はじめに

ウェビナーに参加 オファーを確認 競合比較

ユーザ、モノ、アプリケーションはあらゆる場所に存在し、絶えず移動しているうえ生活の利便性を高めるためにより一層「接続」されるようになりつつあります。ただし、ネットワーク接続への依存度が高まるにつれ、新しいアーキテクチャに対するニーズが生まれます。接続デバイスの数とデータ集約型アプリケーションの需要が増加し、ネットワークの脅威が増大する中、従来のネットワークでは環境の絶え間ない変化に対応できません。

ネットワークアクセスとインフラストラクチャは、どの組織にも欠かせないものです。重要な設計や財務文書の保存から、社内チームのコラボレーションやお客様とのやり取りに至るまで、すべての事業運営は、信頼性と拡張性に優れたセキュアなネットワークアクセスに依存しています。

変化のスピードは加速し続けています。そのため、組織はビジネスを行う方法だけでなく、そのための接続を適用する方法も変えなければなりません。お客様の期待が高まる中、中断のないワイヤレスネットワーク接続の重要性が高まり続けています。またそれに伴って、ネットワークに接続されたデジタル環境におけるインテリジェント ネットワークの必要性も高まっています。

ネットワークの変革

Gartner 社は、ネットワーキングをデジタル戦略の中核と考える企業の割合が、2023 年までに現在の 20% 未満から 60% 超にまで増加すると予測しています(1)。組織がイノベーションを促進して俊敏性を向上させるためにクラウド、モバイル、分析などのデジタルテクノロジーを取り入れると、ユーザエクスペリエンススという 1 つの重要な指標が明確な目標となります。(主にユーザエクスペリエンスを求める声に動かされて)戦略的目標を設定してデジタル化の先にあるデジタル トランスフォーメーションを実現すると、組織はビジネスを根本から変革して市場で競争上の優位性を得ることができます。

デジタルテクノロジーは、そのほぼすべてが本質的にネットワーク中心であるため、ネットワークはデジタルイニシアチブの戦略的なイネーブラとみなされます。目まぐるしく変化する予測不可能なビジネス環境では、デジタル トランスフォーメーションの成功を妨げることなくネットワークを迅速に変化させ、ビジネスのスピードに対応できるようにする必要があります。

企業は、増加し続ける膨大な数のユーザ、デバイス、およびアプリケーションを処理するためにネットワークを変革し、あらゆる種類の接続とセキュリティの課題に対応できるようにする必要があります。企業は、ネットワークのメリットと価値を活かすだけでビジネスの優先事項を推進し、カスタマーエクスペリエンスを向上させることができます。このように、デジタル トランスフォーメーションは新しいネットワーク プラットフォームの導入、つまりネットワークの変革に拍車をかけています。

ネットワークの課題

デジタル対応ネットワークへの移行を進めるにあたり、組織は高速接続や管理の簡素化などの中核的な機能の先を見据える必要があります。ベストエフォートの接続とサービスを提供しても、お客様の期待の変化に対応できるとは限りません。今日の世界では、ネットワークですべてのデジタル要素を安全に連携させることが強く求められており、ネットワークが変革の源であることは明らかですが、その中には無数の課題が存在します。

新しいワイヤレス製品が毎日のように市場に投入されている

Wireless Devices

毎年 40 億台を超える Wi-Fi デバイスが市場に出荷されています。新しいコンピュータとスマートフォンは、IoT、つまりサーモスタットから煙探知器、スマートウォッチに至るまでの日常的に使用するデバイスを無秩序と言っていいほど増加させている唯一の要因ではなく、主要な要因でもありません。たとえば、拡張現実(AR)や仮想現実(VR)などの新しい専門的で多様な IoT デバイスが、企業、学校、病院、ビジネスなどで急速に用いられるようになっています。では、これらのデジタル製品をネットワークにシームレスに接続して最適なユーザエクスペリエンスを実現できるようにするには、どうすればいいのでしょうか

