At-A-Glance
エンフォーサとしての
シスコ ネットワーク
ネットワークのセグメント化を使用してリスクを封じ込める
インターネットに接続されるモノが刻々と増えるなかで、企業のネット
ワークはプロのハッカーからの高度なサイバー攻撃を継続的に受けてい
ます。すべてのネットワーク接続は、それがクラウド サービスでも、モ
バイルでも、Internet of Things（IoT）でも、攻撃のエントリ ポイントに
なる可能性を秘めています。今日の企業の課題は、ユーザやデバイスに
必要なネットワーク アクセスを提供しつつ、リスクを軽減することです。
ネットワーク内の既存のセキュ
リティ テクノロジーを活用して、
以下のことが可能になります。
• インフラストラクチャ全体に
わたって脅威をすばやく検出、
隔離し、封じ込める。
• ネットワークをセグメント化
して、攻撃浸透の影響を制限
する。
• あらゆるユーザ、デバイス、
場所に対して、きめ細かい一
貫したアクセス制御を一元的
に適用する。
「シスコ ソリューションを使用
すると、ワイヤレス アクセス
ポイントからスイッチまで、誰
が何にアクセスしようとしてい
るかを非常に正確に把握できま
す。これにより、ユーザを正し
いカテゴリに配置し、情報セキュ
リティの需要に一致する適切な
ポリシーを適用することができ
ます」
ローマン・スカラボットミュラー氏
Mondi Group International
インフラストラクチャ責任者
シスコのネットワークには、それを実現するためのツールがすでに含ま
れています。それらのツールをアクティブにするだけで、ネットワーク
をセキュリティ ポリシーのエンフォーサ（執行者）として活用できます。
たとえば、Cisco TrustSec® と Cisco Identity Services Engine（ISE）を
使用して、ネットワークをより小さいセグメントに区切ることで、脅威
の封じ込めができます。ソフトウェア定義に基づくネットワークのセグ
メント化では、ユーザ ロールやビジネス ニーズに基づいてユーザのアク
セス権を決定する特定のグループ ポリシーを使用し、セグメントを保護
することができます。
これにより、トポロジやアクセスに依存しない、ロール ベースのセキュ
アなネットワーク アクセス制御を実現できます。攻撃対象領域（attack
surface）が大幅に縮小します。つまり、たとえハッカーがネットワーク
に侵入できたとしても、自由に活動したり、広範囲に損害を与えること
ができなくなります。
動的なポリシーを一元的に適用
シスコ ネットワークをセキュリティ エンフォーサとして動作させると、
セキュリティ ポリシーをネットワーク全体にわたって一元的に適用でき
るようになります。適切なユーザとデバイスだけが適切なアクセス権を
持てるようになり、攻撃の影響を封じ込めることができます。Cisco ISE
は、シスコ スイッチ、ルータ、セキュリティ デバイスにリアルタイムの
アクセス制御の決定を提供する、一元化されたポリシー エンジンとして
動作します。
ま た、Payment Card Industry Data Security Standard（PCI DSS） お
よ び 1996 年 の Health Insurance Portability and Accountability Act
（HIPAA）のネットワーク コンプライアンス監査の対象となる、範囲、
コスト、複雑性を縮小することができます。
シスコ ネットワークをエンフォーサとして活用するアプローチでは、セ
キュリティ リスクの削減、セキュリティ運用効率の向上、コンプライア
ンスの強化が促進されます。
次のステップ
「 エ ン フ ォ ー サ と し て の シ ス コ ネ ッ ト ワ ー ク（Cisco Network as
an Enforcer）」 ソ リ ュ ー シ ョ ン の 詳 細 に つ い て は、Cisco Enterprise
Network Security のページを参照してください。
©2015 Cisco Systems, Inc. All rights reserved. Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems,
Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。本書類またはウェブサイトに
掲載されているその他の商標はそれぞれの権利者の財産です。
「パートナー」または「partner」という用語の使用は Cisco
と他社との間のパートナーシップ関係を意味するものではありません。(1502R)
C45-734478-00 01/16