ネットワークアクセス制御 ネットワークアクセス制御 (NAC) とは
デジタルリソースへのアクセス制御は、組織にとって欠かせないITセキュリティ機能です。ネットワークアクセス制御 (NAC) ソリューションにより、IT部門はユーザーやデバイスがネットワーク上のリソースにアクセスすることを許可したり、拒否したりすることができます。NACは、ゼロトラストセキュリティストラテジの基盤となる、リソースへの最小権限のアクセスを実現するうえで重要な役割を果たします。
- NACの説明
- NACが重要である理由
- NACの仕組み
- NACの実例
- NACソリューションを選択する方法
NACの説明
ネットワークアクセス制御とは、IT部門が設定したルールに基づいて、ユーザーやデバイスがリソースにアクセスすることを制限する仕組みを指します。建造物やオフィスのような物理的な組織の資産に侵入されないようにドアロックやセキュリティバッジで防ぐのと同様に、ネットワークアクセス制御は、ネットワーク上のデジタルリソースを不正アクセスから保護します。
NACのエレメント
| 機能 | 機能 | テクノロジー |
|---|---|---|
| 可視性 | どの時点でも、ネットワーク上に誰がいて、どのような状態かを常に把握 | 物理または仮想データコレクター: アクティブ (NMAP、WMI、SNMP、SSH) ディスカバリーメソッド、およびパッシブ (SPAN、DHCP、NetFlow/S-Flow/IPFIX) ディスカバリーメソッド: AI/MLによるデバイスプロファイリング、ディープパケットインスペクション |
| 認証 | ユーザーとは誰であるか、またはデバイスが何であるかを確認 | 802.1x認証: EAP-TLS、RADIUS、TAC-ACS: 多要素認証: 証明書 |
| ポリシーの定義 | ユーザーとデバイスがアクセスできるリソースおよびリソースへのアクセス方法に関するルールを定義 | 役割、デバイスタイプ、認証方法、デバイスの健全性、トラフィックパターン、場所、時間帯などのコンテキストに基づいたパラメーターを含めることができるルール作成ツール |
| 権限制御 | 認証されたユーザーまたはデバイスに適用する適切なルールを決定 | |
| 実施 | 適切なポリシーに基づき、認証されたユーザーまたはデバイスのリソースへのアクセスを許可、拒否、または取り消し | ファイアウォールやその他のセキュリティツールとの統合と双方向通信 |
NACを使用するさまざまな目的
HPE Aruba Networking ClearPassのようなNACソリューションであれば、以下のような組織内でのセキュアな接続に関するユースケースに対応できます。
| ゲストおよび臨時労働者を対象とするNAC | ClearPass Guestを使用することで、受付係、イベントコーディネーター、その他IT部門以外のスタッフのために、ゲスト用として一時的なネットワークアクセスアカウント (任意の人数/1日当たり) を簡単かつ効率的に作成できます。またClearPass Guestでは、カスタマイズされたセルフ登録ポータルも提供しています。ビジターは自分の認証情報を作成して、それをあらかじめ決められた期間、ClearPassに保存し、自動的に失効するように設定することができます。 |
|---|---|
| 独自デバイスの持ち込み (BYOD) を対象とするNAC | ClearPass Onboardは、モバイルデバイスの構成とプロビジョニングを自動的に行い、エンタープライズネットワークに安全に接続できるようにします。従業員は、ガイド付きの登録と接続の手順に従って、所有するデバイスを自分自身で構成することができます。デバイスごとに一意の証明書が適用されるため、ユーザーはごく簡単なIT操作でデバイスをネットワークに安全に接続することが可能になります。 |
| エンドポイントでのセキュリティポスチャ評価を対象とするNAC | ClearPass OnGuardは、エンドポイント/デバイスポスチャの評価を実行し、デバイスを企業ネットワークに接続する前に、セキュリティおよびコンプライアンス要件が満たされていることを確認します。これは組織が自社のIT環境に脆弱性を持ち込まないための対策となります。 |
| モノのインターネット (IoT) デバイスを対象とするNAC | ClearPass Device Insightは、不明なデバイスを特定し、特定までの時間を短縮するためのリスクスコアリングと機械学習機能により、ネットワークに接続されたデバイスを完全に可視化します。また、ClearPass Device Insightは、トラフィックフローの挙動を監視してセキュリティを強化します。 |
| 有線デバイスを対象とするNAC | ClearPass OnConnectは、802.1xテクニックを使用して、未認証のプリンターやVoIP電話などのデバイスに、安全な有線によるアクセス制御を実施します。 |
| クラウドネイティブNAC | HPE Aruba Networking Central Cloud Auth は、一般的なクラウドアイデンティティストアとの連携を通じて、ユーザーとデバイスに、シームレスなクラウドベースのオンボーディングを提供し、安全な役割ベースのポリシーを適用します。 |
