アクセス・コントロール・ソリューション購入ガイ …...アクセス・コントロール・ソリューション購入ガイド...

アクセス・コントロール・ソリューション

購入ガイド

ジュニパー統合型アクセス・コントロール

(UAC)2.0 ロズリン・リスラー

プロダクト・マーケティング

Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408 745 2000 or 888 JUNIPER www.juniper.net Part number:710057-002 2006年11月

アクセス・コントロール購入ガイド－ UAC2.0

2 Copyright © 2006, Juniper Networks, Inc.

目次はじめに ........................................................................................................................3 購入基準の概要 ...................................................................................................4

包括的なアクセス・コントロール .................................................................4 堅牢なセキュリティ ......................................................................................4 柔軟性と使いやすさ ......................................................................................5 運用と管理 ....................................................................................................5 コスト ...........................................................................................................6

ジュニパーの統合型アクセス・コントロール(UAC)2.0 制約のないアクセス・コントロール ...............................................................................7

ジュニパーの統合型アクセス・コントロール(UAC)2.0 .........................................7

UAC の機能 ...........................................................................................................8

ジュニパーネットワークス統合型アクセス・コントロール(UAC)2.0 購入のための詳細チェックリスト ...............................................................................10


Copyright © 2006, Juniper Networks, Inc. 3

はじめに

ここ数年、企業はアクセス・コントロールの必要性に直面しています。企業が活動範囲を広げた部分、つまり、リモートユーザーが管理されていないデバイスや管理できないなデバイスを使用して、重要な LAN 資源にアクセスしようとしている状況から、最初にこのアクセス・コントロールの必要性が認識されました。かといって、このようなリモートユーザーにはアクセス権を与えないようにすると、生産性に影響が出てしまいます。また、ユーザーに IPSec VPN アクセスへの権限を与えた場合、エンドポイントと LAN の間を素通しするトンネルが、ユーザーのエンドポイントが既に感染している可能性のあるウィルス、ワーム、スパイウェア、その他のマルウェアを自由に行きさせる感染経路として機能してしまうことが、頻繁に発生するようになってしまいます。【「また、ユーザーに IPSec VPN アクセスへの権限を与えた場合、エンドポイントと LAN の間を素通しするトンネルが出来てしまい、それがユーザーのエンドポイントから、既に感染している可能性のあるウィルス、ワーム、スパイウェア、その他のマルウェアが自由に行き来できる感染経路となってしまう、という事象が頻繁に発生するようになってしまいました。」ではどうでしょうか？】この問題の大きな解決策となったのが、SSL VPN です。SSL VPN は、エンドポイントのセキュリティ状態をユーザー認証に結び付け、また特定のセッションベースのロールと非常にきめ細かいリソースポリシーの実施によって、ネットワーク・アプリケーション／リソースを安全に未知のデバイスに提供したのです。しかし、サードパーティのユーザーなどキャンパス LAN のユーザーになる人が増えるにつれ、同じ問題がキャンパス LAN で再び浮上してきました。実際、いくつかの場面では、アクセス・コントロールの必要性が LAN そのものの中でより強くなっています。これは、ユーザーのタイプが企業活動の拡大で見られたよりも、多様化しているからです。ユーザーが多様化すると、エンドポイントも同じように多様化します。ネットワークの境界を通るモバイルデバイスから、企業が管理していないビジネスパートナーのデバイス、さらに、まったく管理できないゲストユーザーのデバイスまで、さまざまに変化します。今のネットワークの大半は、ユーザーの位置、つまりはLAN 上ですが、これが信頼できるという確信の下に構築されています。そのため、現在の LAN の大半には、ほとんど保護機能が組み込まれていません。キャンパスにいるとき、ユーザーはほとんどの時間 LAN 上にいます。また、ユーザー自身が気づかないうちに持ち込んでしまったセキュリティの脅威や脆弱性も同様に、LAN 上に存在するのです。このような状況に呼応するように、現在アクセス・コントロールの市場が急速に発展しています。ベンチャーから定評あるネットワーク／セキュリティベンダーまで、数多くのベンダーが人々の関心を引くために「アクセス・コントロール」という業界の流行語を多用しています。もちろん、正統派の考え抜かれた製品やサービスもありますが、単に既存の技術に新しい名前を付けて別の目的を持たせたに過ぎないもの、あるいは、実際には端から端まで何かしらのベンダーに縛られてしまう名前だけのマルチベンダー「ソリューション」もあります。ここでは、ユーザー独自の環境に適したアクセス・コントロールを検討する場合に、考えなければならない質問事項を検証していきます。質問は、お客様からの実際の要望に基づいています。特に、下記の分野についてご説明します。 •包括的なアクセス・コントロール

