを確実に検証する ことができます。IPSec セッションは、3DES、DES、または Null 暗号化での設定が可能です。状況によってはこの方法は過剰である とも思われますが、スプーフィングに対して非常に有用です。 ポリシーサーバーは安全ですか? UAC のポリシーサーバーは、既知の脆弱性と攻撃ベクトルから保 護するためのサービスが強化された、目的特化型のアプライアンス です。さらに、コントローラは、機密データの保護に AES による ディスク暗号化を採用しています。 クライアントは、ユーザーによる 設定の変更または追加を防止でき ますか? UAC2.0 のネットワークベースのセキュリティは、エンドポイント の悪意ある振る舞いを検知し、それに対し適切なアクションを取る ソリューションです。 このソリューションには、ミッシ ョン・クリティカルな LAN 資産を 保護するために、既存のセキュリ ティ規格や既存のセキュリティサ ービス(アンチウィルス、ディー プ・パケット・インスペクショ ン、侵入検知防御、URL フィルタ リングなど)が内蔵されています か? UAC2.0 ソリューションそのもののセキュリティ機能に加え、導入 オプションとして、さまざまなセキュリティ機能を追加することが 可能です。ジュニパーのファイアウォールが導入されていれば、ジ ュニパーの侵入検知防御の機能、ネットワークベースのアンチウィ ルス、URL フィルタリングなど、業界トップのセキュリティデバ イスの堅牢な機能をすべて利用することができます。これらの機能 はどれも、UAC2.0 ソリューションの一部として動的に利用される ので、企業はアクセス・コントロールを実施するだけでなく、ディ ープ・パケット・インスペクション、アンチウィルス、URL フィ ルタリングなどのセキュリティポリシーをユーザー/セッションご とに適用することが可能です。 柔軟性と使いやすさ ― 統合型アクセス・コントロール2.0 そのソリューションは導入と操作が柔軟で簡単ですか? Copyright © 2006, Juniper Networks, Inc. 13 アクセス・コントロール購入ガイド - UAC2.0 ネットワークアクセスを動的に管 理するロールをユーザーにマップ する中央のポリシーストア インフラネット・コントローラは、統合型アクセス・コントロール 2.0 ソリューション内で、ポリシー管理サーバーとして機能しま す。UAC ソリューションは全体的に、実運用での経験の積み重ね であるポリシー要素を、(SSL VPN の)アクセス・コントロール領域 と AAA の世界(OAC および SBR)に組み込んでいます。ユーザーを 簡単に 1 度だけ認証し、ネットワーク・セグメントだけを頼りに比 較的雑なアクセス・コントロールを決定する方法とは異なり、UAC ソリューションには、認証/許可、ロール、およびリソースの 3 種 類のポリシーが組み込まれます。 1. そのソリューションは、次のよ うな情報を収集して、アクセスポ リシーを動的に設定しますか? 14 A. エンドポイントの継続的な評価 UAC2.0 では、エンドポイントのセキュリティ整合性は、ログイン 前だけでなく、セッション中ずっと評価を継続することができま す。UAC2.0 は、TNC のオープンな仕様に準拠しているので、ソリ ューションをシームレスに導入することが可能です。必要に応じ簡 単にユーザーの修復を行うこともできます。 B. ユーザープロファイル コントローラには、さまざまな認証方式と認証スキーム、およびデ ィレクトリストアが組み込まれています。コントローラは、ユーザ ー属性、認証属性、グループのメンバーシップなどの詳細な属性を 評価し、これを使用してネットワークアクセスをコントロールする ロールにユーザーをマップします。 C. ネットワーク情報 ジュニパーの SSL VPN と同様、ネットワーク固有のチェックを実 行するように UAC2.0 を設定できます。 D. ポートとアプリケーション ジュニパーの SSL VPN と同様、ポート上の動きと特定のアプリケ ーションの有無をチェックするように UAC を設定できます。 E. オペレーティング・システム UAC 2.0 にはさまざまな OS バージョン向けの定義済みのチェック 機能があらかじめ組み込まれているので、チェックの設定を簡単に できます。 F. パッチ・コンプライアンス UAC2.0 はパッチの有無をチェックし、この結果を使用して動的な アクセス・コントロールを実行します。 そのソリューションは既存のポリ シーストアを活用し、このプロフ ァイル/属性を使ってネットワー クアクセスをコントロールします か? UAC2.0 は、デュアルファクタ認証、Active Directory、デジタル認 証/PKI ソリューション、LDAP、Netegrity Siteminder、NTLM、 Radius、RSA ACE、UNIX NIS、アノニマス認証など、多種多様な IAM ソリューション、認証方式、ディレクトリストアに対応してい ます。 そのソリューションは規制コンプ ライアンスの準拠にどのように役 立ちますか? UAC2.0 は、コンプライアンスに向けての優れた第一歩です。