すべてが接続され常に稼働している

Connected Devices

今日のデジタル接続の世界では、電球から医療機器までのすべてがインターネットに接続されるようになると思われます。また、インターネットにアクセスする必要があるモノが増加する中、全世界のネットワーク接続デバイスと接続の数は 2022 年までに 285 億に達すると予測されています。これらのモノは、ビジネスを実現する要素となっていますが、人間よりダウンタイムに対する耐性が低いため、常時接続に頼る必要があります。遅延や帯域幅の不足がネットワークの妨げにならないようにするための適切な戦略とは、どのようなものなのでしょうか。

誰もが一貫したエクスペリエンスを求めている

Unified Experience

ネットワークに接続されるモバイルデバイスの数と種類が急増する中、IT 組織はユーザに一貫したエクスペリエンスを提供する任務を負っています。ユーザは、場所や時間を問わず、接続デバイスから一貫したエクスペリエンスをいつでも自在に得られることを求めています。ネットワーク管理者は、モバイルデバイスを自動的に特定、分類、オンボーディングして一貫したポリシーを確保し、有線環境とワイヤレス環境全体を管理して高度な攻撃を防ぐための効率的な方法を常に考案しています。セキュリティと生産性を損なうことなく IT チームの時間を取り戻せるようにするには、どうすればいいのでしょうか。

新たな方法で混乱をもたらそうとする攻撃者があらゆる場所に存在する

Hackers

機会にはリスクが伴います。モビリティと IoT は本質的に攻撃対象領域を拡大するものであり、管理されていないために攻撃に対して脆弱な製品が増加しています。攻撃者の手口は進化しているため、トラフィックパターンに対する優れた可視性と最新のインテリジェンスでビジネスを保護する、よりスマートでセキュアなネットワークによって攻撃者の一歩先を行く必要があります。セキュリティは組み込まれていますか。それとも後から追加しますか。

ネットワークアクセスの変革

ネットワークの課題とトレンドは、新しいネットワークアーキテクチャ、つまりマルチクラウドに対する各ユーザの接続の最適化をサポートするだけでなく、多様化するデバイスやアプリケーションをシームレスかつ安全にオンボーディングできるアーキテクチャのニーズを生み出します。

今こそアクセスネットワークを変革すべきときです。

シスコ セキュアアクセスは、新しいネットワーク接続をサポートする進化したブループリントです。インテントベースのネットワーキング アーキテクチャとして、場所や時間を問わず、適切なデータやアプリケーションにアクセスするユーザとそのデバイスに一貫した接続のエクスペリエンスを提供します。また、場所を問わず、ワークロード間の信頼性が高くセキュアなアクセスを確保します(図 1)。

すべてのスイッチとワイヤレス製品のアクセス管理ポリシーを自動化して統合するとともに、ネットワークデータを絶えず分析することにより、シスコ セキュアアクセスはネットワークが期待どおりのビジネス目標を確実にサポートするようにします。信頼性、アジリティ、およびセキュリティを向上させる設計となっており、場所を問わずより多くのユーザとデバイスをサポートできます。

このアーキテクチャのこのような機能を搭載したネットワーキング製品は、Cisco Catalyst スイッチ、アクセスポイント、コントローラといったシスコのすべてのスイッチとワイヤレスソリューションにまで及びます。シスコのセキュリティソリューションは、ネットワーク製品に組み込まれています。このような統合により、セキュリティ アプリケーションとネットワークを連携させ、脅威の防止、検出、および軽減に必要な時間を短縮できます。

クラウド環境向けの Cisco TetrationCisco Cloudlock は、特定のネットワークドメインをサポートする目的で設計されたセキュリティ アプリケーションであり、複数のドメインをカバーするその他のセキュリティ アプリケーションは、特定のお客様の使用例に基づいてトリガーできます。たとえば、Stealthwatch は、プライベートネットワーク、パブリッククラウド、およびハイブリッド環境全体の脅威を検出できます。また、Cisco Advanced Malware Protection(AMP)は、侵害を防ぐとともにマルウェアを検出し、エンドポイントやネットワークからマルウェアを除去します。

図 1. 図 1. シスコ セキュア アクセス アーキテクチャ
図 1. シスコ セキュア アクセス アーキテクチャ

このシームレスでセキュアな接続(アクセス)のエクスペリエンスは、ネットワークドメイン(ブランチ、キャンパス、リモート、データセンター、マルチクラウド)全体と各ネットワークドメイン間にわたるものでなければなりません。つまり、各ネットワークドメインは独自のセキュア アクセス ソリューションとして機能します(図 2)。

