CiscoWorks VPN/Security Management Solution

ダウンロード Mountain America Credit Union：Cisco Secure Access Control Server と CiscoWorks VPN/Security Management Solution を使用した、セキュリティ強化および生産性向上

ユーザ事例

Mountain America Credit Union : Cisco Secure Access Control Server と CiscoWorks VPN/Security Management Solution を使用した、セキュリティ強化および生産性向上

「Cisco Secure ACS と CiscoWorks VMS を組み合わせると、当組合のような金融ネットワークの管理に必要な柔軟性と優れた安全性が提供されるだけでなく、全組合員に安心感が行き渡ります。」

Mountain America Credit Union には、1930 年代中頃に Utah Telephone の労働者信用組合として創設されて以来、人々を支援してきた歴史があります。 現在、Mountain America は成長し、地域の行政職員およびユタ州の有力企業のための州の信用組合になっています。 Mountain America の理念は簡明です。 優れた人材によって、良質の商品およびサービスを、良質なしくみを通じて提供することです。

Mountain America の組合員は、革新的な方法で提供される、幅広く印象的な金融商品および金融サービスを利用できます。 組合員は簡単に口座を利用して、さまざまな方法で預金を操作できます。 支店、ATM、自動預金、プッシュ式電話によるサービス、自動支払い、オンライン支店アクセスなどがあります。

21 世紀の金融サービスの提供

組合員のために、Mountain America は、付加価値の高い低コストのサービスに努めています。 この使命に対応するにはセキュリティと工夫が要求されますが、Mountain America は両方を成し遂げました。

Mountain America の Director of Technology を勤める Ray Carsey 氏は、この組合のローカル エリア ネットワークおよびワイド エリア ネットワークと、テレフォニーを監督しています。 ユタ州、ニューメキシコ州、アリゾナ州、ネバダ州に配置された 34 か所の支店に渡る 500 人の職員と 170,000 人の組合員を、4 人の人員とともにサポートしています。 堅牢なネットワーク製品と強力なセキュリティ アクセス ソリューションを採用することで、さまざまな Cisco^® のネットワーク製品に渡る大規模なサービスを少人数で実現しています。 「シスコ製品は快適です。 シスコを採用している最大の理由は、この快適さです。 当組合での課題に対応できる機能を備えたシスコ ソリューションの実装を、Mountain States Networking 社のチームが支援してくれました。 多くの組合員および職員をサポートする金融機関として、人に応じた適切な情報アクセスを提供すると同時に、不正な人物を侵入させないことが重要です。 これには、Cisco Secure Access Control Server（ACS）3.1 と CiscoWorks VPN/Security Management Solution（VMS）2.1 が対応してくれます。」

在宅勤務の実現、認証アクセス経由での管理性の向上、無線で自由に移動できる技術者、侵入検知により、Mountain America は先進的な業務手法だけでなく、業務を行うために、また、信用組合員の資産および情報の保護のために最新のテクノロジーを採用しました。

在宅勤務： 自宅にいながら Mountain America へ

効率的な新しい業務手法を見いだすことに加えて、サービス レベルを維持することもコスト低減の 1 つです。 金融機関を含むあらゆる事業において、在宅勤務が重要な新手段になることが判明しつつあります。 Mountain America が成長するにつれて、事務所に空きがなくなりはじめました。 同時に、組合員に最善のサービスを提供するには経験の豊富なコールセンター職員を確保しておく必要があると、経営陣は認識していました。 一般に、金融サービス業におけるコールセンター職員の離職率は高くなっています。 Mountain America の多くのコールセンター エージェントには、ネットワーク経由で自宅から仕事ができるという特典が与えられています。 Mountain America の事務所の空間や運用コストの節約につながるだけでなく、経験豊富なコールセンター エージェントを定着させるための大きな刺激策になっています。 Mountain America には、現在、ユタ州全域に 40 人の在宅勤務者がいて、組合員へのサービスを自宅から提供しています。

Mountain America のネットワーク チームにとって、コールセンター エージェントの在宅勤務はアクセス上の課題になりました。 金融機密データを不正アクセスから保護すると同時に、必要な情報をコール エージェントおよび組合員が得られるように、安全で信頼性のあるユーザ アクセス方法を見つけて、分散されたリモートのコール エージェントをサポートする必要がありました。 Mountain America の答えは、Cisco Secure Access Control Server（ACS）でした。

