ホワイト ペーパーワイヤレス LAN のセキュリティ保護およびワイヤレスの脅威防御のための 5 ステップワイヤレス LAN(WLAN)はあらゆる規模の企業にとって、高い生産性と従来にない効率性を生み出します。WLAN の機能および能力の向上により、組織はセキュリティを低下させることなく、ワイヤレスの利点を従業員に提供することができます。適切に展開された WLAN は、有線ネットワークと同レベルのセキュリティで保護されます。このホワイト ペーパーでは、安全な WLAN インフラストラクチャを構築するための 5 つのステップについて説明します。 課題WLAN は企業内と企業外の両方で、かつてない生産性と自由を実現しました。バックオフィス(在庫管理、モバイル印刷、POS 端末)およびフロントオフィス(電子メール、インターネット アクセス、および Voice over WLAN やロケーション トラッキングなどの高度なサービス)のアプリケーションの多くが、ワイヤレス接続に依存しています。しかし、生産性が向上する一方で、セキュティに対する新たな課題が生じています。無線信号はその仕様により、組織の物理的境界を越えて伝搬するため、組織内部は安全であるという従来の概念が通用しません。セキュリティ保護されていない WLAN の信号が企業ネットワークの外部に流れ、未認証の社員や悪意のあるハッカーによって発見されて、悪用される可能性があります。ワイヤレス メディア固有の特性もありますが、WLAN の本質的なセキュリティ対策は、強力な有線セキュリティを構築するために必要な対策とほとんど同じであり、IT 管理者は適切な WLAN セキュリティ対策を採用することで企業のプライバシーを維持できます。 WLAN メディア自体をセキュリティ保護するための技術については認識している IT 管理者でも、WLAN のセキュリティだけで組織を完全に保護することはできないと知って驚く場合があります。企業が認定 WLAN を使用しているか「Wi-Fi なし」ポリシーを使用しているかどうかにかかわらず、有線の企業ネットワークがワイヤレスの「脅威」に対して持っている脆弱性について、認識しておくことが重要です。最も一般的なのは不正なアクセス ポイントです。仕事熱心な従業員が、危険に気付かないまま、接続速度を向上させるために独自の(多くの場合は消費者グレードで低コストの)アクセス ポイントを部署内で設定していることがあります。こうした不正アクセス ポイントはファイアウォールの内側にあり、従来の侵入検知システムや侵入防御システム(IDS/IPS)では検知されません。信号の範囲内にいるすべてのユーザが、企業ネットワークに接続してアクセスできます。 こうした状況を複雑にしているのが、屋内および屋外でネットワークにアクセスする必要があるモバイル ワーカーの存在です。従業員は、普段から自宅、ホテル、空港などのワイヤレス ホットスポットを使って仕事をしています。これらの「管理されていない」場所が、企業ネットワークに対する脅威、つまりノート PC からウィルス、スパイウェア、マルウェアが侵入する脅威の入り口になる可能性があります。ワイヤレス クライアントが、ユーザの知らないうちにワイヤレス アクセス ポイントや他のワイヤレス クライアントに接続して、問題を悪化させることもあります。 ソリューションCisco® Self-Defending Network(SDN; 自己防衛型ネットワーク)戦略は、ネットワークがセキュリティの脅威を自動的に識別、阻止し、脅威に対処する能力を大幅に向上させることにより、ワイヤレス テクノロジーによって生じるセキュリティの新たな脅威を防御します。この戦略の一部である Cisco Unified Wireless Network は、有線ネットワークをワイヤレスの脅威から保護し、認定 WLAN の安全なプライベート通信を可能にするための包括的ソリューションを提供します。ネットワーク内のすべてのデバイス、つまりアクセス ポイントに接続するクライアントからワイヤレス コントローラおよび管理システムまでが、分散防御をとおしてワイヤレス ネットワーク環境をセキュリティ保護するための役割を担います。 モバイルという特性により、セキュリティに関してはマルチレイヤのアプローチが必要です。シスコシステムズでは、ワイヤレスの脅威によるネットワークのリスクを軽減するために、次の 5 ステップ アプローチを推奨しています。
