Aruba、多層防御を実現するセキュリティフレームワーク「Aruba 360 Secure Fabric」を提供

　米Hewlett Packard Enterprise（HPE）の1部門として無線LANソリューションを手掛けるArubaは15日、新しいセキュリティフレームワーク「Aruba 360 Secure Fabric」を日本で提供開始したことを発表した。米国では9月に発表されたものを、新しく日本でも展開する。

右から、日本ヒューレット・パッカード田中泰光氏（執行役員 Aruba事業統括本部・事業統括本部長）、パロアルトネットワークス アリイ・ヒロシ氏（代表取締役会長兼社長）、日本ヒューレット・パッカード 吉田仁志氏（代表取締役社長執行役員）、マカフィー 山野修氏（代表取締役社長）、カーボンブラックジャパン 西村雅博氏（カントリーマネージャー）

　Aruba 360 Secure Fabricは、ネットワークソリューションとセキュリティソリューションを組み合わせることで、多層防御を実現するものだ。同社のネットワークセキュリティソリューション「Aruba Secureコア」と、次世代NAC（Network Access Control）ソリューション「Aruba ClearPass」を中核に、パートナープログラム「360 Security Exchange Partner」のセキュリティ企業のソリューションを組み合わせる。ネットワーク機器自体にはマルチベンダーで対応する。

Aruba 360 Secure Fabricのフレームワーク。Arubaのネットワークセキュリティが（写真中央部）、パートナーのセキュリティ製品と連携し（写真右部）、マルチベンダーのネットワークを守る（写真左部）

　360 Security Exchange Partner企業は、グローバルではすでに100社以上いるという。日本でも今回、カーボン・ブラック・ジャパン株式会社、パロアルトネットワークス株式会社、マカフィー株式会社の3社との協業により、Aruba 360 Secure Fabricを開始する。

　それに伴い、日本ヒューレット・パッカード本社（江東区大島）内にラボ施設を新設し、パートナー企業との検証およびデモンストレーション環境を整備した。

日本ではまず、カーボン・ブラック・ジャパン株式会社、パロアルトネットワークス株式会社、マカフィー株式会社の3社と協業

日本ヒューレット・パッカード本社内のラボ施設。パートナー企業との検証およびデモンストレーション環境

　さらに、ユーザーの行動を機械学習で分析してスコアリングし、セキュリティ問題の予兆を検知する「Aruba IntroSpect UEBA（User and Entity Behavior Analytics）」を、日本で2018年第2四半期を目標に販売開始する予定であることを明らかにした。2月に買収したNiara社の技術による製品で、Aruba 360 Secure Fabricに加わる。

Aruba IntroSpect UEBA。ユーザーの行動を機械学習でスコアリング

IntroSpect UEBAとAruba ClearPass、パートナー製品の連携

　同日開催された記者会見で、日本ヒューレット・パッカード株式会社 代表取締役社長執行役員の吉田仁志氏は「ポイントは2つ。ポイントポイントでなく面でセキュリティを確保すること。そしてそれをいかにシンプルに実現するか」と語った。

　日本ヒューレット・パッカード株式会社 Aruba事業統括本部・技術統括本部 本部長の佐藤重雄氏は、「ネットワークとセキュリティはけっこう分断された領域となっているが、その状態では多層防御を実現できないのではないか、というのがわれわれの考え」と背景を説明した。

　ClearPassは、ネットワーク認証を含むユーザーやデバイスごとのプロファイリングや、ポリシー適用によるマイクロセグメンテーション、デバイスの隔離の機能を持ち、ネットワークを制御する。セキュリティ機器と組み合わせることで、ClearPassのユーザーやデバイスのコンテキスト情報をセキュリティ製品に提供したり、セキュリティ製品の検出した結果をClearPassに送ってデバイスを隔離したりといったことが可能になる。

　「従来のセキュリティでは管理されたデバイスがだけ対象とされていた。それに対してAruba 360 Secure Fabricでは、ネットワークとセキュリティの境界を越えて、ネットワークで対応できる」（佐藤氏）。

分断されていたネットワークとセキュリティの境界を越えて守る

Aruba ClearPassの機能

　記者会見ではパートナー3社からそれぞれ協業について説明されたほか、記者向けにデモンストレーション環境で実演もなされた。

　パロアルトネットワークスの次世代ファイアウォールと組み合わせたデモでは、まず、ClearPassが持つユーザーやデバイスのプロファイリング情報を、パルアルトの次世代ファイアウォールに提供することで、次世代ファイアウォールの制御にユーザーやデバイスの情報を利用するところを実演した。

　さらに、ユーザーがマルウェアをダウンロードしようとしたときに、次世代ファイアウォールでブロックすると同時に、ClearPassにも通知してのそのデバイスをネットワークから隔離するところを実演した。

パロアルトネットワークスの次世代ファイアウォールにユーザーやデバイスのプロファイルが反映される

ユーザーがダウンロードしようとしたマルウェアを次世代ファイアウォールでブロック

マルウェアをダウンロードしようとしたデバイスがネットワークから隔離された

ClearPassに情報が送られて隔離が実行されたログ

　IntroSpect UEBAの管理画面も実演。C＆CサーバーをDNSで調べたところや、多数のホストにアクセスしたところ、ファイルサーバーにアクセスしたところ、社外にアップロードしたところなど、それぞれのスコアが積み重なって閾値に達した例などが示された。

IntroSpect UEBAが解決するセキュリティの課題

IntroSpect UEBAの管理画面。ユーザー1人とデバイス1人がハイリスクと認定された

リスク要因が積み重なってしきい値に達したことがわかる

リスク要因の例：いつもは1個のホストだけなのに302個のホストにアクセスした

　マカフィー製品との連携のデモでは、まずMcAfee ESM（Enterprise Security Manager）との組み合わせを見せた。Aruba Wi-Fiでの認証やClearPassでのプロファイリングの情報をMcAfee ESMに送って管理することで一元管理し、UBA（User Behavior Analytics）などにも利用する。さらに、ESMのSIEM（セキュリティ情報・イベント管理）からの通知によってClearPassでデバイスを隔離した。

McAfee ESMにClearPassの項目が表示される

McAfee ESMに表示されたClearPassの情報

McAfee Web Gatewayで危険なWebアクセスがブロックされた

デバイスが隔離された

　エンドポイントセキュリティを開発しているカーボン・ブラックは、エンドポイントのアクティビティ情報を集約して攻撃者の行動を追跡するEDR（Endpoint Detection and Response）製品「Cb Response」でAruba 360 Secure Fabricに対応した。

　デモでは、“PowerShellを呼び出してネットワーク上の情報を吸い上げる、マルウェアではないマクロ”の入ったWordファイルを開いたところを実演。Cb ResponseがPCの動作を常時監視して攻撃を検知し、ClearPassに通知することで、そのPCを隔離するところを見せた。

カーボン・ブラックの製品

Cb Response＋ClearPassの連携

Wordマクロの挙動が検知された

ClearPassで隔離されたログ