なぜ ならば、UAC2.0 では、さまざまなユーザーアクセスに対応できる 強力な認証機能と、ログイン時とセッション中にエンドポイントの セキュリティ状態をチェックする機能が組み合わされているからで す。UAC2.0 には多彩な監査機能とログ機能も搭載されているの で、コンプライアンスをより簡単に実現できます。 そのソリューションでは、監査モ ードとエンフォースモードを組み 合わせて、柔軟に実行する機能に 対応していますか? UAC2.0 ではこれらのモードを組み合わせて柔軟に実行することが できます。また、評価目的での導入も可能で、これにより、データ のログと監査を行いながら、規制基準に沿って LAN ユーザーのネ ットワーク・コンプライアンスとトラフィックパターンを確認する ことができます。 単一障害点の発生を減らす高可用 性 UAC2.0 ソリューションでは、高可用性が極めて重要なキャンパ ス、ブランチオフィス、またはデータセンターにおいて、アクセ ス・コントロール・ポリシーを柔軟に実施します。UAC2.0 ソリュ ーションのインフラネット・コントローラは、クラスタペア構成ま たはマルチクラスタ構成での導入も可能です。ステートフルなクラ スタリングによって、WAN および LAN 上でのアクティブ-アクテ ィブ構成またはアクティブ-パッシブ構成をサポートします。 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 このソリューションでは、周辺の ネットワークを再構築しなくて も、エンフォースメント・ポイン トを導入することができますか? UAC2.0 では、オーバーレイ・ファイアウォールの導入法を使用し て、このような導入を簡単に行うことができます。エンフォースメ ント・ポイントはトランスペアレント(レイヤー2)モードで導入 可能です。つまり、必要に応じて既存のファイアウォールの後ろに 導入することができます。これによって、構成を追加しなくても簡 単な導入が可能になります。この機能を監査モードでソリューショ ンを導入する機能に組み合わせると、ミッション・クリティカルな トラフィックを危険に晒すことなく、快適にソリューションを使用 することができます。 そのソリューションの導入は容易ですか?具体的な質問事項は次の通りです。 そのソリューションで、既存のネ ットワーク/セキュリティインフ ラ、セキュリティデバイス、およ びセキュリティ・ソフトウェア、 またはそのいずれかを活用できま すか? UAC2.0 は、ベンダーを問わない 802.1x 対応のスイッチまたは無 線インフラ、既存のジュニパー製のファイアウォール、あるいはそ の両方に対応します。UAC2.0 は、実質的に、すべての AAA ソリ ューションおよび IAM ソリューションとシームレスに相互運用が できます。さらに、UAC2.0 は TNC 準拠であるので、多種多様な セキュリティ・アプリケーション/ソリューションとの相互運用性 が保証されています。 アンチウィルス、ファイアウォー ル、アンチスパイウェア、OS バ ージョンのチェックはあらかじめ 定義されていますか? UAC2.0 では、アンチウィルス(AV)ソフトウェア、ウィルス定義フ ァイル、ファイアウォール、アンチスパイウェア、OS バージョン のチェックがあらかじめ定義されているので、管理者は簡単にセキ ュリティポリシーのチェックを設定でき、この設定をアクセス・コ ントロール・ポリシーと結び付けることができます。UAC には、 最新の AV シグネチャファイルの自動監査/エンフォースメント機 能があるので、シグネチャを常に最新状態に保つことも簡単です。 そのソリューションは段階的な導入が可能ですか?具体的な質問事項は次の通りです。 ネットワークの重要な部分を保護 することから、まずソリューショ ンの導入を始めて、徐々にエンフ ォースメント・ポイントを追加し ていくことは可能ですか? UAC2.0 は、実質的に市場にあるどのソリューションよりも、導入 の柔軟性に富んでいます。UAC2.0 は、任意のベンダーの 802.1x 対応スイッチまたは無線アクセスポイントを使用して導入すること も可能です。したがって、企業がこのような要素を既に配置してい る場合は、アクセス・コントロールを簡単に導入できます。シング ルベンダーに束縛される必要はありません。よりきめ細かいアクセ ス・コントロールが必要な場合は、ジュニパーのファイアウォール をいつでも追加で導入することができます。このとき、コントロー ラやエージェントの再導入は不要です。企業がまだ完全に 802.1x 対応のインフラを導入していないような場合は、既存のジュニパー のファイアウォールを使用するだけで、段階的な導入を実現するこ とができます。ジュニパーのファイアウォールをエンフォースメン ト・ポイントとして使用する場合は、既存のファイアウォールの後 ろにトランスペアレント(レイヤー2)モードで導入することも可 能です。802.1x が導入された場合は、コントローラとエージェン トはそのままで新しいポリシーを簡単に設定することができます。 