ここでは、WLAN リンクを介した不正使用から有線およびワイヤレスのネットワークをセキュリティ保護するために、5 つの領域のベスト プラクティスを解説します。これらのプラクティスは、企業独自のリスク管理プロセスに照らして有効性を確認し、強力なセキュリティの実装によって補完する必要があります。それにより、リソースの不正使用、盗用、および顧客やパートナーにおける企業の評判低下による損害から、企業を保護することができます。企業のネットワーク セキュリティ ポスチャの包括的な評価については、Cisco Advanced Services コンサルタントが業界のベスト プラクティスを参照して分析し、組織にとって脅威となり得る脆弱性を識別します。詳細な分析に基づいて、全体的なネットワーク セキュリティを向上させるための方法を推奨し、改善策の優先順位を指定します。これらは、強力なアクセス コントロールおよびセキュリティ ポリシーによって補完する必要があります。 WLAN セキュリティ ポリシーの作成有線アクセスに対して作成されているセキュリティ ポリシーと同様に、許可される使用およびセキュリティに関するワイヤレス ポリシーの文書化が最初の一歩として必要です。取り上げる必要がある各セクションについて、使用可能なテンプレートが多数、すでに用意されています(たとえば、http://www.cwnp.com/templates/WLAN_Security_Policy_Template_v1.05.pdf (英語)を参照してください)。一般に、セキュリティ ポリシーのドキュメントには次のセクションが含まれます。
セキュリティ ポリシーを作成する前に、詳細な調査を行うことが不可欠です。セキュリティ侵犯の原因がセキュリティ ポリシー実装時の見落としや誤りにある場合は少なくありません。以下のセクションでは、WLAN セキュリティ ポリシーに組み込む必要があるベスト プラクティスについて説明します。 WLAN のセキュリティ保護WLAN の展開は、近年大幅に増加しました。会議室におけるゲスト アクセスから、企業内の限定された「ホット」ゾーン内でのアクセスへ、そして企業全体を対象としたものへと拡大しています。残念ながら、こうした展開の多くはセキュリティで保護されていないため、好奇心の強い、または悪意のあるハッカーが機密情報にアクセスできる機会を与えることになっています。WLAN をセキュリティ保護することは難しいことではありません。テクノロジーの進化と Cisco Unified Wireless Network により、従来よりも簡単になっています。ネットワークのセキュリティ保護は、シスコの自己防衛型ネットワーク戦略の拡張に基づくものです。これは、通信のセキュリティ保護、脅威の管理と抑制、ポリシーおよび準拠性の管理という 3 つの主要項目から成ります。これらの 3 つの領域を考慮して、Cisco Unified Wireless Network をセキュリティ保護するためのベスト プラクティスには、以下が含まれます。 通信のセキュリティ保護通信のセキュリティ保護のためには、データ暗号化とネットワークに対するユーザ認証の両方が要求されます。有線ネットワークと同様にワイヤレス ネットワークでも、この 2 つの要素は必ずしも結合している必要はありません。しかし、シスコでは、ほとんどのネットワークでこの両方を使用することをお勧めします。ホットスポットやゲスト ネットワークなどは例外ですが、これらについては後で説明します。さらに、ワイヤレス メディア固有の特性に対しては、他のセキュリティ技術も採用してネットワークを防御する必要があります。 デフォルトの SSID の変更アクセス ポイントには「tsunami」、「default」、「linksys」など標準のネットワーク名が付けられ、アクセス ポイントの可用性をアドバタイズするためクライアントにブロードキャストされます。この設定は、インストールの直後に変更する必要があります。アクセス ポイントの Service Set Identifier(SSID)を変更するときは、会社に直接関係しない名前を選択してください。会社の名前、電話番号、または会社に関連して簡単に推測したりインターネットで検索できる情報は使用しないでください。アクセス ポイントはデフォルトで、範囲内のすべてのワイヤレス クライアントに SSID をブロードキャストします。ホットスポットやゲスト ネットワークなどの一部のアプリケーションでは、この機能があるためにユーザは自分でネットワークを見つけることができます。しかし、企業ネットワークでは、オープンなワイヤレス ネットワークを探しているユーザを制限するために、ブロードキャストを無効にする必要があります。 Cisco Unified Wireless Network を使用すると、すべてのクライアントに対して、アクセスの試行をオペレータが設定した回数に制限できます。その制限内でアクセスできなかったクライアントは、オペレータが設定したタイマー期限まで、自動的に除外されます(アクセスがブロックされます)。