  • セキュア ネットワーク アクセス:ブランチまたはキャンパスネットワークに対するすべてのユーザ、デバイス、およびアプリケーションの接続とそれらのネットワーク間の接続を確実に保護します。
  • セキュアクラウド/アプリケーションアクセス:許可されたユーザだけが、場所を問わずデータやアプリケーションにアクセスできるようにします。
  • セキュアリモートアクセス:リモートユーザとリモートデバイスが、一貫した方法で安全にデータやアプリケーションにアクセスできるようにします。

これらのネットワーキングドメインを結び付けるのは、各ドメインが(個別に機能すると同時に)連携して共同体のビジネスの目的を達成できるようにする共有アクセスポリシー管理です。ポリシーは、一度定義したらあらゆる場所に適用し、ビジネスの目的が実現されるように体系的に監視できます(2)。このアクセスポリシーは、場所やアクセス先にかかわらず、ユーザとワークロードに従います。

図 2. 図 2. シスコ セキュア アクセス アーキテクチャのコンポーネント
図 2. シスコ セキュア アクセス アーキテクチャのコンポーネント

シスコ セキュア ネットワーク アクセス

シスコ セキュア ネットワーク アクセスは、シスコソフトウェアの強力なポリシー自動化と分析ネットワークのオーケストレーションにキャンパス向けの包括的な次世代スイッチ、アクセスポイント、およびコントローラを組み合わせることにより、IT 部門がネットワークにアクセスするすべての人とモノのオンボーディングとセグメント化を安全に行えるようサポートし、企業の生産性とユーザエクスペリエンスを新たなレベルへと引き上げます。

図 3. 図 3. シスコ セキュア ネットワーク アクセス

シスコのセキュア ネットワーク アクセス ソリューションは、次に示す 4 つのアーキテクチャの原則と設計ポイントがベースとなっています。

ワイヤレスファースト

ワイヤレスファースト

ビジネスモビリティと場所を問わないアクセスにより、今日ではワイヤレスがアプリケーションやデータにとっての望ましい接続方法となっています。優れたワイヤレスエクスペリエンスを実現するため、IT 部門は、ユーザがシームレスにローミングを行えるようにしてモノが中断なく常時接続されるよう、Wi-Fi の先を見据えて常時稼働かつ常時セキュアな広範なワイヤレス環境を構築する必要があります。シスコ セキュア ネットワーク アクセスは、あらゆるアプリケーションにアクセスするすべてのユーザやデバイスのパフォーマンスを最適化して信頼性を確保する、シスコの有線ソリューションに支えられています。そのソフトウェア定義型ファブリックは、ネットワークにアクセスするすべての人とモノのオンボーディングとセグメント化を安全に行い、企業の生産性とユーザエクスペリエンスを新たなレベルへと引き上げます。

クラウド主導型

クラウド主導型

クラウドはイノベーションを加速させ、IT と事業運営にデータ主導のインテリジェンスをもたらします。シスコ セキュア ネットワーク アクセスは、比類のない拡張性を備えたクラウドベースのネットワークソフトウェアを活用して新たなイノベーションを実現し、価値実現時間を短縮する機能を導入します。これにより、IT 部門はリアクティブな組織からプロアクティブな組織へと移行し、ネットワークの状態を把握してユーザに影響が及ぶ前に動向を捉えることができます。アクセスネットワークのクラウド主導型のフレームワークは、有線およびワイヤレスネットワーク全体でビジネスの迅速性と運用効率を向上させ、一貫したポリシー オーケストレーションを実現します。

データ最適化

データ最適化

ネットワークは、数百万のデータポイントでユーザとユーザのエクスペリエンスや脆弱性に関するコンテキストを提供します。すべてのソース(ユーザ、デバイス、アプリケーション、脅威)から収集されたこれらのデータポイントを集約し、強力な分析と機械学習を活用することにより、ビジネス、IT、およびセキュリティに関する意思決定をより的確に行うことができます。ASIC からソフトウェア、さらにはスイッチングとワイヤレスにわたるスタック全体を統合することにより、ネットワークデータに対する非常に広範なアクセスを提供している企業は、シスコをおいて他にありません。このデータを活用することにより、パーソナライズされたエクスペリエンスを実現するためのビジネスに関する有益な情報、ダウンタイムを最小限に抑えるための IT に関する有益な情報、および脅威を未然に検出して阻止するためのセキュリティに関する有益な情報を提供できます。

