有無線ネットワークの アクセスコントロールポリシーコントロールのための (Bring Your Own Device) BYODソリューション提案書 2015

- 目次 - 1. BYOD 概念 1.1 BYODの登場 1.2 BYODの長所・短所 1.2 アクセスコントロール基盤のBYOD 2.1 提案背景及び目的 2.2 構築戦略 2.3 構築方案 2.4 構築範囲 2.5 Case Review 2.6 製品紹介 2.7 主要機能 2.8 期待効果

1. BYODの概念

危機 vs. 機会 BYODの割合：93%以上 1.1 BYODの登場 単純に個人用端末を会社に持って来る 無線インターネット環境の構築及びタブレットPC利用の大衆化 デスクトップの仮想化とクラウドサービスの活用増加 リアルタイムコミュニケーションと業務連続性の重視 (出処 : スマートオフィスの新しいトレンド BYOD、KT経済経営研究所) 危機 vs. 機会 単純に個人用端末を会社に持って来る BYODの割合：93%以上

ユーザーの資産とセキュリティ管理の側面 1.2 BYODの長所・短所 BYOD 導入の長所 BYOD 導入の短所 コスト削減 -業務端末の導入及び保守コスト 勤務満足度の増加 -自分の好きな端末を使ってほしい 生産性の増加 - 社員1人当り1日57分増加 <インテル> BYOD 導入の短所 セキュリティ管理の難しさ - 情報漏えい - 端末盗難・紛失 - ユーザー資産に対する統制権の確保 - 管理責任の範囲 短所を最小化できる対策が必要 MDM ソリューション (S: 端末のセキュリティ脆弱性対応 W: ユーザー抵抗増加) 仮想化 (S: データ及びシステム保護 W: コスト及び性能) アクセスコントロール (S: ユーザー抵抗の最小化 知能的なアクセスポリシーの強制が難しい)

ByFRONT InFRONT AirFRONT アクセスコントロール基盤のBYODソリューション User Device Learning (MAC、IP、ID、type、model、OS..) Access Policy Assigning (ID基盤のアクセスポリシー、 セキュリティレベル別ネットワーク分離) User Access Control (802.1x-MAC-WEB Multi-factor Authentication, Network & IP Allocation, Blocking Unauthorized Device)

2. BYOD 提案

2.1 提案背景及び目的 2.1.1 提案背景 ユーザー認証体系の統合運用ができないことによって(端末区分、ID、氏名、MAC、IPなどの統合管理ができない)、これまで複数のシステムで管理しなければならなかったユーザー/端末運用状況の自動化・統合化機能を実現 AirFRONT Server 有無線統合認証システム InFRONT Swich ByFRONT Server IP割当体系統合化 既存端末情報を統合できなかったIP割当機能を統合 スマート端末とノートPC端末の接続を区分 BYOD具現化 使用端末、ユーザーの統合情報 運用管理 統合ログ 端末機のMAC+IPを自動で収集し、ユーザー申込みを自動化 ユーザー端末申込み体系自動化

2.1 提案背景及び目的 2.1.2 提案目的 社内職員たちのスマートフォン及びスマート端末(タブレット、ノートPC)の使用に対する強い要請 社内物理的な個人端末の使用を使える出入り統制が難しい 社内個人端末の非公式的なネットワーク接続が見逃される大変な状況 社内で、だれが、いつ、どこで、どんな、スマート端末を使用するかに対する管理の効率性 - 個人端末の使用申込み/許可/管理の負担が大きい - 社内出入り手続きの強化による職員からの抵抗が大きい - 通行制限による変更コスト、物理的工事が難しい - 個人端末の使用制限に対して個人に任せる - もうスマートフォンを業務に間接的に利用(e-mail：社内情報の70%を含む) - セキュリティ事故が発生した時、追跡及び確認が難しい - ネットワークの影響度を計量することができない