オペレーティング システムによって SSID のブロードキャストを WLAN 単位で無効にすることで、偶然にスヌーピングされる機会をさらに減少させることもできます。 強力な暗号化の使用WLAN を展開する上での最も大きな障害の 1 つは、脆弱なスタンドアロン暗号化方式である Wireless Equivalent Privacy(WEP)暗号化でした。また、アドオン セキュリティ ソリューションの複雑さのために、多くの IT 管理者が WLAN セキュリティの最新機能を利用していませんでした。Cisco Unified Wireless Network では、セキュリティ コンポーネントをシンプルな Policy Manager にまとめ、システム全体のセキュリティ ポリシーを WLAN 単位でカスタマイズすることができます。簡単なクライアント接続を可能にするために、一般的に製造業者は、アクセス ポイントに対して Over-the-Air 暗号化を構成していません。展開後にこれを構成することは忘れがちであり、WLAN がハッキングされたり不正使用される手段として多用されています。したがって、展開後すぐに Over-the-Air セキュリティ方式の構成を行う必要があります。シスコでは、最も安全な Over-the-Air 暗号化である IEEE 802.11i または VPNを使用することをお勧めします。 IEEE 802.11i は、アクセス ポイントが Wi-Fi Alliance によって確認されるときは Wi-Fi Protected Access 2(WPA2)と呼ばれ、データ暗号化用の Advanced Encryption Standard(AES; 高度暗号化規格)を使用します。AES は、現時点で最も高度な暗号化規格であり、WEP に代わるものです。可能な限り、WPA2 の AES を利用してください。その前身である WPA は、802.11i 規格が承認途中であったときに Wi-Fi Alliance によって認定された暫定的なセキュリティ方式です。WPA は、暗号化のための Temporal Key Integrity Protocol(TKIP)を使用します。TKIP は Over-the-Air セキュリティを大幅に向上させた暗号化形式であり、また、従来の 802.11b クライアントからのアップグレードが可能であるため、お客様の投資が保護されます。AES は強力な暗号化方式ですが、TKIP が「クラッキング」されたことがないことも注目に値します。WPA は次善の暗号化規格として推奨されるもので、アップグレード可能な古いネットワークのクライアントがある場合に使用してください。WEP から TKIP にアップグレードできないクライアントをセキュリティ保護するための代替策については、「特定ビジネス クライアントのための代替セキュリティ戦略」のセクションで説明します。 メモ:802.11i 規格、WPA2、および WPA は、固有のローテーション暗号キーを各クライアントに提供するために、RADIUS サーバを使用する必要があります。Cisco Unified Wireless Network は Cisco Secure Access Control Server(ACS)、および他の製造業者から供給されている 802.11i および WPA 準拠 RADIUS サーバとの相互運用性が確保されています。さらに、IEEE 802.11i 機能を有効にするためにサードパーティのソフトウェアを必要とする他のクライアントと異なり、シスコのクライアントは、安全な WPA または WPA2 モードで Cisco Unified Wireless Network インフラストラクチャに接続できる状態で出荷されています。重要な点として、WPA2 および WPA のパーソナル バージョンは RADIUS サーバを必要としません。そのため、家庭またはスモール オフィス/ホーム オフィス(SOHO)の実装用として推奨されます。 Cisco Compatible Extensions プログラムは、広範な WLAN クライアント デバイスがシスコの WLAN インフラストラクチャ製品の革新的機能と連携し、こららの機能をサポートします。その結果、多くの種類のクライアント デバイスを対象とする WLAN でも、IT 管理者は確実に WLAN を展開することができます。Cisco Compatible Extensions は、ワイヤレス ネットワークで必要なエンドツーエンド性能、RF 管理、Quality of Service(QoS)、およびセキュリティ機能を実現する重要な取り組みです。