シスコシステムズ
10分でわかる、シスコ自己防衛型ネットワーク
第1回 自己防衛型ネットワーク構想に基づくシスコのセキュリティ戦略の進化と方向
第2回 あらゆる脅威に対応する『適応型防御システム』でセキュリティリスクを抑制
第3回 最新セキュリティ技術を集約、適応型防御システムの中核を担う『Cisco ASA 5500』

第1回 自己防衛型ネットワーク構想に基づくシスコのセキュリティ戦略の進化と方向
OverView セキュリティの脅威に対し、問題が発生してから対応するのでなく、ネットワーク自身がプロアクティブに脅威を認識、防御し、対応するインテリジェントな能力を備える…。自己防衛型ネットワーク(Self-Defending Network:SDN)構想をシスコが発表してから間もなく2年を迎えます。

この間、SDNを具現化するソリューションとして、ルータやスイッチなどネットワークを構成するデバイスにセキュリティ機能を搭載し、ネットワークそのものによる保護を推進する統合化セキュリティや、ネットワークデバイス同士が協調して高い次元のセキュリティを提供するコラボレーションセキュリティのNAC(Network Admission Control)などを通じ、ネットワークに接続するあらゆるデバイスに対してセキュリティの脅威から保護するソリューションを提供してきました。
そして、社内外を問わず、セキュリティの脅威が多様化、複雑化する今日、SDNを発展させるアーキテクチャとして、新たに適応型防御システム(Adaptive Threat Defense:ATD)を発表。ここでは、SDNからATDへ至るシスコのセキュリティ戦略を紐解きながら、ビジネスに要求されるインテリジェントセキュリティの考え方を解説します。

POINT1

POINT2
POINT1 ネットワークにインテリジェントなセキュリティ機能を持たせるSDN

生産性向上や業務効率化、競争力強化といったビジネスの優位性を確保する上で、ネットワークは企業の生命線となっています。人間の身体に例えれば、ネットワークはコンピュータシステムを有機的に結ぶ神経であり、ビジネスに必要な情報をやり取りする大動脈といえるでしょう。

自己防衛型ネットワーク(SDN)も、身体に例えることができます。人間の身体はウイルスや病原菌に侵されても、自己免疫によりその拡散を抑制し、正常な状態への回復を図ります。同様に、SDNは、ネットワークにインテリジェントなセキュリティ機能を持たせることで、既知、未知を問わず、多様なセキュリティの脅威に対してプロアクティブに認識、防御し、自律的に対応できる自己防衛を実現するビジョンです。


SDNは2003年暮れに発表されたセキュリティ戦略です。SDNに先立ち、セキュリティを含む包括的な構想として、シスコではインテリジェントな情報ネットワークの実現を目指すIIN(Intelligent Information Network)を提唱しています。その背景には、情報がビジネスの価値を生むようになり、必要な情報やアプリケーションに、いつでも、どこからでも簡単にアクセスできることはもちろん、ネットワーク上のさまざまな問題を自ら解決してくれるような、ネットワーク自身がインテリジェンスを持つことの重要性が認識されるようになってきた現実があります。

IINは、ネットワークのQoS(Quality of Service)、優れた可用性、高いセキュリティ機能、高度な運用性、将来にわたる適応力や拡張性などを備え、必要に応じて後からアドオンするのでなく、ネットワークが本来備えるべきインテリジェントなサービスの実現を目指しており、そのセキュリティ戦略としてSDNが位置づけられます。

PAGE TOP

POINT2 ネットワークとマルチサービスの統合化セキュリティ ウイルス被害からネットワークを保護するNAC

SDN戦略に基づく具体的なソリューションとして、統合化セキュリティ及びコラボレーションセキュリティが既に提供されています。セキュリティ専用製品が個別に機能するそれまでのポイントソリューションから脱却し、統合化セキュリティはネットワークを構成するデバイス(ルータやスイッチなど)にセキュリティ機能を搭載し、ネットワークそのものの保護を推進。具体的には、アプリケーション間の安全な接続性を実現するセキュアコネクティビティ、ネットワークとセキュリティを有機的に統合することでさまざまな脅威を防御する防御システム、リソースへのアクセス権の認証許可をネットワークベースで実現する信頼性・アイデンティティ管理などのソリューションを提供しています。
コラボレーションセキュリティを代表するのが、パートナーと連携して提供されるNACソリューションです。リソースへのアクセスを要求するすべての端末に対し、ネットワークインフラを利用してセキュリティポリシーを強制適用することで、持ち込みPCなどによるウイルス⁄ワームの被害を防御します。

最新セキュリティパッチやアンチウイルスのパターンファイルが更新されていないデバイスはアクセスを拒否、あるいは一旦隔離して最新セキュリティパッチなどを適用後、アクセスを許可するといった制御により、ネットワークのセキュリティを保護しています。

シスコの自己防衛型ネットワーク コンセプト
そして、ウイルス/ワーム、DDoS攻撃といった外部からの脅威にとどまらず、機密情報の漏えいやアプリケーションの不正利用など、企業に内在する脅威が大きなビジネスリスクになっています。こうした中、シスコではSDNを発展させ、ネットワークレベルからアプリケーションレベルまでユーザー企業の抱える個別ニーズに適応し、複数のレイヤで多様な脅威をダイナミックに防御するセキュリティアーキテクチャ「適応型防御システム」(ATD)を打ち出してきました。
ATDについて、第2回で解説しています。
PAGE TOP
第1回 自己防衛型ネットワーク構想に基づくシスコのセキュリティ戦略の進化と方向
第2回 あらゆる脅威に対応する『適応型防御システム』でセキュリティリスクを抑制
第3回 最新セキュリティ技術を集約、適応型防御システムの中核を担う『Cisco ASA 5500』