Cisco Secure ACS は、スケーラブルでパフォーマンスに優れた、中央集中型のユーザ アクセス制御フレームワークです。 これにより、コールセンター エージェントの認証、許可、アカウンティングに必要な中央集中型のコマンドおよび制御を、Web ベースのグラフィカル インターフェイスから利用できるようになったので、Mountain America では、これらの制御を必要な場所に分散できました。Carsey 氏は、ACS について次のように述べています。 「ソリューションに手間を掛ける時間はありません。 私のチームでは、セットアップと保守が簡単な製品を求めていました。 選ばれたのは、ACS でした。」

設定のセキュリティ

ネットワーク全体の安全性において、レイヤ 2 およびレイヤ 3 の設定が重要になることが多くあります。Mountain America も例外ではありませんでした。 スイッチおよびルータへのアクセスを保護し、ユーザや処理の履歴を示すことができるソリューションを必要としていました。 同じ Cisco Secure ACS フレームワークを使用して、ネットワーク内にあるすべてのスイッチおよびルータの管理者アクセスと設定を制御することに決めました。

Cisco Secure ACS は、ユーザ名およびアクセス時間を記録し、指定されたログレベルに応じて、それぞれのスイッチおよびルータの設定にどんな変更が加えられたかを正確に管理者に示します。

Mountain America における Cisco Secure ACS の無線化

生産性を向上したりコストを低減する方法を探すうちに、Mountain America は、システム管理者がユーザのデスクトップ環境または接続に関して修復またはアップグレードを行う際、必ず 2 つの選択肢があることに気づきました。 該当するデスクトップに対してリモートから作業する場合と、ユーザのデスクトップで修復およびアップグレードを直接行う場合です。 どちらのアプローチにも制約がありました。 リモートからの修復では、ユーザとの電話に長時間かかり、正しい情報が得られない場合が多くありました。 デスクトップでの直接作業では、多くの場合、管理者セッションの間、ユーザが業務を中断する必要がありました。 どちらも受け入れ難いソリューションでした。

正しいソリューションとは、管理者がユーザの近くで作業しながら自分のコンピュータにアクセスできる一方で、ユーザのデスクトップは占有しないソリューションでした。 この答えは無線でした。Mountain America では、Lightweight Extensible Authentication Protocol（LEAP）の採用を決めました。 LEAP は、802.1X 無線 LAN 安全認証プロトコルの 1 つで、RADIUS と各クライアント間の相互認証をサポートしています。 ネットワーク攻撃を緩和するために、ユーザ単位およびセッション単位の動的 Wired Equivalent Privacy（WEP）キーが拡張されているので、標準 802.11 のセキュリティ制限が解消されています。 Mountain America では、Cisco Aironet 350 アクセス ポイントを設置し、認証および許可される各無線クライアントに Cisco Aironet 350 クライアント アダプタを取り付けました。 ネットワーク側には、無線アクセスを認証する Cisco Secure ACS フレームワークが導入済みでした。

Mountain America の技術者は、建物全域で作業できるようになったので、自分の作業環境を持って、支援の必要なユーザの場所へ向かいます。 Cisco Secure ACS 対応の LEAP を導入したことにより、問題の発生場所でユーザから正しい情報を得られ、ユーザのダウンタイムが短縮されたと同時に、修復時間も短縮され作業内容が向上しています。

セキュリティ層の追加： 侵入検知

Mountain America が侵入検知の設置を決めた理由について、Carsey 氏は笑いながら次のように述べています。「当組合が金融機関だからです。 州契約の信用組合は、州の金融規制部門であるユタ州の Department of Financial Institutions によって統制されています。 組合員情報を保護し、NCUA（National Credit Union Association）ガイドラインに適合できるように、さまざまなシスコ製品によって侵入検知を拡張しています。」

Mountain America では、外部トラフィックを監視する 1 台の Cisco IDS 4210 Sensor と、Mountain America の内部トラフィックを監視する複数の Cisco IDS 4235 Sensor を設置しました。 このネットワーク IDS アプライアンスは、ステートフル パターンの認識、プロトコル解析、学習的検出、異常検出などの、きわめて革新的で高機能な検出技術に基づき、トラフィックをスキャンして不審なシグニチャを特定します。