このプログラムで提供される主なセキュリティ強化機能には、シスコの LEAP、Protected Extensible Authentication Protocol(PEAP)、Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)認証モードのほか、Voice over WLAN など遅延が問題になるアプリケーションでキー キャッシングを使用する安全な高速ローミングなどが含まれます。これらの機能の中には、時間の経過に伴ってすでに規格団体によって承認されたものもあり、シスコではそれらが承認された段階で提供してきました。 クライアントの機能は全体的なネットワーク セキュリティにとって不可欠であるため、シスコは Cisco Compatible Extensions プログラムにおいて Intel と緊密なコラボレーションを行っています。戦略的なアライアンス パートナーである Intel は、多くのノート PC で採用されている Centrino Mobile テクノロジーで Cisco Compatible 状態を達成しています。Acer、Dell、富士通、IBM、HP、東芝などの主要なノート PC サプライヤが Cisco Compatible のノート PC を提供しています。Cisco Compatible Extensions プログラムに含まれる製品の完全な一覧については、http://www.cisco.com/go/ciscocompatible/wireless (英語)を参照してください。 クライアントとネットワーク間の相互認証の導入元の 802.11 規格に欠けていたもう 1 つの重要な機能は、ネットワークとクライアントの間の相互認証でした。WPA および IEEE 802.11i のリリースにより、この機能も導入されました。これらのプロトコルはいずれも、クライアントとネットワーク間の相互認証に IEEE 802.1X を使用します。 特定ビジネス クライアントのための代替セキュリティ戦略クライアントのバージョンが古い、またはドライバに機能がないなどの理由で 802.11i、WPA2、または WPA 暗号化および認証方式を利用できない場合、Over-the-Air クライアント接続をセキュリティ保護するための次善のソリューションは VPN です。複数の SSID および VLAN(後で説明します)を使用するネットワーク セグメンテーションと VPN を組み合わせることで、さまざまなクライアントを持つネットワークに対する堅牢なソリューションが実現します。IP Security(IPSec)および Secure Sockets Layer(SSL)VPN は、802.11i および WPA と同レベルのセキュリティを提供します。シスコ ワイヤレス LAN コントローラが IPSec VPN トンネルの終端に置かれ、中央集中型 VPN サーバの潜在的ボトルネックを排除します。さらに、Cisco Unified Wireless Network はサブネット間の透過的なローミングをサポートしているため、ワイヤレス Voice over IP(VoIP)や Citrix などの遅延が問題になるアプリケーションで、ローミング時に遅延が長いことによって接続が失われることがありません。 これらの方式がいずれも利用できない場合は、WEP を構成してください。WEP はインターネット上で利用可能なツールによって簡単に破られることが知られていますが、少なくとも偶然のスヌーピングに対しては効果があります。前述の VLAN に基づくユーザ セグメンテーションと組み合わせれば、WEP はセキュリティ リスクを大幅に軽減します。シスコの WLAN ソリューションはローカルおよび RADIUS MAC フィルタリングもサポートしています。これは、802.11 アクセスカード MAC アドレスの既知の一覧を使用する小規模のクライアント グループに最適です。この方式を利用するときは、より強力なセキュリティ方式を実装するためのプランをただちに作成する必要があります。 どのワイヤレス セキュリティ ソリューションを選択した場合でも、Lightweight Access Point Protocol(LWAPP)で動作する Cisco Aironet® アクセス ポイントとシスコ ワイヤレス LAN コントローラ間のレイヤ 2 有線通信は、LWAPP トンネルを介してデータを渡すことでセキュリティ保護されます。また、追加のセキュリティ対策として、認証の失敗回数がオペレータの設定数に達した後、無効化によってレイヤ 2 アクセスが自動的にブロックされます。 アイデンティティ ネットワーキングを使用したユーザの適切なリソースへの分割WLAN ネットワークには、異なるタイプの多数のユーザがアクセスします。