Cisco Cloud E メール セキュリティ

インフラストラクチャ セキュリティの概要

ホワイトペーパー





インフラストラクチャ セキュリティの概要



Cisco IronPort® クラウド E メール セキュリティは、最高のテクノロジーを組み合わせ、現時点で最も拡張性に優れた高度な電子メール保護を提供します。Cisco IronPort クラウド E メール セキュリティが基盤としている業界最先端のテクノロジーは、Fortune 1000 の 40 パーセントの企業がインバウンドとアウトバウンドの E メール脅威からの保護に使用してしているものと同じです。お客様は、オンサイト データセンターの設置面積を削減し、信頼できるセキュリティの専門家に電子メール セキュリティ管理をアウトソーシングすることができます。複数の耐障害性に優れたデータセンターで専用の電子メール セキュリティ インスタンスを提供し、最高水準のサービス可用性とデータ保護を実現します。Cisco IronPort E メール セキュリティ ソリューションは、物理アクセスおよび論理アクセスの両方の観点から、クラウド インフラストラクチャのセキュリティと可用性を最高の水準で確保できるように設計されています。この設計は、データセンターの建物へのアクセスの制御、顧客データへのアクセスを保護する手続き、ハードウェア インフラストラクチャの可用性といった側面にまで及んでいます。図 1 はこうした側面を表したものです。



物理セキュリティ


データセンターの物理セキュリティは、強固なセキュリティ インフラストラクチャの基盤となります。データセンター セキュリティは、物理インフラストラクチャ セキュリティを最高水準に保つよう細心の注意を払うセキュリティ担当者と、最新の監視システムに支えられています。これには、次のような特徴があります。

  1. 監視システム
    オンサイトへのシスコの常駐と、デジタル ビデオ監視システムによって、自動化された監視インターフェイスが提供されます。すべての固定カメラは、0.01 ルクスまで対応可能な自動微光切り替え機能が付いた高解像度カラー カメラです。パン/チルト/ズーム カメラ(PTZ)は、屋外や、特に注意が必要な場所に設置します。すべての PTZ では、現在の固定カメラ位置に瞬時に移動するのための同軸多重式プロトコルが使用されています。
    ビデオの録画解像度は 720 X 240 ピクセル、録画レートは 15 IPS(モーション検知時)または 30 IPS(オペレータ コマンド)になります。ほとんどのビデオ チャネルは同時に音声も記録します。ビデオは、約 100 日間保存されます。データセンターでは、警備員による 24 時間 365 日体制の監視システムが稼働しています。警備員は IOU(Identify、Observe、Understand)手法を使用してカメラ システムを操作します。IOU を使用することにより、モニタへの集中力が向上し、検証用に優れたビデオ映像を提供できます。エグゼクティブ チーム メンバーは、PDA および VPN ラップトップ アクセスによってビデオにリモートからアクセスできます。すべてのビデオは、最低 90 日間 M-JPEG 形式でアーカイブされます。
  2. アクセス制御/侵入検知
    すべてのエントランスは、24 時間 365 日体制で一箇所から監視されます。外部からの出入り口に設置されているドアは、防御性の高い設計になっています。検知デバイスやアクセス制御が備わっており、固定カメラによって個別に映し出すことができます。外部とのアクセス ポイントは最小限に抑えられています。ほとんどの施設では、1 つのドアからのみ外部に出入りできるようになっています。ドアの奥には、12 ゲージのステンレス鋼から製造され、1/4 インチのアルミニウム ストラップで固定された特殊設計のマントラップが構えています。このマントラップ以降のすべてのアクセス ポイントでは、さらにカード所有者の生体認証とマントラップ リレー ロジックが求められます。さらに、マントラップには少なくとも 1 つの固定カメラと音声監視装置が取り付けられています。

データセンターのアップタイム


図 2 に、Cisco IronPort クラウド E メール セキュリティ ソリューションのアーキテクチャを示します。このソリューションには、次のような特徴があります。

  1. ディザスタ リカバリ用の地理的に分散したデータセンター
  2. SAS 70 タイプ II 認定データセンター
  3. 各データセンター内のネットワーク接続、電力、冷却機能、帯域幅の冗長性
  4. 最大 20 Gbps のネットワーク トラフィックに対応する帯域幅

Cisco IronPort クラウド E メール セキュリティでは、アクティブ-アクティブ展開アーキテクチャの複数の SAS 70 タイプ II データセンターが採用されています。複数の MX レコードがこれらのデータセンターを指すようにすることで、いずれかのデータセンターで予期しない障害が発生した場合でも電子メールが途切れることなく送受信されます。Cisco IronPort クラウド E メール セキュリティのサービスでは、複数のデータセンターから成るアーキテクチャにより、最高レベルの可用性が保たれます。