2.2 構築戦略 2.2.1 構築戦略 統合運用管理機能及び連動 1. 認証サーバー 構築 端末機IP割当及び端末区分 有無線 BYOD 既存に運用する認証システムに統合管理機能を追加 人事DB及びDHCP、InFront 連動 統合運用管理機能及び連動 1. 認証サーバー 構築 ユーザー端末 IP 割当 IP 割当時、端末のタイプを区分し統合認証サーバーに伝達 端末機IP割当及び端末区分 有無線 BYOD 統合認証システム 2. DHCP サーバー 構築 3. ウェブ認証 スイッチ 構築 新規端末自動 Mac address 及び IP 収集 許容されない IP+Mac address を探知して遮断 端末運営管理

2.2 推進戦略 2.2.2 4大構築戦略 1. 社内で職員たちのスマートフォン及びタブレットの使用に対するユーザー抵抗の最小化 - 個人端末を使用時、別途のAgent Applicationを設置しない 2. 社内の物理的な個人端末の使用を遮断できるセキュリティネットワークアクセスコントロール保証 - InFRONTを通じるWEB基盤認証及び接続者の申込み端末のMAC Addressを自動収集 非許可端末のMAC Address及びIP探知/遮断、IP保護 3. 個人端末及び訪問者の非公式的なネットワークセキュリティ接続自動化 職員 : 新規端末を追加時、SMS OTP KEYでユーザーの身元を確認後自動登録 訪問者 : 職員確認後、自動登録 (SMS OTP KEY、電話番号等) 4. ユーザー端末履歴及び管理利便性の極大化 - ユーザー情報、端末 Type、IP、Mac Address など情報を取り集め統合管理 - 統合管理による管理者必要コストの削減

2.3 構築方案 2.3.1 構築プラン 個人端末機の使用に対する自動登録及び管理者確認手続きの具現化 01 登録されてないユーザー端末に対するユーザー確認及び登録誘導 02 03 ユーザーに対して、部署別、端末種類別に接続権限ポリシーを樹立 04 05 接続権限ポリシーに違反した端末に対してネットワーク接続遮断 接続端末の登録及び使用パケットの特性情報を利用した端末情報収集 BYOD 06 登録されてないユーザー端末に対するユーザー確認及び登録誘導 07 管理者に、誰が、いつ、どこで、どんな端末を使うのかの情報を提供

2.3 構築方案 2.3.2 To-Be Model As-Is To-Be [認証システム] [IP管理システム] ※ 機能及び役割 -無線ユーザー認証 -有線ユーザー認証 [認証システム] [IP管理システム] [DHCPサーバー導入] [ウェブ認証システム導入] ※ 機能及び役割 -無線ユーザー認証 -有線ユーザー認証 ※ 機能及び役割 -IP割当及び遮断 ※ 機能及び役割 -IP割当(DHCP) -特定端末の特定IP 割当機能 ※ 機能及び役割 -特定端末の特定IP 遮断 -使用申込み時、自動 MAC収集 -端末種類区分 (スマート端末、ノートPCなど) ■ ユーザー情報を各システムで確認 -IP情報 : IP管理システム -ID、名前、組職等の人的情報：認証システム ■ 認証システムですべての情報確認が可能(IPを含む) ■ 端末種類区分(スマート端末、ノートPCなど)

2.3 構築方案 2.3.3 BYOD 概念図 Internet Server Farm Router ByFRONT Server F/W L3 Switch Router Edge Switch Server Farm Access Point Office Network InFRONT Sensor AirFRONT Server ByFRONT Server Internet Office VLAN GUEST VLAN GUEST SSID PMS DLP 連動 System BYOD SSID Office SSID BYOD VLAN

2.4 構築範囲 2.4.1 BYOD 構築範囲 (1案) バックボーンスイッチで有無線 L2 ミラリングが可能な場合 凡例 無線コントローラー 1 無線コントローラー 2 F/W Server Farm AirFRONT Server 1 ByFRONT Server2 Router Server2 ByFRONT Server1 L3 Switch Edge Switch 無線端末 有線端末 1階ネットワーク 2階ネットワーク 有無線 InFRONT Sensor 1 有無線 InFRONT Sensor 2 Internet 凡例 新規構築 範囲