発注管理者は発注入力および出荷システムにアクセスする必要があり、会計および財務担当者は受取勘定や支払勘定などの会計システムにアクセスする必要があります。また、マーケティングおよび販売チームは販売実績データにアクセスすることが考えられます。Cisco Unified Wireless Network は、アイデンティティ ネットワーキングをサポートしています。これは、ワイヤレス クライアントの物理的な場所ではなく、そのアイデンティティに基づいて、WLAN ポリシーを割り当て、適用する概念です。アイデンティティ ネットワーキングを使用すれば、ワイヤレス デバイスは WLAN システムで 1 回認証されるだけで済みます。ローミング時にもコンテキスト情報はデバイスに付随するため、透過的なモビリティが実現します。WLAN が特定の VLAN に関連付けられている場合、ユーザはその VLAN 上にあるネットワーク リソースにのみアクセスすることができます。たとえば、荷受け部署の社員が「receiving」という SSID を使用してワイヤレス ネットワークにアクセスすると、電子メールおよび Enterprise Resource Rlanning(ERP)システムにのみアクセスすることができます。経営管理者が「corp」という SSID を使用してワイヤレス ネットワークにアクセスした場合は、財務、顧客、および販売のデータベース情報にアクセスできます。これらの SSID はいずれも、強力な 802.11i または WPA 暗号化をサポートしています。 多くの企業では、出荷および荷受けにおいて在庫管理にバーコード スキャナを使用していたり、製造フロアでモバイル プリンタを使用しています。また、Voice over WLAN が普及するにつれて、Wi-Fi 電話が増加しています。こうした種類のデバイスは、最新の強力な 802.11i または WPA セキュリティをサポートしておらず、脆弱な WEP 暗号化を使用しています。これらのデバイスも WEP をサポートしている特定の SSID に集約し、デバイスが関連付けられた特定のデータベースまたはアプケーションにのみアクセスできる VLAN に、この SSID でトラフィックをルーティングすることができます。このようにセットアップし、暗号キーを頻繁に変更し、さらに MAC アドレス制御リストを使用することで、潜在的なセキュリティ リスクを軽減できます。 最後に、多くの企業は、ゲスト、パートナー、およびお客様が自身の場所からインターネットにアクセスできるようにしたいと考えています。ワイヤレス ゲスト ネットワークは、IT 担当者が個々のユーザを承認しなくてもアクセスを許可できる簡単な方法です。ゲスト ネットワークは、オープン セキュリティ方式を使用します。この方式では、公共のインターネットにのみアクセスできる VLAN にトラフィックをルーティングする特定の SSID によって識別されます。この場合の SSID は一般的なブロードキャストであり、ゲストは独力で見つけることができます。ユーザ ログインはポータル Web ページを介して行うことができ、使用状況は監査され、ゲストがサービスを利用するためには条件に同意する必要があります。 管理ポートのセキュリティ保護WLAN システムの管理インターフェイスは、セキュリティ保護された、認証形式の管理方法をサポートしている必要があります。管理ポートを介してアクセス ポイントを再構成することは、ハッカーが企業ネットワークにアクセスする際に用いる 1 つの手段です。Cisco Unified Wireless Network は、Cisco Wireless Control System(WCS)に対して、Simple Network Management Protocol Version 3(SNMPv3; 簡易ネットワーク管理プロトコル バージョン 3)、Secure Shell(SSH; セキュア シェル)Protocol(セキュア Web)、および SSL(セキュア Telnet)インターフェイスをサポートしています。さらに、Cisco WCS は Over-the-Air では管理できない構成になっており、別の管理 VLAN をサポートして特定の VLAN 上のステーションだけが WLAN ネットワーク設定を変更できるようにしています。 Light Weight アクセス ポイント ソリューションによるネットワーク侵害の阻止シスコの Light Weight アクセス ポイントは、暗号化などのセキュリティ情報をローカルで保存しません。そのため、アクセス ポイントが盗用されても、ネットワークが侵害されることはありません。