図 1. Cisco IronPort クラウド E メール セキュリティのデータセンター アーキテクチャ


図 1.	Cisco IronPort クラウド E メール セキュリティのデータセンター アーキテクチャ

図 1. Cisco IronPort クラウド E メール セキュリティのデータセンター アーキテクチャ


各データセンターのインフラストラクチャには、複数のレベルでの冗長性が組み込まれています。1 つ目は、複数のキャリアグレード アクセス ルータ、ディストリビューション スイッチ、POD スイッチ(100 〜 1000 個のポートを持つ大規模なイーサネット スイッチ)で構成され、シングル ポイント障害が排除されたネットワーク インフラストラクチャです。冗長性の高いネットワーク インフラストラクチャを実現するため、メール処理、報告、追跡などのための複数の専用の Cisco IronPort E メール セキュリティ インスタンスが使用されています。いずれかの入力に影響を与えるような予期せぬインシデントが発生した場合に障害を回避して接続を確保するために、データセンターでは、物理的に分離された 2 つの光ファイバ入力が使用されています。また、これらのデータセンターには、最大 20 Gbps のネットワーク トラフィックに対応する帯域幅容量があります。

今日の多くのデータセンターでは、機器から発生する熱の管理や制御が適切に行われていないために深刻な問題が起きています。Cisco IronPort データセンターは、業界最先端のスペース設計および電力設計を使用して構築されています。プライマリ電源回路とフェールオーバー電源接続(どちらも完全に独立した N+2 電源システムに属する)が含まれる高度な電力網アーキテクチャによって 100 % の電力可用性が実現されています。各システムには、それぞれ個別の UPS バッテリ、発電機、PDU、RPP が備わっており、電力は色分けされたレセプタクルによって各ラックに提供されます。これにより、システムに接続されている E メール セキュリティ インスタンスに対して一貫したアップタイムが保証されます。

サーバの密度が高くなるにつれ、冷却システムの必要性も非常に大きくなります。それぞれの Cisco IronPort データセンター設備には、プライマリおよびバックアップの冷却装置が十分に備えられていて、E メール セキュリティ インスタンスによって発生する熱が適切に分散されるようになっています。冷却システムのいずれかに障害が発生した場合には、十分なバックアップの冷却装置が利用できるようになっています。冷却インフラストラクチャは、フロン冷却、蒸発冷却、冷却水冷却、および外気冷却のメカニズムによって提供されます。

データセンターへの電源供給に関係するインフラストラクチャの仕様を、表 1 および 2 に示します。

表 1. 電力仕様

ラックあたり 17 KW の電力および冷却機能 UPS バックアップ電源
販売終了日 120/208 VAC および -48 VDC を利用可能
>発電機による 100% バックアップ 48 VDC バッテリ プラント
1 〜 2 MW の複数の発電機用に設計された発電機容量 1200A 〜 10,000A まで拡張可能
燃料タンクのサイズ:1,000 〜 2,000 ga 予備バッテリ、非冗長で 2 時間、冗長で 4 時間
自動開始と自動切替の両方を備えた発電機。自動転送スイッチの分離バイパス機能。 完全な A/B 給電
24 時間以上実行可能な燃料容量 NFPA 70 に準拠した接地
燃料補給に 2 時間で対応

表 2. 環境制御

コンピュータ ルーム グレードの設備によって提供される床下式冷却 N+1 の冗長性を持つ 1 平方フィートあたり 200 Btu/h 以上の冷却装置
ASHRAE 1% において、温度は 72°F(乾球)に維持 停電発生時、HVAC システム(および設備全体)はディーゼル発電機で稼動します。
湿度 30% 〜 60%(結露しない)。赤外線加湿器の ATS/Liebert ユニットによって提供される湿度制御。

セキュリティ オペレーション センター


シスコのセキュリティ オペレーション センター(SOC)は Cisco Remote Operations サービス(ROS)によって運営されています。世界水準のセキュリティ監視を保証するため、Cisco ROS では、従業員、プロセス、ツールの管理および内部監査を継続的に実施しています。そのようにして、最高水準の安全なサービス提供を実現し、お客様に安心してシスコをご利用いただけるようにしています。


図 2.	シスコのセキュリティ オペレーション センターのヘルプ デスク<

図 2. シスコのセキュリティ オペレーション センターのヘルプ デスク<


1. ネットワーク セキュリティ


Cisco SOC では、セキュリティ デバイスとアプリケーションを組み合わせて使用することにより、多重防御設計を構築しています。追加層には、Cisco ROS へのインバウンド アクセスを制御する複数のファイアウォールが含まれます。この戦略では、目的に適った情報のみへのアクセス権(最小権限)がユーザに与えられます。