Mountain America では、CiscoWorks VPN/ Security Management Solution（VMS）2.1 を IDS と組み合わせて使用しています。VMS 2.1 は、セキュリティ上の脅威に関する保護および報告を提供します。 VMS の Management Console からは、シスコのシグニチャ データベースに基づいて、特定の動作またはシグニチャへの対処方法がアプライアンスに指示されます。また、アラームの重大度が、低、中、または高であるかが示されます。 これにより、管理者はアラームを評価し、重大度の変更、TCP リセットによるトランザクションまたは発生のブロック、ロギングおよび再通知の選択など、対処方法を決断することができます。 Mountain America では、IDS センサの設定および管理に CiscoWorks VMS を使用して、よい結果が得られました。 Carsey 氏は次のように述べています。「CiscoWorks VMS を使用した結果は際立っていました。 まず、外部のトラフィックをトラッキングしたセンサの管理に使用したところ、大成功だったので、内部にも実装し始めています。 多くの製品を検討しましたが、CiscoWorks VMS には明らかな違いが見られました。 チーム内のだれでも速やかに確認できるように、すばやく報告される製品を必要としていましたが、CiscoWorks VMS ならこれを処理してくれます。」

Carsey 氏は次のようにも述べています。「CiscoWorks VMS では、IDS センサの設定と監視に加えて、ハードウェア インベントリに関する詳細情報も示されます。 ここでは、140 ～ 150 台ほどの数多くのシスコ デバイスを使用していますので、1 つの変更が連鎖的に影響します。 複数の担当者が変更を加えるので、これらの変更を後から確認できないとすれば、どこを調べればよいかが不明になり、問題のトラブルシューティングはほとんど不可能です。 VMS の Resource Manager Essentials（RME）コンポーネントに搭載されている Change Audit 機能を使用すると、ネットワーク デバイスに加えられるすべての設定変更を自動的にトラッキングできます。また、変更者、変更内容、日時、変更方法を一元的に記録できます。 これにより、私のチームでは、集中管理を維持し、ネットワーク内のあらゆる事項を確認することが可能になっています。」

人に応じた適切なアクセスが提供されると、企業が成長する

Carsey 氏は、シスコ製品を使用して、少人数作業の効率を最大化するとともに、数百人の職員および数千人の組合員にわたって徹底したセキュリティ ポリシーを提供しています。 「34 か所の支店とそのすべての組合員のネットワーク セキュリティを、手動で設定、展開、および保守し、一貫性を維持することは現実的ではありませんでした。 特に、金融データを扱うので、ネットワーク要素全体にセキュリティ管理を統合する必要がありました。Mountain America の組合員の資産を保護する必要があるからです。 信用組合の健全性にとって、ネットワークにアクセスする人としない人に関する一貫したポリシーが重要です。 シスコ製の安全なネットワーク管理ツールを使用すると、すばやく、簡単かつ効率的に作業できます。」

情報にアクセスできる人とできない人を制御することで、Mountain America は業務上大きな利点を得ることができました。 Cisco Secure ACS によって制御されたリモート アクセスでは、事務所の空間が節約され、40 人の在宅勤務者を満足させています。 また、ACS によってレイヤ 2 およびレイヤ 3 のデバイスの設定者と実行された操作内容が監視されて、Mountain America のインフラストラクチャが保護されています。これにより、問題の発生に至る前に、設定ミスがすばやく発見されます。 Cisco Secure ACS によって、Mountain America のネットワークは保護されます。 アクセスが監視されている分、技術者および管理者が解放されるので、ユーザのデスクトップ システム、Mountain America のアプリケーション インフラストラクチャなどに発生している、他の重大な問題に対処できることがわかっています。 CiscoWorks VMS の侵入検知機能では、Mountain America のネットワークから不正ユーザが排除され続けます。Carsey 氏は次のように結論づけています。「Cisco Secure ACS と CiscoWorks VMS を組み合わせると、当組合のような金融ネットワークの管理に必要な柔軟性と優れた安全性が提供されるだけでなく、全組合員に安心感が行き渡ります。」