また、すべてのアクセス ポイントは自動的に X.509 証明書で認証されるため、未承認のアクセス ポイントをネットワークに追加することはできません。改ざんに備えてアクセス ポイントをセキュリティ保護し、RF 範囲が勝手に変更されないようにする必要があります。可能であれば、吊り天井の上に設置して隠し、アンテナだけが見えるようにしてください。この種の設置を可能にするために、シスコの Light Weight アクセス ポイントは Kensington 製のロック インターフェイスと接続アンテナをサポートしています。 外部の建物および場所の監視アクセス ポイントの信号は、ほとんどの建物でその外部にまで届きます。したがって、駐車場に停めてある車、または通りを隔てた場所にある建物の内部から、接続することが可能です。セキュリティ装置または監視ビデオが設置してあれば、施設の近くに長時間留まっている様子のある車両や人物に注意するように、セキュリティ担当者は警戒する必要があります。Cisco Unified Wireless Network は、特許出願中の Cisco Radio Resource Management(RRM)アルゴリズムを使用しており、エア スペースの変化をリアル タイムに検知してそれに対処します。Cisco RRM を使用すると、建物の物理的境界を越える RF の伝搬を軽減することができます。 ワイヤレスの脅威に対する有線ネットワークのセキュリティ保護シスコの自己防衛型ネットワーク イニシアティブの 2 番目の項目は、脅威の管理と抑制です。これは、ワイヤレス ネットワークと有線ネットワークの両方に当てはまります。他のセキュリティ ポリシーと同様に、脅威に対して従業員に警告するだけでは一般的に不十分です。わかりやすい例として、送信元が不明な電子メールの添付ファイルは開かないようにというアンチウィルス ポリシーが挙げられます。ほとんどの企業は、警告だけに頼ることはできません。1 つの間違いがネットワークに大きな損害を与え、さらには長時間のダウンタイムや生産性の多大な損失につながる可能性があります。 同様に、ワイヤレスの脅威の管理と抑制も重要です。特に、脅威の管理を欠いた場合に規則または法律に違反するような領域では注意が必要です。「Wi-Fi なし」ポリシーであっても、こうした脅威に対するセキュリティは保証されません。従業員によって不正なアクセス ポイントが設定されたり、Wi-Fi が組み込まれたノート PC が隣接ネットワークに接続することが考えられます。いずれの脆弱性もウィルス、ワーム、およびスパムと同程度に現実的であり、それらがもたらす脅威も同じように大きなものです。この種の脅威は Over-the-Air で発生するため、ファイアウォールや VPN などの従来の有線セキュリティ方式では検知できませんが、Cisco Unified Wireless Network はこれらの発生を能動的に監視および阻止するように設計されています。 脅威の管理と抑制統合型のワイヤレス侵入防御 Cisco Unified Wireless Network では、アクセス ポイントがエア モニタおよびデータ転送デバイスとしても機能します。このセットアップにより、アクセス ポイントでは Cisco Wireless LAN コントローラに対する潜在的なセキュリティの脅威など、ワイヤレイ ドメインに関するリアルタイム情報を、サービスを中断することなく通信します。セキュリティに対するすべての脅威は迅速に識別され、Cisco WCS を介してネットワーク管理者に提示されます。そこで正確な分析を行い、対策を講じることができます。 「Wi-Fi なし」ポリシーを採用している企業であれば、Cisco Unified Wireless Network を最初はスタンドアロン ワイヤレス IPS として展開し、後から再構成して WLAN データ サービスを追加する方法があります。この場合は、ネットワーク管理者が RF ドメインの周囲に「防御シールド」を作成して、WLAN サービスを展開する準備ができるまで不正なワイヤレス アクティビティを封じることができます。シスコシステムズでは、ワイヤレス保護と WLAN サービス配信を同時に提供する WLAN システムだけを提供しておリ、不要なオーバーレイ装置コストや追加の監視デバイスを必要としない総合的な WLAN 保護を実現します。 ロケーション トラッキングによる不正なデバイスの完全な排除 ワイヤレスの脅威を完全に排除するには、不正なデバイスを物理的に取り除く必要があります。従来は、不正なデバイスを調査するエリア全体に対してハンドヘルド アナライザを使用していました。しかし、ワイヤレスの伝搬はかなり遠くまで広がるため、この方法は特にフロアが複数ある場合に時間がかかりすぎることがあります。