シスコが「ボーダレスネットワーク」概要を紹介、VPN常時接続を実現する新技術など

　シスコシステムズ合同会社（シスコ）は4月15日、「セキュアボーダレスネットワーク」の説明会を開催。具体的なソリューションとして、モバイルアクセスのセキュリティを補完する「Secure Mobility」と、クラウド化される企業内サービスのアクセス制御を簡素化する「TrustSec」の機能を紹介した。

　昨今、セキュリティの求められる範囲が拡大している。モバイル端末やクラウドの台頭により、デバイスは企業内の枠に納まらなくなった。これらをいかに保護するか。もはやファイアウォールの内側・外側という従来型のセキュリティで脅威は防ぎきれず、企業には組織の境界を越えてビジネスを保護できる新しいセキュリティが求められている。そこで「いつでも、どこでも、誰にでも、どのようなデバイスに対しても、安全性が高く、信頼できるシームレスな環境で接続できるようにする」（同社）のが、セキュアボーダレスネットワークのコンセプトとなる。

セキュアボーダレスネットワークのコンセプト	Secure MobilityとTrustSecのアーキテクチャ

Secure Mobilityの全体図

　紹介されたのは「Secure Mobility」と「TrustSec」という2種類のソリューション。Secure Mobilityは、VPNの常時接続（Always On）を実現する。モバイル端末でインターネットにアクセスすると、「Cisco AnyConnect VPNクライアント」というエージェントが、企業ゲートウェイに設置された「Cisco ASA」と自動でVPN接続し、常にイントラネットからアクセスしているような環境を作り出す。

　モバイル端末からインターネットへの直接アクセスを禁止し、ユーザーがどこにいても、企業内のポリシーをシームレスに適用できるわけだ。ゲートウェイに「Cisco Web Security Appliance（以下、Cisco WSA）」も導入しておけば、社外のモバイル端末もユーザー単位できめ細かくアクセス制御できる。

　Cisco ASAのVPN認証の情報を利用して、WSAのユーザー認証を省略するといった連携を実現しているほかWebEXやSalesforce.comなど複数のSaaSに対するシングルサインオンなども可能になるという。

Cisco ASAとCisco WASの連携	Cisco AnyConnect VPNクライアントの概要

世界中のシスコセキュリティデバイスからリアルタイム情報を収集する仕組みや、それをiPhoneに配信するアプリも用意されている	複数のSaaSへのシングルサインオン

　一方のTrustSecは、VLANに依存しないアクセス制御を実現するもの。従来のVLANによるアクセス制御では、組織改編のたびに設定変更が必要となり、仮想化で論理サーバーが増えるごとにリストが複雑になっていく。TrustSecでは、「SGT（セキュリティグループタグ）」による「SGACL（セキュリティグループアクセスコントロールリスト）」を実現。ネットワークポリシーやユーザーの追加・変更・削除の運用負荷を低減してくれる。

　例えば、46のユーザーIPと60のサーバーIPが存在するとき、IPアドレス単位でACLを作成すると46×60で2760通りも必要となる。TrustSecでは、ユーザーIPを「IT管理者」「人事スタッフ」「一般社員」「ゲスト」、サーバーIPを「ITサーバー」「人事サーバー」「共有サーバー」「ゲストサーバー」といった任意のSGTにグルーピングすることでACLを激減できるというわけだ。

　両ソリューションとも2010年第2四半期より提供予定。3月には10GbE対応スイッチ「Cisco Catalyst 3560-X/3750-X/2960-S」などをセキュアボーダレスネットワークを実現するコンポーネントとして発表している。このほか、「Cisco NAC」などさまざまなハードウェア・ソフトウェアを提供することにより、境界なきセキュリティを実現していく方針である。

SGTとSGACLによるアクセス制御の概要	SGTでグルーピングすることでアクセス管理工数を削減