現代のネットワークは、これまでの管理されたクローズドネットワークから、 多様なデバイスがつながるオープンなネットワークへと変化しています。
運用管理者は、多様なデバイスを適切なネットワークへ接続管理し、 重要システムの機密性を守る責務を負っています。
ネットワークの機密性を守るためには、NAC(Network Access Control)が必要不可欠です。
必要性を理解しながらも、運用の煩雑さや構成の複雑さから導入のハードルは高くなりがちです。
今回は、NACの基本をおさらいするとともに、クラウドベースのNACソリューションであるJuniper Mist Access Assuranceをご紹介します。
-
NACの定義と目的
NAC:Network Access Controlとは
ネットワークに接続してくるデバイスを識別、認証し、一定の水準を満たす場合にアクセス許可を与えます。
アクセスには権限が与えられ、接続先をコントロールします。接続するデバイスは管理されるため、ネットワークの健全性が高まります。
-
なぜNACが現代のネットワークに不可欠なのか
現代ネットワークには、NACが不可欠と言われています。その理由は、接続するデバイスの多様化と、機密性の高いデータのデジタル化です。
機密情報はデータ化され、ファイルサーバーやデータベースサーバーに集約されるようになり、
デバイスは有線のデスクトップPCから、無線PC、スマートフォン、タブレットなど多様化しました。
機密データにアクセスする必要のないデバイスもネットワークへ接続するようになりました。
セキュリティカメラ、空調機器、電子錠などもそのデバイスの一例です。これらのデバイスに機密データへのアクセスは本来必要ありません。
ハッカーなどの攻撃者は、PCだけでなく、これらのIoT機器などを経由して 機密データにアクセスを試みます。
重要システムや機密データを保護することために、NACを導入し適切に運用することが求められています。
- 認証(Authentication)
ネットワークに接続するデバイスを認証します。デバイスの正当性を証明します。
認証に失敗、条件を満たさないデバイスは、ネットワークへの接続を拒否されます。
具体的な認証形式には、以下があります。
・802.1x認証
・MACアドレス認証
・Web認証(キャプティブポータル)
・証明書 認証
・MPSK 認証
上記の認証には、認証サーバーと、ユーザーデーターベースと照合することが一般的です。
デバイスごとに、適切な認証方式を選定する必要があります。
- 認可(Authorization)
認証されたデバイスに対して、どのリソースにアクセスさせるかを決定します。
認可のポイントは、アクセス権は最小限とすることです。
過剰な権限アクセスはセキュリティリスクを増加させます。
- 評価(Assessment)
認可されたデバイスの、セキュリティ状態をチェックします。具体的には以下の状態をチェックします。
・OSバージョン、パッチ適用状況
・ファイアーウォールの設定状況
・セキュリティソフトのインストール・更新状況
これらの評価には、MDMなどのデバイスにインストールされたエージェントのソフトウェアと連携します。
評価結果に応じて、ポリシーの適用を実施します。
- ポリシー適用(Policy Enforcement)
デバイスのネットワークリソースへのアクセスを、定義されたポリシーを適用することで、制御します。
ポリシーは、デバイスの状態や役割などから、アクセス先リソースを決定づけます。
認証との違いは、認証がユーザー・デバイスなどの正体・正当性を確認するプロセスであり、最初のステップとなります。
ポリシー適用は、認証後のデバイスに対して、ネットワークの安全性を維持するためのルールを強制する役割を果たします。
- 監査・ログ管理
上記のプロセスのログは適切に管理し、一定期間の保存することがネットワークの安全性を高めます。
ログは必要に応じ、監査する事で、ネットワークが安全に維持されていることを確認します。
・アクセス監視
・不正検知
・事後調査 (侵害の原因特定と、再発防止)
・規制遵守
・責任の明確化 (ユーザーの行動を追跡し、特権乱用を防ぐ)
各プロセスは、それぞれサーバーやシステムが異なります。
そのため、SIEMを導入し各ログのフォーマットやタイムスタンプを標準化することで、管理を簡易化することが可能となります。
オンプレミス vs クラウドベース
従来はオンプレミスが一般的でしたが、システムのクラウド化、SaaS化に伴い、クラウドベースのNACソリューションも増加しています。
