シスコ、コンテキストベースのファイアウォールを実現するソリューション


シスコ ボーダレスネットワーク事業統括 専務執行役員 木下剛氏

 シスコシステムズ合同会社(以下、シスコ)は24日、適応型ファイアウォールアプライアンスのCisco ASAシリーズにおいて、新しいセキュリティソリューション「Cisco ASA CX」と、ミッドレンジ製品「Cisco ASA 5500-X」シリーズを発表した。

 同時に、インターネットVPNクライアントソフト「AnyConnect」のAndroid 4.0対応版も発表。それに合わせ、ASAやAnyConnectを含め、企業におけるスマートデバイス利用とBYOD(Bring Your Own Device:個人所有の端末の業務利用)に向けたシスコの一連のソリューションについて記者説明会を開催した。

 Cisco ASA CXは、従来のCisco ASAプラットフォームを拡張して「コンテキストベース」のファイアウォールを実現するもの。FacebookやTwitterなど1,000種類以上のアプリケーションと、それを区分した75,000以上のマイクロアプリケーションの情報を持ち、管理者がアプリケーションごとにアクセスの許可や拒否を設定できる。最初の製品としては、2012年夏に販売開始を予定。ソフトウェアモジュールとして、ASA 5585-Xシリーズの増設モジュール上にインストールして提供する。

 ASA CXがコンテキストベースをうたうゆえんは、ユーザーやデバイスを認証するCisco ISE(Identity Services Engine)と組み合わせにある。ISEの新しいソフトウェア1.1は、3月にリリースされている。ISE 1.1とASA CXを組み合わせることにより、「誰が」「いつ」「どこから」「何を」「どのデバイスから」利用したかという“コンテキスト”にもとづいたアクセス制御ができるようになる。これについて、シスコ ボーダレスネットワーク事業統括 専務執行役員の木下剛氏は、「従来のファイアウォールはポートベースで、“次世代ファイアウォール”と呼ばれる製品はアイデンティティとアプリケーションベースで制御する。それに対してASA CXでは、さらにコンテキストベースで制御する」と説明した。

 また、ISE 1.1では新たにMDM(Mobile Device Management:モバイルデバイス管理)ソリューション4社(MobileIron、Good Technology、AirWatch、Zenprise)と提携したことも明らかにされた。これにより、アイデンティティ管理と、デバイス管理や証明書発行サービスとを連動させられるようになる。なお、提携ベンダーについては今後拡充していく予定。

 あわせて発表された「Cisco ASA 5500-X」シリーズは、ミッドレンジの適応型ファイアウォールアプライアンス。ASA 5585-Xよりは小規模なキャンパスからブランチオフィスを対象とする。2012年5月から提供開始予定で、グローバル価格は3,995 US$から。

 インターネットVPNクライアントソフト「AnyConnect」のAndroid 4.0対応版は、Google Playから無償でインストールできる。いままでPC、Mac、Linux、iOSと、Galaxyシリーズに提供されていたが、広くAndroid 4デバイスから利用できることになる。

Cisco ASA CXCisco ASA 5500-X
ISE 1.1のスポンサーポータル画面Android版AnyConnectクライアント
ISE 1.1とMDMの組み合わせ
Cisco ASA CXの概要Cisco ASA 5500-Xシリーズの位置づけ

 記者説明会では、個人のスマートデバイスを新しく社内に持ち込んだときを想定した、ISE 1.1のデモも行われた。従来のISE 1.0では途中で管理者の手作業が発生していたが、ISE 1.1では管理者が最初に設定すれば、あとは利用者の作業で自動的に登録されるようになったという。

社内の無線LANに接続この状態でWebにアクセスすると、かわりにISEのデバイス登録画面が表示される
登録が完了すると、デバイスの証明書がISEから発行されるAnyConnectで接続
自宅からAnyConnectで接続しても社内ポリシーが適用されるデバイスを紛失したときなど、デバイスポータルから登録を取り消せる。なお、データの消去などはMDMの役割となる

 そのほか、記者説明では、米CiscoのCSO(最高セキュリティ責任者)兼コーポレートセキュリティ担当シニアバイスプレジデントのジョン・スチュアート氏がテレプレゼンス経由で登場。同社のセキュリティ、特にモバイルセキュリティへの取り組みについて解説した。

 中でもモバイルについては、シスコ社内でも、BYODによるスマートデバイスが18%程度ネットワークに接続されていると紹介。その結果、1日あたり30分程度の生産性の向上や、新しいアイデア、コスト削減などのメリットがあった一方で、セキュリティは下がっていないとスチュアート氏は語った。

 そして、現在の企業では、PCやスマートフォンなどネットワークにつながるデバイスを、従業員1人あたり平均3台持つというデータと、今後はカメラなどほかのデバイスもネットワークにつながるようになるだろうという背景を説明。その中で、「いまは個別のデバイス(エンドポイント)ごとにセキュリティ対策しているが、守るべきはデバイスより情報。そのため、エンドポイントごとではなく、ネットワークのほうでセキュリティを守る必要がある。いままでとは違うアプローチが必要だ」とスチュアート氏は主張した。

 そのうえで、Cisco Secure Xアーキテクチャも解説。SecureXは、モバイル向けのユニファイドアクセスや、セキュリティの脅威への防御、ユーザーの利用の可視化と許可、クラウドから構成され、コンテキストによるポリシーで管理する。また、SecureXの一環として、同社のセキュリティ製品で収集された攻撃情報を解析し、リアルタイムにセキュリティデバイスの情報をアップデートするCisco SIOについても紹介した。

テレプレゼンスで説明した米Cisco CSO(最高セキュリティ責任者)兼コーポレートセキュリティ担当シニアバイスプレジデント ジョン・スチュアート氏シスコ社内でのスマートデバイスのBYOD利用
デバイス数が現在で従業員1人あたり平均3台、これから増えていくCisco SecureXアーキテクチャ
関連情報
(高橋 正和)
2012/4/25 06:00