Cisco WCS とともに Cisco Location Appliance ソリューションを利用すると、Radio Frequency Identification(RFID)タグ、Voice over Wi-Fi 電話、ノート PC、Personal Digital Assistant(PDA)など、最大 1,500 台の Wi-Fi 対応デバイスを正確に追跡することができます(図 1)。「正確に」とは、場所を定義するユニークな能力を指しており、資産またはデバイスを「中」または「外」のいずれかに指定します。場所は、キャンパス全体、1 つの建物、建物内の 1 フロア、またはフロア内の部屋や小さく区切ったエリアを選択できます。数メートル以下のトラッキング能力があるため、IT 管理者は不正なアクセス ポイントやクライアントとその正確な場所を即座に検知することができます。 
図 1 Cisco Location Appliance と Cisco WCS による不正なアクセス ポイントおよびクライアントの正確なロケーション トラッキング 外部の脅威からの企業の保護現代の企業にとって、境界は 1 つではありません。モバイル デバイスとブロードバンド アクセスの普及により、自宅、ホテル、空港など、あらゆる場所から企業に接続する在宅勤務者やモバイル ワーカーが出現しました。これらのモバイル デバイスはオフィスから離れた場所にありますが、ウィルス、ワーム、スパイウェアなどのセキュリティの脅威からネットワークを保護する必要があることに変わりはありません。こうしたセキュリティの脅威はビジネスを中断させ、ダウンタイムや絶え間のない修復作業を引き起こします。ポリシーおよび準拠性の管理は、ネットワークの完全性を維持するためにマルウェアを事前に監視して検疫する上で、シスコ自己防衛型ネットワーク戦略の最後の柱です。準拠性プログラムには、システムおよびネットワーク ポリシーの違反が発生したことを知らせるためのモニタリングを含む必要があります。これがないと、IT 管理者はセキュリティ ポリシーが適用されているかどうかわかりません。 ポリシーおよび準拠性の管理モバイル デバイスに対する企業ネットワーク同様のセキュリティ サービスの提供 ノート PC では特に、企業ネットワークと同じ保護が必要です。ファイアウォール、VPN、およびアンチウィルス ソフトウェアは、これらのデバイスがインターネットに接続するときに直面する多くの脅威からデバイスを保護します。Cisco Security Agent などのツールは、ファイアウォール、侵入防御、スパイウェアおよびアドウェアの防御、その他のエンドポイント セキュリティ機能を、単一のエージェント内に統合しています。Cisco Security Agent は署名の一致に頼るのではなく動作を分析するため、更新しなくても新たな攻撃を食い止めることができます。この「ゼロ更新」アーキテクチャは、低い運用コストで保護を実現し、「Day Zero」脅威を識別できます。基本的に、Cisco Security Agent ではセキュリティ ポリシーを個々のエンドポイントで適用することができます。 企業ネットワークと同様に、アクセス コントロールのためのユーザ認証およびデータ暗号化によってセキュリティ対策は大幅に強化されます。ユーザ認証にはパスワード、USB トークン、またはスマート カードを使用します。この方法は一般的には有効ですが、ハード ディスクが取り外されて機密データにアクセスされる場合には効果がありません。そこで、暗号化が必要になります。ただし、暗号化を実用的なものにするためには、それが自動であり、ユーザに透過であることが必要です。ユーザがファイルごとに暗号化を有効にする必要がある場合は、人的なミスによって有効にされないことがあります。 Cisco NAC によるモバイル デバイスのセキュリティ ポリシーへのプロアクティブな準拠 ネットワークにアクセスを試みるすべての有線およびワイヤレス デバイスが企業のセキュリティ ポリシーを満たすようにするには、エンドポイントの可視性と制御が必要です。感染した、または脆弱なエンドポイントを自動的に検知、分離し、クリーンにする必要があります。 Network Admission Control(NAC; ネットワーク アドミッション コントロール)は、シスコシステムズが主導した業界イニシアティブの上に構築された、テクノロジーとソリューションのセットです。NAC はネットワーク インフラストラクチャを使用して、ネットワークのコンピューティング リソースにアクセスするすべてのデバイスに対してセキュリティ ポリシーへの準拠を強制し、ウィルス、ワーム、スパイウェアなどの脅威による被害を防止します。