ネットワークが完全に管理されたイントラネットであったり、機密データがオンプレミス上にしか存在しない場合、
オンプレミスのNACソリューションが有効な選択肢となります。
また、インターネットから隔離されたネットワーク上でのNACは、オンプレミスの選択となります。
オンプレミスは、ポリシーを最新化する際、提供元から何らかの手段(USBや、一時的なインターネット接続を開放など)で、
NACシステムへ適用する必要があります。
クラウドベースは、これらの各システムがSaaSで提供されるため、運用管理の煩雑さから開放されます。
常に最新のポリシーを活用することができ、新たな脆弱性が公開された際にも速やかにポリシー反映することが可能です。
企業の認証システムは、オンプレミスからクラウド化し、セキュリティサービスもSaas化することが一般的となってきました。
NACソリューションにも、クラウド化に対応する製品が増えてきております。
- エージェント vs エージェントレス
NACソリューションには、エージェントと、エージェントレスがあります。
エージェントは、PCやスマホなどのデバイスに、エージェントをインストールし、そのデバイスの評価を実施します。
MDMなどが一般的ですが、エージェントは、デバイスの状態を定期的にアップロードし、システムに連携します。
デバイス内部の情報をより詳細に収集することが可能ですが、エージェントインストールの必要性が生じ、
エージェント自体の定期的なメンテナンスが求められます。
エージェントレスは、ネットワーク側からデバイスの状態を確認します。
デバイスのネットワークトラフィックを監視し、動作パターンや通信プロトコルを分析してデバイスを特定・評価します。
エージェントレスの場合、エージェントインストールができないIoTデバイスやBYOD/ゲストデバイスにも対応可能です。
- 代表的なNACベンダーと製品
例:Cisco ISE、Aruba ClearPass、FortiNAC、Juniper Mist Access Assurance
以下に、各社のNACベンダーと製品を記載します。製品 エージェント / エージェントレス オンプレミス / クラウドベース Cisco ISE
両方
(エージェント とエージェントレス)
両方
(オンプレミスとクラウドベース)
Aruba ClearPass
両方
(エージェントとエージェントレス)
両方
(オンプレミス, 仮想アプライアンス, クラウドベース)
FortiNAC
主にエージェント
主にオンプレミス
(ハイブリッド環境でクラウド連携可能)
Juniper Mist Access Assurance
エージェントレス
クラウドベース
NAC導入対象のネットワークを評価します。各評価ポイントを適切に検討することでNAC導入後の効果を高めます。
- 導入ニーズと脆弱性の評価
何を保護するためにNACを導入するのか、ネットワークの潜在的な脆弱性を確認します。
NACを導入することで、既存の脆弱性を解消し、システムを適切に保護できるかを確認します。
- 周辺インフラとデバイスの確認
DNS、DHCP、NTP、SNMPの確認、デバイスのハードウェア・ソフトウェアを検証します。
エージェントタイプのNACを導入する際は、デバイスがエージェントに対応していることを確認します。
- ID・クレデンシャル管理
既存のIDソース(例:Active Directory、LDAPなど)がNACと統合可能か確認します。
クレデンシャルの管理(例:多要素認証、ゼロトラストポリシー)を検討し、特権の乱用を防ぐための対策を講じます。
- ネットワーク設計
導入するネットワークの設計を確認します。
NACの導入が可能なネットワークか、ゾーニングやマイクロセグメンテーションに対応可能なネットワークかを確認します。
- NACベンダー選定
導入ベンダーを選定します。これまでの各評価項目に適合しているベンダーを選定します。
ネットワークを動的に変更する可能性があるため、既存ネットワーク機器をサポートするベンダーを選定します。
導入後のサポートも考慮のポイントとなります。
- Juniper Mist Access Assuranceとは
Juniper Mist 製品における一つの機能であり、クラウドベースで動作するエージェントレスのNACソリューションです。
クラウドベースであるため、従来のオンプレミスNACと比較して導入が容易です。
Mistの各ソリューションと連携し、Juniperの有線および無線ネットワークの管理が可能です。