侵入検知システム(センサーとして機能)は、トラフィックを監視して、セキュリティ イベントを検出するために、ネットワーク全域に戦略的に配置されます。検出されたイベントは、シスコのセキュリティ管理サービスによって管理されます。侵入検知は、ネットワーク内のさまざまなポイントで使用され、サービス配信ネットワークとお客様のネットワークの間のトラフィックを監視して、疑わしいパターンや悪意のあるパターンがないか見張ります。

セキュリティ イベント マネージャは、サービス提供ネットワーク全体のセキュリティ デバイスのイベントと脅威の相関関係を示します。デジタル証明書は、カスタマー Web ポータルや、内部からと外部からの両方のアクセスを必要とするシステムへのアクセスを保護するために使用されます。

2. システムのセキュリティ


Cisco ROS は複数の制御を利用して、管理対象システムのセキュリティを確保します。これらには、物理制御と脆弱性検出スキャンの両方が含まれます。

  • 物理的制御
    シスコでは、すべての従業員と契約社員に写真付き ID を提供し、建物内にいるときにはこの ID を見えるところに身に着けるよう義務付けています。すべての訪問者にはビジター バッジが提供され、建物内では必ず従業員が訪問者に同行します。
    制御されたデータセンターやワイヤリング クローゼットのエントランスへは、会社敷地内からのみアクセスできるようなっています。アクセスは、ビジネス ニーズに応じて許可されます。会社の敷地内も制御されています。敷地内に入るには、適切なバッジを使用してアクセスしなければなりません。 ビデオ カメラが各建物の出入り口に設置され、セキュリティ ファシリティ オペレーション センターによって 24 時間 365 日体制で監視および管理されます。
    施設へのプライマリ電源は、地元の発電所から提供されます。バックアップ電源は、スタンバイ UPS システムおよび発電機によって重要なエリアに提供されます。バックアップ電源システムは定期的にチェックされ、テストされます。予防保守は四半期ごとに実施され、全負荷テストは年 1 回実施されます。
  • 脆弱性スキャン
    Cisco ROS サービス提供ネットワークを定期的にスキャンし、リスクや脆弱性について評価します。これらの評価結果は、必要な修復のための内部 IT インシデント ケースを作成するために使用されます。

3. 人的制御


情報セキュリティおよび情報資産や知的財産の保護は、認識と教育から始まります。セキュリティ文化を育んで維持するために必要なこととして、成功する組織には、責任と説明義務はすべての従業員にあるという認識があります。

シスコの経営陣は企業イニシアチブとビジネス行動規範の中にセキュリティを組み込んでおり、従業員も日常の活動にセキュリティを取り入れています。組織全体で従業員にセキュリティ意識の重要性についての教育が行われ、企業(およびパートナーやお客様)の安全を守るという共通の目標に向けて全社員が一丸となって努力しています。

人的制御は、データセンターのセキュリティにおいて重要な側面になりつつあります。これらの制御の目的は、サービス プロバイダー内で発生する可能性のあるセキュリティ上の脅威から顧客データを保護することです。Cisco ROS には、お客様のデータのセキュリティを確保するためのいくつかの制御が用意されています。シスコでは、すべての正社員および契約社員に対して雇用プロセスの一部としてバックグラウンド スクリーニングを実施します。職務記述書には、Cisco ROS 内での役割と責任が記載されます。また、最小権限のルールを適用して、お客様のネットワークと情報へのアクセスが適切に行われるようにしています。

Cisco ROS では、さらに以下の人的制御も実施しています。

  • 監査およびテスト
    Cisco ROS では、ネットワークベースの脅威の危険を軽減する 5 段階のプロセスが採用されています。このプロセスには、危険を最小限にとどめるためのステップとして、定義されたセキュリティ ポリシーの確立、コンプライアンスの評価、ポリシー違反の監視、ポリシーの定期的なテストが含まれています。最後のステップでは、確認されたすべての脅威と危険ついての要約を行います。その要約を使用して、ネットワークの全体的なセキュリティを改善していきます。
  • 変更制御
    変更制御は、IT 環境とサービス提供チームの運営に不可欠です。Cisco ROS の変更制御は、お客様の環境内のすべての変更の要求、スケジュール、実装、検証のために適切な認証を確立するためのお客様とのパートナーシップになります。

まとめ


Cisco IronPort クラウド E メール セキュリティは、高い可用性を備えた物理リソース、ユーティリティ、データの冗長性を 1 つの場所で実現する最新のデータセンターによって支えられています。シスコのセキュリティ オペレーション センターのサポートによって、セキュリティがさらに向上し、安全なサービス提供が可能になります。シスコは、このような方法を通じて、最高水準のサービス可用性とデータ保護を提供しています。

お問い合わせ