•堅牢なセキュリティ

•柔軟性と使いやすさ

•運用と管理

•コスト



購入基準の概要

包括的なアクセス・コントロール

最も革新的なアクセス・コントロール技術は、エンドユーザー確認とエンドポイントインテグリティ(整合性)を組み合わせたものです。ソリューションの中には、この組み合わせの一部分(たとえば、認証)しか利用していないものもあります。また、エンドポイントのセキュリティ状態をチェックするような機能を作ろうと、トラフィックの検査と組み合わせているソリューションもあります。しかし、それだけで本当に十分でしょうか？一方、エンドポイントのセキュリティ状態だけに依存し、アクセス・コントロールのためにネットワークベースのトラフィック処理機能と組み合わせていないソリューションもあります。真のソリューションでは、最低でも、ユーザー認証、デバイスの整合性、そしてポリシーで決定された位置情報を組み合わせる必要があります。これによって、包括的なアクセス・コントロールを実現することが可能になります。アクセス・コントロールのソリューションを購入するときに、まず確認が必要な質問の 1 つは、「そのソリューションは、今後直面するあらゆるユーザーケースを本当に処理してくれるのか？」ということです。従業員が週末にノートパソコンでインターネット・サーフィンを行った後、そのノートパソコンを持ち込む場合、まずはユーザーを認証し、エンドポイントのセキュリティ状態をチェックすることが必要です。、請負業者の PC やゲストユーザーの PC のセキュリティ状態をチェックする場合とは、おそらく何かまったく違うことをする必要がある場合があります。完全なアクセス・コントロール・ソリューションは、企業の PC や事前に組み込まれているソフトウェアなどに依存してはいけないのです。同時に、クロス・プラットフォームにも対応できなければなりません。ブランチオフィス(支店や支社)のユーザーについても別の適切な配慮が必要です。キャンパス LAN で見られるように、ブランチオフィスのユーザーにはすべてのユーザータイプ、つまり、従業員、請負業者、ゲストが含まれます。これらのユーザーは多くの同じ主要リソースへのアクセスを必要としますが、同じセキュリティ制限であることはほとんどありません。包括的なアクセス・コントロール・ソリューションは、エンドポイントのセキュリティ状態、ネットワーク情報、またはユーザー情報が変わった場合、さらにこのような変更がセッション中に行われた場合にも、動的にこの変化に対応できなければなりません。また、この動的なポリシーは、エンフォースメント・ポイント上のネットワーク全体に対して、リアルタイムで実施されなければなりません。キャンパスやブランチオフィスの企業 LAN インフラに大規模な投資をしている場合は、ポリシーのエンフォースメントに投資済みの既存のネットワークインフラをそのまま活用できることが理想です。

堅牢なセキュリティ

アクセス・コントロールは、最終的に、セキュリティの問題に収束します。つまり、ネットワークにおけるセキュリティに関する決定が、セキュリティを実現するという目的に特化したデバイスによって行われているかどうか、検討しなければなりません。この時点での検討事項は、企業インフラのある特定の機器類を購入した(またはこれから購入する)目的です。数多くの、さまざまな種類の装置の目的が、アクセス・コントロールのシナリオの中で変化しています。このような装置は、ネットワーク図の上でアクセス・コントロールのポジションをただ埋めているだけであり、アクセス・コントロールの装置として十分機能しているということではありません。このようなケースは、標準的なアクセス・コントロール・ソリューション全体のどこかというよりも、エンフォースメント・デバイス、特に、インラインに設置されているデバイスについて多く見られます。このように導入されている装置のスループット、可用性、そしてフォールトトレランスについては、慎重に検討する必要があります。



もう 1 つの検討事項は、アクセス・コントロール・ソリューションが、既に投資しているセキュリティデバイスを活用できるかどうかです。この点は、既存のファイアウォールへの投資を考えたときに重要になりますが、既存の AAA インフラへの投資を考えた場合も含めると、極めて重大な問題です。アクセス・コントロールは、既存の AAA スキームをシームレスに統合でき、既存の認証インフラを利用してユーザー確認を実行できるものでなければなりません。同じように、ユーザーおよびグループのメンバーシップ情報についてディレクトリサーバーも使用できれば、より高いコスト効率で、より安全な導入を実現できます。