組織はこのソリューションを使用 して、コンプライアンスまたは非 コンプライアンスについてカスタ ムメッセージを作成できますか? UAC2.0 では、修復用インフラへの誘導を含め、カスタムメッセー ジを、ソリューションが実施するセキュリティポリシーに非常にき め細かく結び付けることができます。このため、ユーザーは指示に 従って簡単に修復を行うことできます。TNC 準拠のセキュリテ ィ・アプリケーションの場合は特に簡単で、TNC の Reason String を利用できます。 組織はこのソリューションを使用 して、問題のあるデバイスの検疫 を行わずに、コンプライアントで ないエンドポイントに単に警告メ ッセージを送ることができます か? UAC2.0 は評価モードでの導入が可能なので、セキュリティポリシ ーに沿って LAN ユーザーのネットワーク・コンプライアンスとト ラフィックパターンを確認することができます。この導入方法は、 エンドポイントの実際のセキュリティ状態を調査することで、必要 な保護レベルを確認できるので、パイロットモデルの導入して優れ た手法となります。 Copyright © 2006, Juniper Networks, Inc. 15 アクセス・コントロール購入ガイド - UAC2.0 ソリューションのコンポーネント は業界標準に準拠していますか? ジュニパーネットワークスは、Trusted Network Connect(TNC)イニ シアチブを通じて幅広いアクセス・コントロール標準を規定する Trusted Computing Group(TCG)の取り組みを積極的にサポートし ています。UAC2.0 は 802.1x にも対応しているので、並ぶものの ない柔軟性を提供します。 運用と管理 ― 統合型アクセス・コントロール2.0 このソリューションではどのよう にポリシーを設定するのですか? UAC では、ポリシーを簡単に設定しメンテナンスすることもでき ます。ポリシー定義はコピー、子ポリシーの作成、または編集が可 能で、効率的に運用することができます。使用中のポリシーに基づ いて新しいポリシーを作成する必要があるときは、管理者は既に設 定されているポリシーを再利用することができます。たとえば、動 的な認証ポリシー、ロール定義、ロール設定、および、同じロール に関連付ける複数のリソースグループの設定や既存のリソースグル ープ設定に簡単に追加できるロールなど、リソース認証ポリシーな どのポリシーです。 このソリューションの標準レポー ト機能は? コントローラは、標準でさまざまなレポート機能を備えているの で、ソリューションを適切に提供したり、パフォーマンスを監視し たり、コンプライアンスを確実にするなど多くのことを簡単に行う ことができます。標準レポートには、ユーザーレポートとセッショ ンレポート、コンプライアンス・レポート、リソースアクセス・ト ラッキング、システムレポートなどがあります。 レポートをフィルタリングまたは カスタマイズすることができます か? Syslog、WELF、および W3C などの標準フォーマットやカスタム フォーマットなどさまざまなフォーマットで、ログをフィルタリン グすることができます。これによって、企業は既存のレポートツー ルを利用することができ、使用しているフォーマットで情報をいつ も表示することも可能です。この情報を、セキュリティイベント管 理ソリューションと連携させて、カスタムレポートを生成すること もできます。 役割の異なる複数の管理チーム が、ソリューション内で各チーム の専門部分(セキュリティ、ネット ワークなど)をコントロールするこ とは可能ですか?それぞれのセグ メントを担当する管理者は、自分 のセグメントへのアクセスをコン トロールすることができますか? UAC2.0 には管理者の委任機能があり、さまざまなチーム(セキュリ ティ、ネットワーク、アプリケーション)が、リソースのさまざま なセグメントへの細かい読み取り/書き込み権限を持つことが可能 です。これにより、それぞれのチームは、それぞれの設定内でポリ シーをきめ細かくコントロールすることができます。分散ネットワ ークのセグメントについても同様です。 ジュニパーは、ポリシーサーバー とこれに関連する機能のコア技術 を所有していますか?あるいは、 パートナーからライセンスを供与 されているのですか? インフラネット・コントローラのコア技術は、いくつかの異なる技 術を利用していますが、この技術はすべて、ジュニパーネットワー クスが所有しています。これらの技術には、中核のポリシー管理サ ーバーが含まれます。このポリシー管理サーバーは、ジュニパーの Secure Access SSL VPN 製品ラインの一部として開発され、ジュ ニパーの Steel-Belted Radius サーバーの RADIUS 機能が統合され ました。また UAC Agent では、Odyssey アクセス・クライアント (OAC)の 802.1x 準拠サプリカント機能を備えています。 ポリシー管理サーバー(ジュニパーの Secure Access SSL VPN を利 用) 統合 RADIUS 機能(ジュニパーの Steel-Belted Radius を利用) 統合 802.1x サプリカント機能(ジュニパーの Odyssey アクセス・ク ライアントを利用) 16 Copyright © 2006, Juniper Networks, Inc. アクセス・コントロール購入ガイド - UAC2.0 コスト ― 統合型アクセス・コントロール2.0 検討中のソリューションのコストはすべて明確ですか?