NAC を使用している企業は、セキュリティ ポリシーに準拠した信頼できるエンドポイント デバイスにのみネットワーク アクセスを許可し、準拠していないデバイスのアクセスを制限することができます。NAC はシスコ自己防衛型ネットワークの重要な要素です。 シスコは NAC に関して、企業のセキュリティ ポリシー要件がシンプルであるか、または多数のセキュリティ ベンダーが関係する複雑なセキュリティの実装をサポートする必要があるかに関係なく、あらゆる企業の機能および操作ニーズを満たすアプライアンスベースおよびアーキテクチャベースのアプローチを、企業用デスクトップ管理ソリーションと合わせて提供しています。 Cisco NAC Appliance(Cisco Clean Access)と Cisco NAC Framework はいずれも、WLAN をセキュリティの脅威から保護します。これらのソリューションでは、WLAN クライアントがネットワークにアクセスする際、デバイスに対してセキュリティ ポリシーへの準拠を強制するために、準拠していない WLAN クライアントを検疫し、準拠させるための修復サービスを提供します。どちらのソリューションも、Cisco Unified Wireless Network と相互運用できます。図 2 および図 3 は、Cisco NAC Appliance アーキテクチャと Cisco NAC Framework アーキテクチャを示しています。 
図 2 Cisco Unified Wireless Network 向けの Cisco NAC Appliance アーキテクチャ 
図 3 Cisco Unified Wireless Network 向けの Cisco NAC Framework アーキテクチャ ネットワーク保護への従業員の参加ソーシャル エンジニアリングがネットワークをセキュリティ保護する際の最も有効な手段であることは、珍しくありません。ほとんどの従業員にとって、リスクに気が付かない原因は教育の欠如です。たとえば、大半のユーザは、アクセス ポイントをイーサネットのジャックに差し込むという単純な行為が、企業ネットワークのセキュリティを脅かすことを認識していません。情報を伝えるポスター、セキュリティ ベスト プラクティスのトレーニング(パスワードの選択やプライバシーなど)といった従業員教育は、企業がその機密情報を保護してネットワークをセキュリティ保護する上で、効果的であることが実証されています。 まとめ企業を建物内の領域として厳密に定義することは、もはやできなくなりました。モバイル デバイスとテクノロジーの進化によって、仕事の形態が完全に変化し、企業内のあらゆる場所、自宅、空港、ホテル、その他の Wi-Fi ホットスポットから接続が行われます。この自由とともに、企業ネットワークにとっての新たな脅威が発生します。無線信号が壁を越えて伝搬し、デバイスが比較的安全な会社以外の場所に接続するようになるためです。セキュリティを維持するには、WLAN ポリシーを適切に文書化することが最初の一歩として必要です。WLAN をセキュリティで保護することは不可欠です。Cisco Unified Wireless Network では、レイヤ 1、2、および 3 を対象とし、迅速に展開できるシンプルなセキュリティ ポリシーを使用して、セキュリティを簡単に実装することができます。 現在、WLAN の計画がない場合でも、不正なアクセス ポイントおよびクライアントなどのワイヤレスの脅威を阻止することは重要です。こうした脅威はネットワークに穴を開け、ハッカーや機密情報の盗用、企業の評判に対する損害、財政および法律上の不利益を発生させることがあります。Cisco Unified Wireless Network は、最初はワイヤレス IPS ソリューションとしてセキュリティで保護して展開し、後から WLAN サービスに発展させることができます。 信頼されない環境内のモバイル デバイスは、新たな脅威の入り口になる可能性があります。Cisco NAC はモバイル デバイスがセキュリティ ポリシーに準拠しているかどうかを事前にチェックし、必要な場合は修復を行い、準拠するまでネットワークへのアクセスを阻止します。最後に、継続的なトレーニングおよび教育をとおして、従業員をネットワーク完全性の保護に参加させる必要があります。これらのステップをすべて実行すれば、ワイヤレスの脅威による WLAN のリスクは大幅に軽減されます。以下は、このホワイト ペーパーで解説した推奨ベスト プラクティスの要約チェックリストです。
|
 |
Guest
ワイヤレス LAN のセキュリティ保護およびワイヤレスの脅威防御のための 5 ステップ