柔軟性と使いやすさ

アクセス・コントロール・ソリューションを考えるときの重要な検討事項の 1 つは、ネットワークにそのソリューションを導入する場合に何が必要になるのか、ということです。(アクセス？)コントロール（ソリューション？）を少しずつ適用できる場合には、多くの企業では、最適な段階的アプローチを取ります。事実、すべてのネットワーク・セグメントは同じというわけではありません。たとえば、ネットワークの一部では、アクセス・コントロールのレベルのメリットを享受できるが、他の部分では、同じレベルのアクセス・コントロールに対し、規制へのコンプライアンスを示すためのビジネスニーズを満たすことが求められることもあります。さらに、トップアナリストによれば、多くの企業では、全社レベルで一度にアクセス・コントロールを導入することは、考えたことがないのだそうです。最善のソリューションとは、複数の導入方法を備え、また、理想的には、既存のインフラを基本要素のコンポーネントとして活用できるソリューションです。もう 1 つの重要な点は、アクセス・コントロール・ソリューションの柔軟性です。ネットワークは流れており、静止していません。包括的なアクセス・コントロール・ソリューションは、ネットワークの流れに伴って変化できるものでなければなりません。これは、多種多様な導入方法を備えたソリューションが必要となる、もう 1 つの理由です。ソリューションが柔軟性に富んでいれば、必要に応じて高額な特殊技術を備えた装置を利用することも可能であり、また、適切な選択であれば、より一般的な装置を使用することも可能です。どの導入方法を選択するかという問題には関係なく、導入済みのものを無駄にすることなく、別のエンフォースメント方法を追加できる必要があります。このレベルの相互運用性を約束する最善策の 1 つは、オープンな仕様と標準規格をベースとしたソリューションを探すことです。中には、「連携が可能」とか「業界全体」の標準規格への対応を謳うソリューションがありますが、このようなソリューションは、実際には単一のベンダーの独自アプライアンスまたはプロトコルに依存しています。今あるもの、たとえば、さまざまなエンドポイント・ベンダーのセキュリティ・ソリューション、さまざまな監査／ロギング用のソリューション、さまざまなネットワークインフラ(スイッチやルーターなど)、さまざまな認証プロトコルなど、既存のデバイスやサービスの安全を確保しながら新しく追加されたアクセス・コントロール・ソリューションを使用できるかどうか、または、1 つのベンダーのソリューションに自社のネットワークを束縛されてしまわないか、ということをよく考えなければなりません。さらに、気を付けなければならないのは、シンプルという理由から単一ベンダー路線を採用した場合は、装置の製品寿命を考慮してネットワークインフラを詳細に調べることが必要となってしまいうということです。

運用と管理

新しいアクセス・コントロール・ソリューションを評価するときに、導入しやすさが主な検討事項である場合、その次に重要になるのが、毎日の運用と管理です。結局、管理できなければ、堅牢なアクセス・コントロールは無意味です。管理要因を探るための大きな指標の 1 つは、ソリューションまたはコンポーネントは導入現場でのテストが完了しているかどうかを見ることです。アクセス・コントロールの分野はまだ新しいという単純な理由から、このアクセス・コントロール・ソリューションは完全に入念な検証が行われていると公言するベンダーこそいませんが、ソリ



ューションを構成するそれぞれの要素を検討することは可能です。ソリューションが動的に引き渡されるエージェントに依存している場合、たとえば、そのベンダーにこの技術を使っている製品の実績があるかどうか調べます。アクセス・コントロール・ソリューションの管理しやすさを判断するためのもう 1つの方法は、そのアクセス・コントロール・ソリューションを管理するために、既存のインフラを使用できるかどうか、ということです。監査ツールやロギングツールは独自仕様であるか？または日常的に使い慣れているものを使用できるか？必要なデータをインポートまたはエクスポートし、そのデータを処理してレポートを作成する簡単な方法があるか？また、ポリシーの作成または編集や、エンドポイントのセキュリティ基準の導入に必要な手順を、そのソリューションによってどの程度単純化できるのか？ということも検討するといいでしょう。

コスト

最後の検討事項はコストです。コストを検討する場合、柔軟性、使いやすさ、アクセス・コントロール・ソリューションを運用および管理するために費やされる日常の時間を、実際の取得コストとネットワークを再設計するための時間(必要に応じて)と合わせて考慮します。コストを検討する場合、柔軟性の問題、つまり、ソリューションが標準対応かどうかという点も浮上します。独自仕様のソリューションを導入すると、ベンダーのソリューションに事実上束縛された状況で、コスト、つまり価格を検討するということになります。標準規格対応のソリューション、またはオープンな仕様に対応しているソリューションであれば、必然的に投資収益率(ROI)は上がり、総所有コスト(TCO)は削減されます。これは市場圧力の単純な作用によるものです。顧客がものを選ぶときには、より良い製品をより安く求めようとするからです。たとえば、あるソリューションの導入に既存のスイッチインフラをアップグレードする必要がある場合、ネットワーク上のデバイス一覧を作成する時間を計算に入れ、ネットワークに導入するスイッチのタイプとスイッチを稼働させるプログラムのバージョンを決定し、また必要に応じてハードウェア／ソフトウェアをアップグレードし、ネットワークをテストすることも計算に入れなければなりません。ここでもう 1 つの考えなければならないことは、クライアント・ソフトウェアのインストールです。場合によっては、このプロセスが非常に煩わしく思われることもあります。コストの検討は、アクセス・コントロールの導入を段階的な導入に向かわせる可能性のある別の条件です。場合によっては、段階的な導入が好まれ、正当化がより簡単なこともあります。これは、段階的な導入によって、貴重な時間と経費が節約できるからです。一部のアクセス・コントロール・ソリューションは、段階的な方法で簡単に導入できるものもありますが、そうでないものもあります。