常時セキュア

常時セキュア

ビルトインされたセキュリティは、ビジネスの目的に基づいてネットワーク上のユーザとモノを可視化し、すべての接続を制御するとともに、ソフトウェア定義型のセグメンテーションで攻撃対象領域を縮小します。シスコは、セキュリティ、セグメンテーション、そして暗号化されたネットワークトラフィックに隠されたマルウェアアクティビティを暗号解読することなく検出できる、 Encrypted Traffic Analytics (ETA) などのイノベーションを備えた、エンドツーエンドの統合型の有線およびワイヤレスソリューションを提供する唯一のベンダーです。

アーキテクチャのコンポーネント

その名前が示すように、シスコ セキュア ネットワーク アクセスの構成要素は、ネットワークとセキュリティの 2 つの機能レイヤからなります(図 4)。

Cisco Catalyst の包括的なポートフォリオセットである Cisco Catalyst 9000 スイッチと Cisco Catalyst 9100 アクセスポイントは、このソリューションの主要なインフラストラクチャです。Cisco Catalyst 9000 スイッチは、セキュリティ、IoT、モビリティ、およびマルチクラウド向けに構築された次世代のエンタープライズクラスのスイッチです。これらのスイッチは、Wi-Fi 6 のトラフィックを処理するように最適化されており、単一のプラットフォームで完全なプログラマビリティと保守性、および有線とワイヤレス間のコンバージェンスをサポートします。

Cisco Catalyst 9100 アクセスポイントは、Wi-Fi 6 テクノロジーを備えるとともに、シスコのインテントベース ネットワーキング アーキテクチャをサポートしています。これにより、高まるユーザの期待や、増加する IoT デバイスと次世代のクラウド主導型アプリケーションにも対応可能です。シスコの Wi-Fi 6 アクセスポイントは、革新的な RF テクノロジーにより、無数の IoT デバイスに加え、増加したモバイルトラフィックも処理できます。ワイヤレスアクセスをインテリジェントに拡張し、セキュアで信頼性の高い、高品質のワイヤレスエクスペリエンスをすべてのネットワークで実現します。Wi-Fi 6 の機能に加え、Cisco Catalyst 9100 は、ハードウェアとソフトウェアのイノベーション、高度な分析、およびマルチ RF(Wi-Fi、BLE、ZigBee)のサポートにより、インテントベース ネットワーキングの機能を拡張します。優れた産業用設計とともに、RF のパフォーマンスを向上させ、信頼性とセキュリティを確保して無数のインテリジェンスを提供します。

Cisco Catalyst 9100 アクセスポイントは、Cisco Catalyst 9115、9117、9120、および 9130 AP で構成される、Cisco Aironet アクセスポイントの次世代の製品です。Catalyst 9120 および 9130 アクセスポイントは、高度な RF スペクトル解析を実行する Cisco RF ASIC を搭載しており、次のような標準を超えた独自の機能で卓越した RF のエクスペリエンスを実現します。

図 4. 図 4. シスコ セキュア ネットワーク アクセスの構成要素
図 4. シスコ セキュア ネットワーク アクセスの構成要素

ネットワーキング階層

シスコ セキュア ネットワーク アクセス ソリューションのネットワーク機能は、インテントベース ネットワーキングの原則に基づいて構築されており、ビジネスの目的を把握して絶えずネットワークとその目的を整合させます。このレイヤは、高度な自動化とユニファイド オーケストレーションをベースとしており、接続ユーザと接続デバイスを数百から数千、さらには数百万にまで拡張できます。有線またはワイヤレスの各デバイスを管理する手動のプロセスは、ユニファイドファブリックの一部として、1 つの場所から制御され、グローバルに管理されるインテントベースのポリシーに置き換えられます。さらに、導入の前後と導入中に機械学習とデータのコンテキスト分析を使用することにより、拡張性、運用効率、およびセキュリティに関して、ビジネスで必要とされているものとネットワークで提供されるもののギャップを解消できます。