2.4 構築範囲 2.4.2 BYOD 構築範囲 (2案) バックボーンスイッチで有無線 L2 ミラリングが不可能な場合 凡例 無線コントローラー 1 無線コントローラー 2 F/W Server Farm AirFRONT Server 1 ByFRONT Server2 Router Server2 ByFRONT Server1 L3 Switch Edge Switch 無線端末 1階ネットワーク 2階ネットワーク 有無線 InFRONT Sensor 1 有無線 InFRONT Sensor 2 Internet 凡例 新規構築 範囲 有線端末 有線端末 有無線 InFRONT Sensor 1 有無線 InFRONT Sensor 2

未確認端末は、ゲストネットワークに接続するようにした後、ユーザーを確認し自動登録処理 2.5 Case Review 2.5.1 端末登録 InFRONT Sensor Office VLAN GUEST VLAN AirFRONT Server ByFRONT 1 2 認証失敗時 GUEST VLAN接続となる 3 通信会社ネットワーク OTP 送信 SMS 配信サーバー 4 ネットワークケーブルを分離後、再接続時、OA VLAN 接続となる 5 未確認端末は、ゲストネットワークに接続するようにした後、ユーザーを確認し自動登録処理 Mac 認証の試し DHCP IP 割当及び端末タイプ区分 端末登録ページ Redirection SMS OTP 送信 Office ネットワークに接続される

接続要請端末に対する認証過程で、権限による制限されたネットワーク接続を誘導 2.5 Case Review 2.5.2 接続権限制御 InFRONT Sensor AirFRONT Server ByFRONT GUEST Network (Internet) Office Network BYOD Network 接続要請端末に対する認証過程で、権限による制限されたネットワーク接続を誘導

ネットワーク接続時、IP割当て及び認証手続きを通じ、端末の情報が具体化される。 2.5 Case Review 2.5.3 端末情報収集 InFRONT Sensor AirFRONT Server ByFRONT GUEST Network (Internet) Office Network BYOD Network ネットワーク接続時、IP割当て及び認証手続きを通じ、端末の情報が具体化される。

ネットワーク未認証端末とか、ネットワーク接続ポリシー(IP or MAC 変造)違反を遮断 2.5 Case Review 2.5.4 非許可端末の遮断 InFRONT Sensor AirFRONT Server ByFRONT 認証端末情報 保護/固定IP 情報 ネットワーク未認証端末とか、ネットワーク接続ポリシー(IP or MAC 変造)違反を遮断

収集された端末情報に基づき、セキュリティシステムの連動シナジーを提供 2.5 Case Review 2.5.5 セキュリティシステム連動 ByFRONT Server F/W PMS DLP IP Address、 MAC Address、 社番、 部署名、 名前、 電話番号、 Email、 部署業務 ID & Contents 基盤のネットワークファイアウォール実現 端末別に許容可能な Data & Contents コントロール IP基盤で、端末区分パッチポリシーを強制 収集された端末情報に基づき、セキュリティシステムの連動シナジーを提供

BYOD Suite 2.6 製品紹介 項目 詳細仕様 IP割当体系 統合化 既存端末情報の統合 既存端末IP情報の統合 固定IP割当 スマート端末アクセスコントロールソリューション 項目 詳細仕様 IP割当体系 統合化 既存端末情報の統合 既存端末IP情報の統合 固定IP割当 重要IP保護 BYOD機能 具現化 別途クライアント(アプリケーション)の設置なし に、端末の種類を識別する技術 DHCP サーバー機能 DHCP Finger Printing TCP Finger Printing ウェブ認証 を通じる ユーザー端末 申込み体系 自動化 ウェブ基盤認証体系の具現化 受動で申し込むユーザー申込みページの自動化 使用端末登録のための SMSサーバー連動機能 統合ログ 使用端末、ユーザー統合情報管理/運用 BYOD Suite BYOD (Bring Your Own Device) 最近スマート端末の増加とともに、“スマート端末”を業務に活用する事例が増加 会社ネットワークに接続する端末を認証/管理しなければならないイシューが発生 端末に別途のクライアント(アプリ)を設置せず、中央で端末識別及びポリシーの割当可能なソリューションが必要となる。