ジュニパーの統合型アクセス・コントロール(UAC)2.0 制約のないアクセス・コントロール

アクセス・コントロールのカテゴリは、今や、テクノロジーの中で最も関心の高い話題の 1 つです。アクセス・コントロールによって、知的財産の保護と規制コンプライアンスの実現から、企業の生産性の確保に至るまで、さまざまなメリットがあるからです。しかし、このカテゴリはまだ新しいので、アクセス・コントロールが非常に必要とされていることとは無関係に、多くの企業はソリューションの検討には注意深くなっています。一部のベンダーが提供するソリューションは、限定されたシングルベンダータイプのインフラに企業を束縛します。一方、新興ベンダーのソリューションには実績がありません。多くのベンダーがアクセス・コントロール・ソリューションを提供していますが、これらのソリューションは、スイッチインフラ、相互運用性の問題、ユーザータイプ、デバイスタイプ、導入に関する問題などの要因による制約があります。ジュニパーネットワークスの統合型アクセス・コントロール・ソリューションUAC2.0 は、このような制約のないアクセス・コントロールです。ジュニパーのUAC2.0 ソリューションは、エンフォースメント・ポイントにジュニパーのベストセラーのファイアウォールを採用している UAC v1.X に、さらに Funk Software 社製の市場トップの 802.1x コンポーネントを組み合わせたソリューションで、Odyssey アクセス・クライアント(OAC)のクライアント側のサプリカントと Steel-Belted Radius が含まれます。この結果が、多種多様な導入シナリオに対応可能なアクセス・コントロール・ソリューションであり、これに、802.1x の有線／無線インフラ、ジュニパー製のファイアウォール、またはこの両方を組み込むことも可能です。ソリューションの要素はどれも、文字どおり世界中の何千という企業への導入実績があるものばかりです。 UAC2.0 はまた、オープンな標準規格に対応するというジュニパーの公約を具体化したものです。UAC2.0 は、無線／有線に関わらず、あらゆる 802.1x インフラに対応します。また、UAC2.0 は、Trusted Computing Group(TCG)の Trusted Network Connect(TNC)に準拠しています。TNC ソリューションは、異なるベンダーのコンポーネントを安全に連携させるための標準インタフェースを規定したオープンなアーキテクチャで、既に設置されている装置と異機種ネットワークから、エンドポイント整合性とネットワーク・アクセス・コントロール(NAC)ソリューションを作り出します。TNC のアーキテクチャは、802.1x、RADIUS、IPsec、EAP、TLS/SSLなど既に確立されている標準規格と技術の上に構築されるように設計されています。これにより、企業は選択の幅が広がり、柔軟性も確保できます。企業は UAC2.0 を使用して、現在と将来のアクセス・コントロールを実現することができます。スイッチインフラのことを考えなくても、また、ジュニパー製のファイアウォールの有無に関係なく、企業は自分たちの会社に最善な導入方法を選ぶことができます。また企業は、TNC 準拠のソリューションを使用して導入する追加セキュリティを決定できます。さらに、UAC2.0 はシームレスに相互運用されるので、企業にとっては安心です。たとえば、多くの企業では 802.1x 対応のスイッチをまだ完全に稼働させていません。したがって、ジュニパーのファイアウォールを採用して段階的な導入を可能にすることが考えられます。ジュニパーのファイアウォールをエンフォースメント・ポイントとして使用する場合は、既存のファイアウォールの後ろに透過モードで導入することも可能です。802.1x が導入されている場合は、同じコントローラと同じエージェントを使用して、新しいポリシーを簡単に設定することができます。同様に、多くの企業は無線ネットワークの安全にも関心を持っています。この場合は、UAC を使用して 802.1x ベースのアクセス・コントロールを実行できます。さらにきめ細かいアクセス・コントロールが必要な場合は、ジュニパーのファイアウォールをいつでも追加することができます。

ジュニパーの統合型アクセス・コントロール(UAC)2.0

ジュニパーの統合型アクセス・コントロール(UAC)2.0 は、複数のコンポーネントから構成されています。この構成には、中央でポリシー管理を行うインフラネット・コントローラ、動的にダウンロードされるエンドポイント・ソフトウェアの UAC