ネットワークレイヤの主な機能は、次の 3 つの主要カテゴリで定義できます。

統合アクセス管理

統合アクセス管理

統合管理ツールである Cisco DNA Center は、有線とワイヤレスが同じようにミッションクリティカルであると認識されて互いを補完する、ネットワーク インフラストラクチャの導入と管理を行うものです。このコンソールでは、プロビジョニング、設定、接続のモニタリング、レポートなどの一般的なネットワーク機能を処理するだけでなく、スペクトルモニタリングやロケーションベースのトラッキング機能などのワイヤレスに固有の管理が可能です。共通の Cisco IOS ソフトウェアを使用する Cisco DNA Center は、運用を合理化し、効率を向上させるとともに管理タスクを簡素化することを目的としています。そのために、新しいユーザやデバイスの検出とオンボーディングから、有線およびワイヤレスネットワークにわたるアクセスポリシーの作成と適用までをカバーする、1 つのインターフェイスを使用します。

ポリシーベースの自動化

ポリシーベースの自動化

管理を一元化するだけでなく、運用をさらに合理化するために、シスコの有線およびワイヤレスネットワークは、ユーザ、デバイス、およびモノに対するポリシー主導の自動化により、複数のドメインにわたって拡張および統合されます。これは、ゼロタッチ導入、ソフトウェアの簡単なアップデートとアップグレード、およびアプリケーション、ユーザ、デバイスのセグメンテーションの簡素化に役立つ独自の機能です。自動化を導入すれば、多くの手作業や単調な作業がなくなるうえ、あらゆるアプリケーションを使用するネットワーク全体のユーザやデバイスに適したポリシーが確立されることでビジネスに対する応答時間が短縮されます。

ネットワークアシュアランス

ネットワークアシュアランス

この重要な機能は、継続的な検証、分析、および修正アクションに対応します。シスコは、有線およびワイヤレス インフラストラクチャ全体のネットワークデータに対する広範なアクセスを提供しています。Cisco DNA Assurance は、高度な分析と AI/ML を活用することにより、ビジネスに関する重要な情報を提供してネットワークの可視性を向上させ、ネットワークの問題を解決するための修復を迅速化できます。

セキュリティ階層

シスコのセキュリティ アプリケーションは、すべてのネットワーキングドメインを確実かつ全面的に保護します。Cisco Catalyst ソリューションに組み込まれたセキュリティにより、ネットワーク上のユーザとモノを可視化して完全なゼロトラスト アクセス セキュリティ モデルの構築に貢献し、一貫した保護を実現するための侵入防御、検出、および対応に関するポリシーを作成できます。たとえば、キャンパス内やブランチ内では、Cisco Advanced Malware Protection(AMP)が高度なマルウェアに対する最高レベルの保護を実現し、 Cisco Umbrella™ が DNS を使用してすべてのポートとプロトコルに対する脅威を阻止します。また、Cisco ISE が、状況に適した動的なネットワークのパーティショニングで脅威を防ぎ、Cisco Encrypted Traffic Analytics(ETA)が、暗号化されたネットワークトラフィックに隠されたマルウェアアクティビティを、暗号解読することなく検出します。

シスコ セキュア ネットワーク アクセスの主な機能は、次の 3 つの主要カテゴリで定義できます。

ソフトウェア定義型セグメンテーション

ソフトウェア定義型セグメンテーション

ネットワークをセグメント化する機能により、組織は許可されていないユーザ、デバイス、およびアプリケーションによる企業ネットワークの特定のセクションに対するアクセスのレベルを制御できます。セグメンテーションに付随するトラフィックの分離により、攻撃がネットワーク全体に簡単に広がって破壊的な侵害が起きることを防げます。Cisco Identity Services Engine(ISE)は、ワイヤレス接続と有線接続にわたる一貫したセグメンテーションポリシーの制御を容易にします。ISE では、ロールベースのユーザとデバイスのグループを設定して必要とされる適切なアクセスレベルにマッピングし、各エンドポイントのコンテキスト ID を使用してそれらのアクセスポリシーを自動的に適用できます。