SMA Suite 2.6 製品紹介 (製品構成) 認証サーバー BYODサーバー ウェブ認証 スイッチ 区分 SMA Suite 構成内容 製品名 AirFRONT 機能 認証サーバー メーカー ㈱エアキューブ 製品名 ByFRONT 機能 BYODポリシー、DHCP メーカー ㈱エアキューブ 製品名 InFRONT 機能 ウェブ認証機能 メーカー ㈱エアキューブ SMA Suite 区分 SMA Suite 構成内容 項目 製品名 内容 BYOD 統合認証サーバー AirFRONT 有無線統合認証サーバー 有線ネットワーク機器認証 (IEEE802.1x、RADIUS) 無線/スマート端末統合認証 (IEEE802.1x) ID基盤、認証書基盤、MAC基盤、IP基盤認証 BYODサーバー ByFRONT BYOD ポリシーサーバー スマート端末識別 (メーカー、O/S仕分け) DHCPサーバー機能 ユーザー端末 IP割当て IP割当て時、端末のタイプを区分し統合認証サーバーに伝達 ウェブ認証スイッチ InFRONT ウェブ基盤認証 非許可端末 MAC Address、IP探知/遮断 新規端末自動 MAC Address、IP収集

2.6 製品紹介 (管理ウェブ)

2.6 製品紹介 (管理ウェブ)

2.6 製品紹介 (管理ウェブ)

2.7 主要機能 項目 主要機能 説明 AirFRONT SMS 送信連動モジュール 端末追加及びゲストユーザーが接続時、OTPを利用したユーザー認証 AD 連動モジュール 無線認証時、ユーザーパスワードを確認 LDAP 連動モジュール 無線接続時、正社員、パートナーポリシーを確認し、該当VLANを割当 DHCP、InFRONT 通信モジュール DHCPサーバーよりIP 割当情報を取り込み、InFRONTでポリシーを引き継ぐ 統合ビューページ 管理者用統合ビューページ(許容されたIP、MAC、DHCP、端末タイプ) 端末申込みページ 許可されない端末を申し込むことができるページ ByFRONT 端末タイプ確認モジュール 端末のタイプを区別 (ノートPC/スマートフォン) DHCP 機能 有無線IP割当て 業務システム連動 PMS、DLP、Privacy-I 端末 MAC/IP 及びユーザー情報共有 InFRONT Web Redirection モジュール 許可されない端末を遮断し、AirFRONTの端末申込みページにRedirection AirFRONT ポリシー適用モジュール 端末申込みページで申し込んだ端末をリアルタイムネットワークに適用する

2.8 期待効果 2.7.1 Benefits 職員の 自主的な管理 - 別途の管理負担の最小化 - ネットワーク接続過程で登録するように誘導することで、ユーザー教育負担を最小化 - 端末の情報が接続過程で自動収集されるのでユーザー介入を最小化 体系的な 情報収集 誰が、いつ、どこで、どんな 端末を使うのかを、リアルタイムで確認し極大化 - 多様なセキュリティソリューションと連携し、IP & IDに根拠した各種セキュリティポリシーの強制が容易く、セキュリティを強化 ダイナミック ネットワーク分離 - ユーザーの権限によって分離ネットワークに自動IP割当て効率性を極大化 - IP及びネットワーク基盤のセキュリティポリシーの適用に対する容易性を極大化

2.8 期待効果 2.7.2 ネットワークセキュリティアクセスコントロールの強化 相互違う機器のユーザー及び端末情報を統合し、端末管理とアクセスコントロールを強化 接続端末タイプ(スマートフォン、ノートPC)を確認し、ネットワークアクセスを制限 OA、Partner、Guest ユーザーを区分し、ネットワークアクセスを制限 ユーザー及び端末区分によるアクセスコントロールを保証 接続者の申込み端末のMAC Addressを自動収集 SMS OTP KEYでユーザーの身元を確認 ユーザー端末の申込みを自動化し、管理者とユーザー便宜を提供 ユーザー情報、端末タイプ、IP、Mac Address などの情報を取り集め、統合管理を行うことができる。 統合管理による管理者の必要コストを削減 ユーザー端末履歴照会及び管理便宜提供

Special Thanks !