802.1X、MAC、MPSK認証に対応し、Azure AD(Entra ID)、Okta、Google Workspaceなどと連携可能なため、既存のサービスを活用すれば、
Mist Access Assuranceの導入はスムーズに行えます。
既存でJuniper製品を使用しているネットワークがある場合は、サブスクリプションを追加購入することで利用可能です。
従来は煩雑だった各機器への個別設定のオペレーションを、Mistからワンストップで行うことができます。
運用管理者は、Mistのダッシュボードから各設定を一元管理し、デバイスの状態をモニタリングすることが可能です。
- 仮想アシスタントとの連携による運用の簡易化
Juniper Mistは、AIソリューションを搭載した、クラウドベースのネットワーク管理ソリューションです。
Mist の一機能として、仮想アシスタントであるMarvisを提供しています。
Marvisは対話型の仮想アシスタントであり、Mist AIと連携しネットワークトラブルの原因や対処案を対話型で紹介します。
運用管理者は、Marvisと共にトラブル対処の支援を受けることができます。
いかがでしたでしょうか。様々なディバイスがつながる時代だからこそネットワークセキュリティは必要とされています。
攻撃手法は高度化し、防御手法は複数のソリューションを組み合わせることが求められます。
クラウドベースのNACソリューションを活用し、運用負荷を軽減しながらネットワークセキュリティを高めていきませんか。
NACソリューションをご検討の際は、Juniper Mist Access Assuranceを検討してみてはいかがでしょうか。
下記よりお問い合わせください。
小巻 隼人
ISP, CATV アカウントSE
プリセールス/デリバリー担当
-
2025年11月4日
HPE Aruba Networking CXスイッチの高可用性 - VSX設定手順
前回の記事では、VMware ESXi環境にArubaCXスイッチを4台デプロイし、OSPFルーティングの設定を行う手順を紹介しました。今回は、ArubaCXスイッチの高可用性機能である「VSX (Virtual Switching Ext
-
2026年3月26日 製造・倉庫DXの通信課題をROIで解く! ー Wi-Fi vs ローカル5G(Celona)実データと事例で徹底比較セミナー
- 2026/03/26(木) 13:00-14:00
- オンラインセミナー(ZOOM)
- 【03/26(木)13:00-14:00】製造・倉庫DXの通信課題をROIで解く! ー Wi-Fi vs ローカル5G(Celona)実データと事例で徹底比較セミナー
- 現場条件(ユースケース)をもとにCelonaとWi-FiのROIシミュレーション紹介 Wi-Fiを継続した場合 vs Celonaに切り替えた場合のコスト差・ROI比較を提示 DXを成功させるために通信の最適化は必須です。自社に合う無線は何か具体的に知りたい方、ご参加お待ちしてます。
- ローカル5Gプラットフォーム Celona(セロナ)
-
2025年11月5日 【11/05(水)13:00-14:00】製造・倉庫DXの通信課題をROIで解く!ー Wi-Fi vs ローカル5G(Celona)実データと事例で徹底比較セミナー
- 2025年11月05日(水)13:00-14:00
- Webセミナー
- 製造・倉庫DXの通信課題をROIで解く! ー Wi-Fi vs ローカル5G(Celona)実データと事例で徹底比較セミナー
-
2025年11月4日 COMNEXT 2025 ローカル5G「Celona」 出展 登壇あり
- 2025年7月30日(水)~ 8月1日(金)10:00~17:00
- 東京ビッグサイト(南展示棟)
- COMNEXT 2025 ローカル5G「Celona」 出展 登壇あり
- ローカル5GプラットフォームCelona(セロナ)
-
2025年9月26日 【9/26(金)オフラインセミナー登壇】倉庫×無線 スマート物流勉強会~倉庫DXの潮流とローカル5G・無線活用アプリケーションの普及性~
- 2025年9月26日 (金) 15:00 - 17:00
- オープンイノベーション施設WAVE(株式会社フジテックス内)
- 倉庫×無線 スマート物流勉強会 ~倉庫DXの潮流とローカル5G・無線活用アプリケーションの普及性~
ProLabsは高品質かつ低価格のサードパーティ製光トランシーバーを提供いたします。業界標準規格品やベンダー互換品など豊富な製品ラインナップを揃えております。