端末の保護と検疫を自動化するClearPass OnGuard

 2019.07.19  2024.11.08

BYODが定着したことで、私有のノートパソコンやスマートフォンといった端末が社内ネットワークに接続するシーンが増えました。オフィスに打ち合わせで来訪したゲストや、イベント・セミナーに来場したゲストに対してネットワーク接続を提供するニーズも増え、それに応えるべくゲストアクセスを許可する事業所も増えています。

しかし、それはネットワークに安全ではないかもしれない、どんな悪影響を持つかわからない端末が接続してくるということです。
ネットワークへのリスクを低減させるためには、端末のセキュリティリスクの状況をネットワーク接続前にチェックし、社内のセキュリティの規定に違反している端末にアラートを出したり、必要なパッチをダウンロードして適用させたり、検疫ネットワークに誘導したりといった、組織ごとに規定されたアクションを実行しなければなりません。

端末の保護と検疫を自動化するClearPass OnGuard

このようなネットワーク接続前の検疫を、ネットワーク接続時に認証を司る統合認証基盤が同時に担うことができれば、ネットワークの運用管理の効率を向上できます。

保護と検疫を自動化するClearPass OnGuard

Aruba ClearPassは、ネットワークに接続してくるすべての端末が持つ情報(コンテキスト)を預かり、そのコンテキストを元にした動的なアクセス制御を行う統合認証基盤です。エージェントレスで動作するため、ネットワークに接続してくる端末の種類は問いません。組織が支給している管理された端末であっても、従業員の私有の端末であっても、ゲストが持参した端末であっても、ClearPass単体の動作で各端末のコンテキストを収集し、アクセスを決定します。

このClearPassにオプションとして提供されているのがOnGuard(オンガード)と呼ばれる機能です。OnGuardエージェントが事前にインストールされている端末であれば、OnGuardが端末の検疫を行い、OSの通知機能を使って端末がコンプライアンスに違反していることをユーザーに通知したり、コンプライアンス違反を修復するために自動的にアクションを実行したりすることもできます。

OnGuardのエージェントは常駐プロセスとして起動しています。そのため端末上でPtoPアプリケーションを起動したことを検知した際に自動で当該プロセスを終了させたり、端末にUSBメモリが接続されたことを検知して自動でUSB機能を無効にしたり、仮想マシンが起動したことを検知して当該仮想マシンをシャットダウンしたりと、ユーザーが起こした不正につながりかねない振る舞いを検知して遮断することができます。

また、端末にエージェントがインストールされていなくても、ClearPassの提供する管理画面にリダイレクトすることで、Webブラウザ上で検疫を行うことができます。そのため、ウィルス対策ソフトウェアがインストールされていない端末に対して、WEBブラウザ上でウィルス対策ソフトウェアの未インストールを警告表示し、インストールするように促すことができます。

企業のサイバー防衛力を評価 セキュリティレーティングとは
セキュリティ レーティングでサプライチェーン全体のセキュリティを評価

ClearPass OnGuardの利用シーン

ある大学ではArubaのClearPass On Guardを導入し、学生が無線LANに接続する際に検疫を行っています。検疫に引っかかった場合は、警告を表示する運用を行っています。

企業ではコンプライアンスを高めるために様々な施策を打つこともできます。しかし、大学では一部の職員を除き、大多数の学生・利用者がBYOD端末を利用するため、そうはいきません。セキュリティソフトを学生向けに配布している例もあるようですが、限られた予算の中で実施するには厳しいのが実情です。

金銭的負担の増大をさせずに、無線LANの提供で利便性を高めつつ、セキュリティのリスクを低減させる。これは大学に限った話ではありません。入院患者向けに無線LANを提供している病院やイベント会場など、BYODの端末が前提となる環境では、ClearPass OnGuardにより、無線LANにおけるセキュリティリスクを最小化することができます。

[SMART_CONTENT]

まとめ

当サイトの別記事(ネットワーク全体のセキュリティ強化を実現するAruba ClearPassのサードパーティー連携)でも触れたように、ClearPassを中心に据え、他のネットワーク機器やセキュリティソリューションと連携すれば、より高度な自動運用が可能になりますが、ClearPass単体であってもOnGuard機能により、保護と検疫のアクションを自動化することができます。

NVCはAruba製品の国内最初の代理店として、豊富な導入実績と高い知見を持っています。統合認証基盤にClearPassを据え、OnGuardにより保護と検疫を自動化した、運用効率が高く安全なネットワーク環境の構成をご提案できるNVCに、ぜひご相談ください。

Aruba ClearPass Policy Manager

RECENT POST「IT資産/データ」「ネットワーク機器」の最新記事


端末の保護と検疫を自動化するClearPass OnGuard
NVCへのお問い合わせ
State of Cloud Security Report クラウド環境の深層に潜むリスクを解明

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング