ホワイト ペーパー

WAN の最適化におけるセキュリティおよびコンプライアンスの強化

概要

IT 部門の意思決定者は、次の 3 つの重要なビジネス上の利点を組織にもたらすために、WAN 最適化テクノロジーを展開しています。

• リモート ユーザに対しても LAN 接続しているのと同レベルの速度を実現する中央集中型のアプリケーションを提供し、可視性とブランチ オフィスのセキュリティを保持
• コストのかかるブランチ オフィス サーバ、ストレージ、およびバックアップ インフラストラクチャをデータセンターへ統合し、WAN 帯域幅の使用状況を最適化
• ブランチ ストレージの統合により法規制の遵守とデータ保護の強化を実現し、ブランチのバックアップ アプリケーションを高速化

WAN 最適化ソリューションを使用すると、データ バックアップの高速化や WAN における法規制の遵守を実現できますが、これらのソリューションの大半は、ローカル保存されているブランチ オフィスのデータや WAN を経由するデータの保護を考慮していません。そのため、ほとんど保護されていない新たな高速化されたデータ フローと、暗号化やステートフル ファイアウォール、Intrusion Prevention System（IPS; 侵入防御システム）で十分に保護された通常のフローという、異なる保護方式を使用する 2 種類のデータ ストリームを管理しなければならなくなっています。これではセキュリティ リスクの原因にもなりかねません。

セキュリティ管理者は、LAN 経由でアクセスするデータや WAN 経由で送信される高速化データなどのさまざまなデータについて、世界中に分散している多数のブランチ オフィスも含めて一貫性のある方法で保護することに努めています。多くの組織が、WAN の最適化に対応するために法規制を遵守しきれない現実や、法外な罰金を支払うリスクに直面し、大規模な展開において WAN を最適化するうえでの信頼性に次のような疑問を持っています。

データを最適化するには高いリスクが伴い、ネットワークへの悪意のあるデータの配信を加速させる可能性があるのか。組織では、WAN を最適化することで法規制を遵守できなくなるリスクが高まるのか。最適化されたトラフィックは同等に保護されるのか。

この資料では、これらの質問に回答します。Cisco® Wide Area Application Services（WAAS）が提供するセキュリティ上の利点と機能、WAN 最適化ソリューションに投資する前に検討しなければならない重要な基準、およびこれらの基準のビジネスにおける重要性について説明します。

ブランチ オフィスでのデータ漏洩件数の増加

近年、組織におけるデータ漏洩事件の件数が増加しています。たとえば、次のような事件が全国に大きく報道されました。

• 2006 年 3 月、AIG ニューヨーク支社からファイル サーバが盗まれました。その中には、名前、社会保障番号、および数万の医療記録を含む 930,000 人分の顧客の個人情報が入っていました。 1
• 2005 年 2 月 25 日、Bank of America は、コンピュータの暗号化されていないバックアップ テープを 2004 年 12 月下旬に紛失したと発表しました。その中には、連邦政府が発行した 120 万枚のクレジット カード情報が入っていました。 2
• 2005 年 6 月 6 日、United Parcel Service は、信用調査会社への輸送中に、約 390 万人分の CitiFinancial 支店網の顧客情報を含む、暗号化されていないテープを紛失しました。3
  2006年 6 月 29 日、ネブラスカ州財務部は、ハッカーによる児童支援コンピュータ システムへの侵入があり、300,000 人分の児童および 9000 人分の職員の名前と社会保障番号を含む情報が盗まれた可能性があると発表しました。 4
• 768 人の IT マネージャを対象にした調査では、81 パーセントの企業で機密情報が入ったノート型パソコンの紛失が過去 12 カ月間に 1 台以上あったと報告されました。携帯型デバイスとノート型パソコンは、企業の機密データに危険をもたらすストレージ デバイスの中で最も上位に位置付けられています。Universal Serial Bus（USB）メモリ スティック、デスクトップ システム、共有ファイル サーバがそれに続きます。 5
• 2006 年、Ponemon Institute の調査により、データ漏洩の処理にかかる平均コストは 30 パーセントも増加し、1 回の漏洩につき平均で合計 480 万ドルであることが判明しました。 6
• Forrester Research は、データ漏洩における 1 件当たりの処理コストは 90 ドル（規制の少ない業界での目立たない漏洩の場合）から 355 ドル（規制が厳しい業界での目立つ漏洩の場合）になると断定しました。 7

データ プライバシー規制の厳格化

このような事件や、データのセキュリティおよびその漏洩に対する不安の高まりから、組織には地域、国家、および業界別のさまざまな規制に従う責任がますます求められています。違反した場合の処罰としては、罰金、厳重な調査、プログラムからの排除、信用の格下げ、法的起訴、懲役などの可能性があります。

たとえば、Payment Card Industry（PCI）のコンプライアンス要件では、クレジット カードから磁気ストライプ情報を保存する違反を犯したレベル 1 業者には、2006 年 10 月 より多額の罰金が科せられています。カード会社は、レベル 1 業者に毎月 50,000 ～ 100,000 ドルを課しています。Sarbanes-Oxley（SOX）法により、企業の CEO（最高経営責任者）には 2000 万ドル超の罰金が個別に科されることになりました。たとえば、2006 年 5 月には GemStar 社の CEO に 2200 万ドルの罰金が科されています。

表 1 に、企業および政府機関が従う必要のあるコンプライアンス規制の一部を示します。

表 1 データ プライバシーのコンプライアンス規制

* 34 以上の州で適用されている情報セキュリティ侵害法

組織の対応

Infonetics、Taneja Group、および Ponemon Institute and Vontu が複数の業界に対して行った 3 つの調査では、WAN 最適化テクノロジーにはデータの暗号化および保護を組み込む必要があるという明確な傾向が示されました。

• 統合セキュリティ：Infonetics によると、サイトのタイプやタイムフレームに関係なく、ファイアウォール、VPN、Intrusion Detection System（IDS; 侵入検知システム）などのセキュリティ機能をルータに組み込むのが最新のテクノロジー傾向となっています。この傾向は、Cisco Integrated Services Router（ISR; サービス統合型ルータ）に組み込まれた統合セキュリティが急速に普及していることでも立証されています。組織では、Multiprotocol Label Switching（MPLS; マルチプロトコル ラベル スイッチング）リンクなどのリンク レベルのセキュリティのほか、ブランチ オフィスに統合型ファイアウォールや IDS/IPS セキュリティなどを実装してきました。組織では、これらの統合セキュリティ機能を使用して、VPN の分割利用やブランチ ネットワーク内へのウイルスの伝播を防止します（図 1）。

図 1 主流の統合セキュリティの導入
※ 画像をクリックすると、大きく表示されます。

• セキュアな最適化：Taneja Group の調査によると、250 人の IT 管理者が統合セキュリティへの投資を保護するために WAN の最適化が必要だと考えています。Remote-Office and Back-Office（ROBO）ソリューションについては、IT 管理者の最優先課題はセキュリティであり、ネットワークの最適化が 2 番めです（図 2 を参照）。

図 2 単一のソリューションで最も重要な ROBO 機能
※ 画像をクリックすると、大きく表示されます。

• 管理、最適化、および保護：Taneja Group の調査によると、250 人の IT 管理者は、ROBO 環境における 上位 3 つの課題は、管理、WAN の最適化、およびローカル保存されたデータの保護であると結論付けています（図 3）。

図 3 リモート オフィスの展開における上位の課題
※ 画像をクリックすると、大きく表示されます。

• 暗号化：Taneja Group の調査では、IT 管理者がデータの暗号化を不可欠であると考えていることも判明しました（図 4）。

図 4 ROBO サイトにおけるセキュリティ要素の展開
※ 画像をクリックすると、大きく表示されます。

• 非動作時のデータ保護：Ponemon Institute and Vontu の調査では、500 人の IT 管理者の 81 パーセントが、今年の優先課題は非動作時の機密データの保護であると回答し、89 パーセントが来年の優先課題になると回答しました。支出の優先度では、E メール、ファイル サーバ、モバイル デバイス、およびバックアップにますます重点を置いています（図 5）。

図 5 非動作時のデータの保護
※ 画像をクリックすると、大きく表示されます。

Cisco Secure WAN 最適化ソリューションの利点

Cisco WAAS では、アプリケーションの高速化、ブランチ オフィスにおける IT インフラストラクチャの統合といった利点のほか、セキュリティ機能およびデータ保護機能を組み込むことにより、高速化されたフローと通常のフローの両方に対して一貫性のあるセキュリティを提供しています（図 6）。

図 6 Cisco WAAS ソリューションのデータ保護機能
※ 画像をクリックすると、大きく表示されます。

• ディスク暗号化：リモートの Cisco Wide Area Application Engine（WAE）アプライアンスまたはネットワーク モジュール上の最適化されたすべてのデータを暗号化することで、データへの不正なアクセスや盗用を防止します。Federal Information Processing Standard（FIPS; 連邦情報処理標準）197 で承認されたテクノロジーや Advanced Encryption Standard（AES; 高度暗号化規格）256 ビット暗号化を使用して、Cisco WAE ディスク ドライブ上のデータを暗号化します。また、Cisco WAAS Central Manager に組み込まれた中央集中型の自動キー管理サービスにより、暗号化キーの管理を簡素化し、ハイ アベイラビリティに対応した中央集中型のフェールオーバー機能を実現するとともに、キーのバックアップと復元をサポートします（障害回復のためにオフラインで保存）。
• 規格への適合：Cisco WAAS は、業界の主要なセキュリティ規格に準拠するように設計されており、厳しいテストが行われています。Cisco WAAS は、ISO 15408 として知られる Common Criteria Evaluation and Validation Scheme（CCEVS）に認定されている唯一の WAN 最適化ソリューションです。CCEVS は、情報およびネットワーク システムの信頼性を高めるために米国政府によって設立された National Institute of Standards and Technology（NIST）および National Security Agency（NSA）が主催する National Information Assurance Partnership（NIAP）の主要プログラムです。Cisco WAAS はステートフル ファイアウォールの動作にも準拠しています。これは、PCI 規格などの適合規格でも必要になります。
• ステートフル ファイアウォール保護：シスコでは、ファイアウォールおよび Cisco WAAS 間の相互運用性を保証することにより、WAN に最適化されたトラフィックのステートフル インスペクションをサポートしています。これにより、組織では、情報漏洩を起こすことなく、最適化されたトラフィックと通常のトラフィックの同等な保護を実現できます。
• • パケット ヘッダーの透過性を使用するファイアウォール ポリシーおよび Access Control List（ACL; アクセス コントロール リスト）に準拠
  • 最適化された個別のエンドツーエンドのトラフィックに対するステートフル ファイアウォール保護に準拠
  • Cisco WAAS により、管理用ポートおよび CIFS アクセラレーション用のポートを除いて、ファイアウォール上で追加のポートを開く必要がない
• IPS の相互運用性：Cisco IPS はウイルス スキャン機能をネットワーク上で提供し、悪意のあるデータの伝播を防止するとともに、Cisco WAAS との完全な相互運用性を保持します。この機能により、お客様は WAN の最適化を実行しながら、ウイルスからネットワークを保護できます。
• Role-Based Access Control（RBAC; ロールベース アクセス コントロール）：Cisco WAAS Central Manager を使用すると、Authentication, Authorization, and Accounting（AAA; 認証、認可、アカウンティング）機能を Microsoft Active Directory、RADIUS、TACACS+ などの外部認証プロバイダーと統合できます。展開用の柔軟な RBAC を備えている WAN 最適化製品は、Cisco WAAS だけです。お客様は、役割、部門、または責任などのパラメータに基づいてプロファイルを作成できるため、システムの必要な一部分にのみセキュアなアクセスを提供できます。ロールベース アクセスは、多くのコンプライアンス規格に必要とされる要件です。

まとめ

業務のグローバル化、操作の分散化、およびデータ漏洩のリスクの高まりにより、ブランチ オフィスのデータ保護はますます困難になっています。同時に、コンプライアンス規格の数も増大しています。従来の WAN 最適化ソリューションは、非動作時のデータを保護するための強力なディスク暗号化を備えておらず、転送中に最適化されたデータをセキュリティ インフラストラクチャとの統合によって保護することもできません。組織では、高速化されたデータと通常のデータの両方を同等に保護する必要があります。

シスコでは、強力なディスク暗号化、ステートフル ファイアウォール、IPS の統合、および RBAC によりコンプライアンス規格に準拠した、ISO 15408 認定のセキュアな WAN 最適化ソリューションを提供し、高速化されたデータと通常のデータのステートフルかつ同等な保護を実現しています。シスコのルータ、ファイアウォール、および IPS に Cisco WAAS を組み合わせて使用すれば、セキュリティを強化しながら WAN を最適化できます。これにより、お客様は大規模に展開された WAN の最適化、ブランチ オフィスの IT コスト削減、およびユーザの生産性向上を確実に実現できます。

関連情報

Cisco WAAS 製品の詳細については、http://www.cisco.com/jp/go/waas を参照してください。

表 2 に示す基準を参照して、Cisco WAAS のセキュリティ機能とその他の WAN 最適化製品のセキュリティ機能を比較できます。

表 2 Cisco WAAS のセキュリティ機能

注：* Cisco IOS Firewall 以外のファイアウォールの場合、CIFS および管理専用にスタティック ポートを開く必要があります。

1 出典：USA Today（http://www.usatoday.com/money/industries/insurance/2006-06-16-AIG_x.htm）
2 出典：Associate Press および MSNBC（http://www.msnbc.msn.com/id/7032779/）
3 出典：Network World（http://www.networkworld.com/news/2005/060605-citibank.htm）
4 出典：Associated Press
5 出典：Ponemon Institute and Vontu
6 出典：Ponemon Institute、『2006 Annual Study: Cost of a Data Breach』、2006 年 10 月
7 出典：Forrester Research、『The Cost of a Security Breach』