Agent(ゲストデバイスなど、ダウンロードができない場合には、エージェントレス・モードも可能)、および、ジュニパー製のファイアウォールとベンダーを問わない 802.1x 準拠のスイッチの両方を含む複数のさまざまな形式のエンフォースメント・ポイントと無線アクセスポイントが含まれます。コントローラとエージェントの両方には、2005 年にジュニパーが買収した Funk Software の Odyssey アクセス・クライアント(OAC)の 802.1x サプリカントと Steel-Belted Radius を含む機能が統合されています。インフラネット・コントローラは、堅牢なポリシー管理サーバーで、ユーザー認証、エンドポイント整合性の検証、デバイスの位置情報を収集し、この情報をネットワーク、リソース、そしてアプリケーション・アクセスを制限するためのポリシーと組み合わせます。次に、802.1x 経由で IP アドレスを付与する前に、ネットワークの境界またはファイアウォール上のネットワーク内、あるいはその両方で、ポリシーがエンフォーサに渡されます。両方のタイプのエンフォースメント・ポイントを使用すれば、よりきめ細かいアクセス・コントロールを実行できます。 UAC Agent は、コントローラによってリアルタイムに供給され動的にダウンロードされるエージェントで、ジュニパーのインストーラサービスでインストールするか、または、別の方法で導入します。このエージェントでは、Odyssey アクセス・クライアント(OAC)の 802.1x 機能やレイヤ 3～7 のオーバーレイ機能を備えています。これらの機能には、動的なクライアント側のポリシー・エンフォースメントのための統合パーソナル・ファイアウォール、IPSec VPN(エンドポイントからファイアウォールまでの暗号化を実現)、アクティブ・ディレクトリへのシングルサインオンを含む、Windows デバイス用の機能も含まれます。さらに、このエージェントには、既に何千という導入実績を誇るジュニパーの Secure Access SSL VPN で洗練されたホストチェッカー機能も含まれます。管理者は、このホストチェッカー機能を使用して、たとえば、アンチウィルス、マルウェア、パーソナル・ファイアウォールなど(これらを含むが、これに限定されない)、多種多様なセキュリティ・アプリケーションとセキュリティ状態をチェックするために、エンドポイントをスキャンします。既に定義されているホストチェッカーのポリシーと、セキュリティステータスを評価する AV シグネチャファイルが最新の定義ファイルかどうかを自動的に監視する機能を使えば、導入が簡単になります。UAC では、レジストリやポート状態などの要素をチェックするカスタムチェックも可能で、MD5 のチェックサムを行って、アプリケーションの妥当性を検証することもできます。 UAC エンフォースメント・ポイントには、ベンダーを問わない 802.1x スイッチ／無線アクセスポイントのインフラ、およびオーバーレイ・エンフォースメント・ポイントが含まれます。これには、ジュニパーのセキュアルーターFW/VPN アプライアンスとジュニパーの IDP モジュール搭載の統合型セキュリティ・ゲートウェイなど、実質的にすべてのジュニパーの FW/VPN プラットフォームが含まれます。多彩なエンフォーサのプラットフォームによって、プリンターファームを保護する程度の小規模なファイアウォールから、多くのトラフィックが集中する場所でポリシーを実施する 30Gbps モデルに至るまで、柔軟な導入が可能です。ベンダーを選ばず規格として 802.1x スイッチや無線アクセス・ポイントに対応しているので、ハードウェアを再構成しなくても、企業はアクセス・コントロールのメリットをネットワーク接続の非常に早い段階で実現できます。UAC は、802.1x ベースの、またはレイヤ 3～7 のオーバーレイ・エンフォースメント・スキームに適合しています。この両方の技術を同時に使用すれば、よりきめの細かいアクセス・コントロールも可能です。

UAC の機能

ユーザーが認証情報をコントローラに送信する前でも、(802.1x モードまたは非802.1x モードで、エンドポイントに供給されたブラウザ対応のエージェントを経由して)ユーザーの要求から、数多くのさまざまなエンドユーザー属性が明らかになります。これらのユーザー属性には、ソース IP、MAC アドレス、ネットワーク・インタフェース(内部と外部)、デジタル証明書(存在する場合)、ブラウザの種類、SSLバージョン、エンドポイントのセキュリティチェックの結果などが含まれます。認証情報が送信されると、コントローラは包括的な AAA(認証、許可、アカウンティング)エンジンを、既存の RADIUS、LDAP、AD、Netegrity SiteMinder、



Certificate/PKI サーバー、匿名認証サーバーなどほとんどすべての一般的な AAA インフラに、シームレスに導入します。コントローラは、ユーザーの認証情報とグループ／属性情報(たとえば、グループのメンバーシップなど)を、ホストチェッカーが収集した情報など、認証情報の入力前に集められた情報と結合します。この結合によって、コントローラはユーザーをアクセス・コントロールの第 2 ステップ、つまり、セッション用のロールに動的にマッピングします。ロールの属性には、セッション属性／パラメータが含まれ、ロールがマッピングされる前にユーザーが遵守しなければならない制限の指定も可能です。この機能は、セキュリティが変化し、コンプライアンスを確実に行わなければいけない場合に、特に有用です。アクセス・コントロールの第 3 および第 4 ステップは、リソースポリシーです。リソースポリシーは、ネットワークとリソースのアクセスを規定します。いくつか例を挙げると、VLAN 割り当てやベンダー固有の属性(VSA)などのポリシーに基づくレイヤ 2の RADIUS 属性、IP アドレス／ネットマスク、ポート、または上述の範囲へのアクセスを規定するレイヤ 3 のポリシーなどです。IDP ポリシーや URL フィルタリングなどのレイヤ 7 のポリシーによって、動的な脅威管理のレベルを上げることができます。これまで説明したように、一連のレイヤのポリシーによって、アクセス・コントロール全体をさらにきめ細かく行うことができます。これに対し、ソリューションの中には、アクセス・コントロールのプロセスに、1 つまたは 2 つのステップしか含まないものがあります。また、顧客がこのレベルのきめ細かいコントロールを必要としない場合、あるいは、顧客が必要とする保護レベルでこのレベルのメリットが得られない場合、レベルを下げることも可能です。



ジュニパーネットワークス統合型アクセス・コントロール(UAC)2.0 購入のための詳

細チェックリスト

検討事項ジュニパーネットワークス統合型アクセス・コントロー

ル(UAC)2.0 包括的なアクセス・コントロール－統合型アクセス・コントロール2.0 検討中のソリューションは、数多くのさまざまなユーザーケースを扱うことができますか？たとえば、管理

デバイスと非管理デバイスは？ UAC2.0 は、エージェント・モードまたはエージェントレス・モー

ドの両方が可能なので、管理されているエンドポイントと管理され

ていないエンドポイントのエンドポイント整合性を要求に応じて検

証することができます。

企業が所有／管理していないビジ

ネスパートナーや請負業者のデバ

イスはどうなりますか？

このケースでは、いくつかの矛盾する問題が見られます。請負業者

にはきめ細かいアクセス・コントロールが必要ですが、請負業者が

所有しているデバイスは本来管理対象外のデバイスです。エージェ

ントをエンドポイントにダウンロードできない場合、UAC エージ

ェントレス・モードで、ユーザー証明書をブラウザで検証し、ユー

ザー認証前とユーザーセッションの間ずっと、エンドポイントをス

キャンしセキュリティ評価を行います。ポートベースのネットワーク・アドミッション・コントロールだけ

でなく、特定のネットワークリソースとアプリケーションへのきめ

細かいアクセス・コントロールを提供する方法を含むアクセス・コ

ントロール・ソリューションが、このケースを最適に処理します。

この問題を解決する方法はいくつかあります。たとえば、VLAN ネ

ットワークのセグメント化、エンフォースメント・ポイントにジュ

ニパー製のファイアウォールを採用したポリシーベースのネットワ

ーク・アクセス・コントロール、または両方を組み合わせた方法な

どです。

非管理デバイスのユーザーのゲス

トアクセスは？ UAC エージェントレス・モードは、このケースのために特に開発されました。UAC エージェントレス・モードは、ユーザー証明書をブラウザで検証し、ユーザー認証前とユーザーセッションの間ずっと、エンドポイントをスキャンしセキュリティ評価を行います。Windows プラットフォームの場合、エージェントレス・モードはサードパーティのアプリケーション、ファイル、プロセス、ポート、レジストリキー、MAC アドレス、IP アドレス、NETBIOS、カスタム DLL をチェックします。UAC エージェントレス・モードは、このチェックの結果を基に、アクセスを許可／拒否します。

管理者権限や限定的な権限など、

権限レベルの異なる従業員に対し

ては？

通常、従業員には非常にきめ細かいアクセス・コントロールが必要ですが、一般的に従業員には、企業が所有・管理するデバイスから企業のリソースにアクセスするというメリットがあります。ネットワーク・アドミッション・コントロールだけでなく、特定のネットワークリソースとアプリケーションへのきめ細かいアクセス・コントロールを提供する方法を含むアクセス・コントロール・ソリューションが、このケースを最適に処理します。この問題を UAC2.0 で解決する方法はいくつかあります。たとえ