「見えないコスト」を見落としていませんか? このソリューションによって会社 はシングルベンダーに制限されま すか? UAC2.0 は、特に、導入に関するこのよくある問題を克服するよう に設計されています。UAC を使用すれば、企業は既に投資してい る任意のベンダーの 802.1x 対応スイッチや無線インフラ、AAA イ ンフラ、およびセキュリティ・アプリケーションをそのまま利用す ることができます。ジュニパーのファイアウォールが配備されてい る企業であれば、このファイアウォールをエンフォースメント・ポ イントとしても利用できます。(これは UAC の導入に必須ではあ りません。) このソリューションを導入するに は、ネットワークインフラのアッ プグレードが必要ですか? いいえ。UAC2.0 は、インフラが 802.1x 対応でも、ジュニパーの ファイアウォールを使用しているとしても、既存のインフラの中に 組み込むことができるように、注意して設計されています。企業が エンフォースメント・ポイントを配備していない場合は、ジュニパ ーのファイアウォールをトラフィックの集中するポイントに導入す れば、コストを最小限に抑えて、スイッチインフラのアップグレー ドをせずに、よりきめ細かいアクセス・コントロールを行うことが できます。既存のファイアウォールを変更しない場合には、ジュニ パーのファイアウォールを既存のファイアウォールの後ろにトラン スペアレント(レイヤー2)モードで導入し、エンフォーサーとし てのみ機能させることも可能です。また、監査モードで、アクセ ス・ポリシーの策定に必要な情報を収集ことが可能です。 このソリューションは、オープン スタンダードを使用しています か? UAC2.0 は 2 種類の重要なオープンスタンダードを採用していま す。1 つは、IEEE 802.1x 標準、もう 1 つは TNC が開発したオープ ンな標準規格です。この標準規格の組み合わせれば、企業は自分た ちのニーズに最適な装置やセキュリティ・アプリケーションを多数 の選択肢から選択することができ、総所有コスト(TCO)を削減し て、投資収益収益率(ROI)を上げることができます。 Copyright © 2006, Juniper Networks, Inc. All rights reserved.Juniper Networks、Juniper Networksのロゴ、NetScreen、NetScreen Technologies、NetScreenのロゴ、NetScreen-Global Pro、ScreenOS、及びGigaScreenは、米国及びその他の国のJuniper Networks, Inc. の商標及び登録商標です。 以下は、Juniper Networks, Inc. の商標です:ERX、ESP、E-series、Instant Virtual Extranet、Internet Processor、J2300、J4300、 J6300、J-Protect、J-series、J-Web、JUNOS、JUNOScope、JUNOScript、JUNOSe、M5、M7i、M10、M10i、M20、M40、 M40e、M160、M320、M-series、MMD、NetScreen-5GT、NetScreen-5XP、NetScreen-5XT、NetScreen-25、NetScreen-50、 NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5200、NetScreen-5400、NetScreen-IDP 10、NetScreen-IDP 100、 NetScreen-IDP 500、NetScreen-Remote Security Client、NetScreen-Remote VPN Client、NetScreen-SA 1000 Series、 NetScreen-SA 3000 Series、NetScreen-SA 5000 Series、NetScreen-SA Central Manager、NetScreen Secure Access、 NetScreen-SM 3000、NetScreen-Security Manager、NMC-RX、SDX、Stateful Signature、T320、T640、及びT-series。その他記 載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、それぞれの所有者にに帰属します。これらの仕 様はすべて予告なく変更される場合があります。 本書の記載内容に誤りがあった場合、ジュニパーネットワークスは一切責任を負いません。ジュニパーネットワークスは、本発行 物を予告なく変更、修正、転載、または改訂する権利を有します。 Copyright © 2006, Juniper Networks, Inc. 17
© Copyright 2024 Paperzz