シスコの有線およびワイヤレスソリューションは、セグメント間のトラフィックを完全に分離してセキュリティを確保します。また、エンタープライズ ファイアウォール、URL フィルタリング、侵入防御、DNS モニタリングなどのネイティブに統合された一連のセキュリティ機能で各セグメント内のデータを保護します。

信頼ベースのアクセス

信頼ベースのアクセス

シスコ ゼロトラストは、ユーザ、デバイス、API、IoT といったネットワーク内のすべてのアクセスを保護する包括的なアプローチであり、ワークフォース、ワークロード、および職場の保護に役立ちます。

Cisco Software-Defined Access (SD-Access) :キャンパスネットワーク向けのシスコ ゼロトラストソリューションは、一貫したセキュリティ ポリシー グループを作成して適用し、企業全体にわたるロールベースのアクセス制御を実現します。アクセスポリシーを自動化し、ネットワークの認証と承認でユーザとデバイスに適切なレベルのアクセスを適用することにより、ユーザエクスペリエンスを向上させます。Umbrella や AMP といった他のセキュリティ アプリケーションやセキュリティ製品のエコシステムと統合することにより、エンタープライズキャンパス環境全体をカバーする包括的なゼロトラストセキュリティを実現できます。

常時保護

常時保護

シスコの統合セキュリティ アプリケーションおよびソリューションは、複雑さを増しつつ増大の一途をたどる脅威に対抗するため、対応する範囲と規模を拡大し、必要な機能を提供します。これらのアプリケーションとソリューションにより、ハードウェアだけでなく、ソフトウェア、およびスイッチとネットワークを流れるすべてのデータの整合性を保護する、高度なセキュリティ機能を実現できます。すべてのネットワークデバイスに侵入防御、検出、および対応機能を組み込むことによってのみ実現できる、常時保護が可能になります。

Cisco Stealthwatch などの最適なソリューションを利用することにより、ネットワーク インフラストラクチャのテレメトリを使用してネットワーク上のユーザとその動作を把握できます。

継続的な可視性

従来の境界ネットワークソリューションのギャップを埋めるには、急速に変化するモバイルファーストの IT 環境やクラウド主導型の IT 環境を完全に可視化することが重要です。キャンパス環境での可視化は、個人所有のモバイルデバイスや不正なワイヤレスアクセスポイントが接続されるキャンパスネットワーク上のユーザとモノ、およびユーザや IoT デバイスとサービスやアプリケーションとの通信方法を、分類することから始まります。クラウドであっても、すべてのネットワーク通信の基準を把握することにより、グループベースのポリシーを作成できる完全なインベントリが得られます。これにより、脅威やポリシー違反の可能性がある異常な動作のモニタリングが可能になります。また、あらゆる種類のデバイスやワークロードを適切に分類し、基準から外れた異常を迅速に特定するには、機械学習が不可欠です。

まとめ

どのような規模の組織も、シスコ セキュア ネットワーク アクセスによって提供される強力なインテントベースのネットワーク基盤により、デジタル トランスフォーメーションを加速させることができます。シスコ セキュア ネットワーク アクセスは、クラウドにネットワークソフトウェアを導入して新たなイノベーションを大規模に提供する機能により、新時代の没入型ネットワークのエクスペリエンスを実現する、新時代の有線およびワイヤレス接続を提供します。セキュリティを中心とした、ワイヤレスファースト、クラウド主導、およびデータ最適化を特徴としています。他のソリューションとは異なり、シスコ セキュア ネットワーク アクセスは、有線ネットワークとワイヤレスネットワークをカバーする 1 つの管理機能、1 つの共通 OS、広範なセキュリティ、および共通のポリシーを備えた、シンプルな運用モデルを提供します。これにより、IT チームはネットワーク接続を自動化して数千のユーザやデバイスに拡張するとともに、将来を見据えた設計のネットワークでベストプラクティスを導入するときに変化を予測し、迅速かつ安全に対応を進めることができます。

Cisco DNA ソフトウェアデモシリーズ
50% オフの Catalyst 9800 シリーズ