ば、VLAN ネットワークのセグメント化、ジュニパー製のファイア

ウォールを採用したポリシーベースのネットワーク・アクセス・コ

ントロール、または両方を組み合わせた方法などです。



組織内でロールの異なる従業員

は？ UAC 2.0 を使用して、組織内の異なるロールを持つ従業員に、異な

るエンドポイント評価モードを割り当て、さまざまなユーザー権限

を持つユーザー／エンドポイントを検証することができます。ま

た、UAC 2.0 ではディレクトリストアからユーザー情報とグループ

のメンバーシップ情報を集め、適切なアクセス権限を動的に容易に

割り当てることができます。

エージェントがない場合、エージ

ェントをプレインストールできな

いユーザーは？

UAC エージェントレス・モードは、このケースのために特に開発

されました。UAC エージェントレス・モードは、ユーザー証明書

をブラウザで検証し、ユーザー認証前とユーザーセッションの間ず

っと、エンドポイントをスキャンしポスチャ評価を行います。

エージェントを動的にダウンロー

ドできますか？はい、UAC2.0 には、動的にインストールされるエージェントが用

意されています。さらに、自動バージョン管理機能によって、エー

ジェントは常に最新バージョンにアップデートされ、トラブルシュ

ーティングや保守の運用コストをできるだけ低く抑えることができ

ます。UAC は、Active X または Java を使用しているため、あらゆ

る接続環境において、エンドポイントを評価するエージェントを柔

軟に提供します。

クロス・プラットフォームのエン

ドポイントの場合は？ Mac Linux Solaris

UAC エージェントレス・モードはクロス・プラットフォームにも

対応しているので、Windows 以外のデバイスの状態もチェックす

ることが可能です。プラットフォームが Mac、Linux(SuSE、Fedora、RedHat)、Solaris の場合、UAC はファイル、ポート、プ

ロセスをチェックし、ネットワークアクセスを付与する前に、エン

ドポイント整合性を検証します。UAC には、対応ブラウザを使用

するエンドポイントのポスチャ評価を行わずに、ユーザー認証だけ

を行うオプションも用意されているので、PDA も使用できます。

出張や異動でセキュリティが変わ

ったユーザーは？ UAC を使用して、グループだけでなく拠点ごとにポリシーを設定

することも可能です。

オフサイトの非管理デバイス(イン

ターネット・キオスクなど)からア

クセスしようするユーザーは？

オフサイトの非管理デバイスからアクセスを試みるユーザーは、ジュニパーネットワークスの Secure Access アプライアンスなど、SSL VPN ゲートウェイ経由のアクセスを強制されます。この場合、アクセス・コントロールは、アクセス方法に従って、非常にきめ細かいレベルで、割り当てられます。SSL VPN の安全性が十分でない場合、または、導入環境でその SSL VPN が必要な場合でも、UAC を同じように使用することができます。ユーザーがオフサイトの場合、エージェントまたはエージェントレスの機能を利用できない場合等は、ユーザーのアクセスをネットワークの特定領域または特定の VLAN のみに限定することができます。

802.1x を使用する環境への対応

は？ UAC2.0 は、ベンダーを問わず 802.1x 対応デバイスとの相互運用

が可能です。

さまざまなセキュリティ・ソフト

ウェアを実行しているデバイスの

場合は？

UAC2.0 は、Trusted Computing Group(TCG)グループの Trusted Network Connect(TNC)仕様に準拠しています。

そのソリューションは、アクセス・コントロールの一環としてネットワーク資産を保護しますか？具体的な

質問事項は次の通りです。

そのソリューションではネットワ

ーク・アドミッション・コントロ

ールを備えていますか？

UAC2.0 は、802.1x を使用して、ネットワーク接続の非常に早い段

階でネットワーク・アドミッション・コントロールを実行します。



そのソリューションではリソース

／アプリケーション・アクセス・

コントロールを備えていますか？

UAC2.0 は多彩な導入方法に対応しているので、よりきめ細かいリ

ソース／アプリケーション・レベルのアクセス・コントロールが可

能です。リソース／アプリケーション・レベルのアクセス・コント

ロールを、ジュニパーのファイアウォールを使用して 802.1x のア

ドミッション・コントロール展開に追加することができます。また

は、オーバーレイ環境に導入することも可能です。

エンドポイントのネットワーク・

アクセスが許可された後、このソ

リューションはこの保証されたエ

ンドポイントを悪意あるユーザー

／デバイスから保護しますか？

UAC2.0 は、さまざまな方法でこれに対処することができます。1番目は、802.1x を導入する方法です。これで、ユーザーがネット

ワーク上の IP アドレスを取得する前であっても、ユーザーを認証

し、ユーザーのエンドポイント・セキュリティ状態を検証すること

ができます。この方法によって、悪意あるユーザーや、知らないう

ちに自分の端末を感染させてしまったユーザーから、効率的に保護

することができます。2 番目は、UAC Agent を使用する方法です。

UAC Agent にはステートフルなパーソナルファイアウォールも含

まれているので、より高度な保護を行うことが可能です。そのソリューションはホストのセキュリティとネットワークのセキュリティを統合し、意味のあるセキュリ

ティを実行できますか？具体的な質問事項は次の通りです。そのソリューションはアクセス・

コントロールの決定をエンドポイ

ントのソフトウェアだけに頼って

いるのですか？

UAC2.0 は、UAC Agent を使用してホスト上のアクセス・コントロ

ールを決定し、802.1x またはエンフォーサとしてジュニパーのフ

ァイアウォールを使用、あるいは両方を使用して、ネットワーク上

のアクセス・コントロールを決定します。これで、意味のあるポリ

シー管理を実現できます。

そのソリューションはネットワー

ク全体に対してもセキュリティポ

リシーを実行しますか？

UAC2.0 は、アクセスレイヤとデータセンターのリソースの前で、

柔軟にポリシーを実施できるので、キャンパスの有線／無線ネット

ワークの安全を確保したり、ブランチオフィスでポリシーを動的に

実施することが可能です。

そのソリューションはユーザーのログイン前にのみエンドポイントの整合性を評価するのですか？それとも、動的なセッション中のコンプライアンスをチェックするために、セッションの間はずっとユーザー／エンドポイントの監視を続けますか？

UAC2.0 は、ログイン前にエンドポイントを評価し、ログイン後の

ユーザーセッション継続中には、管理者が指定した間隔で定期的に

エンドポイントの評価を行い続けます。これは、完全かつ動的な保

護を行うために欠くことのできない機能です。

そのソリューションは、最初は認

証されたものの、同じセッション

中にコンプライアントでないと見

なされたエンドポイント・デバイ

スを、直ちに検疫場所に隔離でき

ますか？

UAC2.0 は、セッション中にコンプライアントでないことが判明し

たエンドポイントに対し、複数の処理方法を用意しています。それ

ぞれの処理は直ちに行われるようになっています。処理が実行され

る場合、ユーザーはコンプライアントでないことについて説明

(TNC の Reason String を使ったもの)されて状況を知らされるか、

または修復用の VLAN に回され、修復のために何が行われるかを伝

えられます。あるいは、単にアクセスを拒否することも可能です。

サーバー上のポリシーが変更され

た場合、ネットワーク全体を動的

に再評価し、リアルタイムでアク

セス・ポリシーを実施することが

可能ですか？

UAC2.0 では、アクセス・コントロール・ポリシーをリアルタイム

に伝達し、実施する機能を備えています。新しいポリシーは、任意

のベンダーの 802.1x 対応デバイスまたはジュニパーのファイアウ

ォール、あるいは両方を備えたエンフォースメント・ポイントに送

られます。UAC Agent が導入されていれば、エンドポイントの

UAC Agent にも新しいポリシーが送られます。



そのソリューションは、ネットワ

ークのパフォーマンスを落とさず

に、セキュリティとアクセス・コ

ントロールを実施しますか？

UAC2.0 の唯一の要素は、インフラネット・コントローラで、これ

はネットワーク上の通常のトラフィックフローにはありません。ポ

リシーが設定されている場合、インフラネット・コントローラはセ

ッションの非常に早い段階にのみ、アクセス・コントロールに関与

します。その後、トラフィックは通常通りに、スイッチインフラま

たは無線インフラ、ファイアウォールを経由して流れます。

そのソリューションはコンプライアントではないエンドポイント・デバイスを修復することができますか？

そのソリューションは修復を支援してくれますか？

UAC2.0 には、ユーザーがマシンを簡単に修復できるように、修復機能が備えられています。ソリューションが TNC 準拠のセキュリティ・アプリケーションであれば、特に簡単です。なぜならば、TNC にはユーザーに問題を伝える Reason String があるので、管理者はわざわざ説明文を入力する必要はありません。UAC2.0 には、自動修復機能も用意されています。修復を行う場合、UAC2.0 ソリューションはエンドポイントを動的に再評価してから、改めてエンドポイントにネットワークアクセスを付与します。

堅牢なセキュリティ ― 統合型アクセス・コントロール2.0

検討中のソリューションは本当に安全ですか？具体的な質問事項は次の通りです。

そのソリューションは悪意のあるユーザーに攻撃されることがありますか？

UAC2.0 のネットワーク内のポリシー・エンフォースメントは、悪意あるユーザーによって簡単にすり抜けられるセキュリティ・エンフォースメントではなく、ポリシーの評価／エンフォースメントは暗号化されたチャンネルを通して行われます。

ユーザーがそのソリューションを簡単にスプーフィングする(偽る)ことは可能ですか？

UAC2.0 は、UAC Agent に付属し、他の IPSec クライアントと互換性のあるネイティブの IPSec クライアントを使用しているため、ネットワークリソースへのアクセス権とユーザートラフィックの認証性が与えられる前に、エンドポイント／ユーザーを確実に検証することができます。IPSec セッションは、3DES、DES、または Null暗号化での設定が可能です。状況によってはこの方法は過剰であるとも思われますが、スプーフィングに対して非常に有用です。

ポリシーサーバーは安全ですか？ UAC のポリシーサーバーは、既知の脆弱性と攻撃ベクトルから保護するためのサービスが強化された、目的特化型のアプライアンスです。さらに、コントローラは、機密データの保護に AES によるディスク暗号化を採用しています。

クライアントは、ユーザーによる設定の変更または追加を防止できますか？

UAC2.0 のネットワークベースのセキュリティは、エンドポイントの悪意ある振る舞いを検知し、それに対し適切なアクションを取るソリューションです。

このソリューションには、ミッション・クリティカルな LAN 資産を保護するために、既存のセキュリティ規格や既存のセキュリティサービス(アンチウィルス、ディープ・パケット・インスペクション、侵入検知防御、URL フィルタリングなど)が内蔵されていますか？

UAC2.0 ソリューションそのもののセキュリティ機能に加え、導入オプションとして、さまざまなセキュリティ機能を追加することが可能です。ジュニパーのファイアウォールが導入されていれば、ジュニパーの侵入検知防御の機能、ネットワークベースのアンチウィルス、URL フィルタリングなど、業界トップのセキュリティデバイスの堅牢な機能をすべて利用することができます。これらの機能はどれも、UAC2.0 ソリューションの一部として動的に利用されるので、企業はアクセス・コントロールを実施するだけでなく、ディープ・パケット・インスペクション、アンチウィルス、URL フィルタリングなどのセキュリティポリシーをユーザー／セッションごとに適用することが可能です。

柔軟性と使いやすさ ― 統合型アクセス・コントロール2.0

そのソリューションは導入と操作が柔軟で簡単ですか？



ネットワークアクセスを動的に管理するロールをユーザーにマップする中央のポリシーストア

インフラネット・コントローラは、統合型アクセス・コントロール2.0 ソリューション内で、ポリシー管理サーバーとして機能します。UAC ソリューションは全体的に、実運用での経験の積み重ねであるポリシー要素を、(SSL VPN の)アクセス・コントロール領域と AAA の世界(OAC および SBR)に組み込んでいます。ユーザーを簡単に 1 度だけ認証し、ネットワーク・セグメントだけを頼りに比較的雑なアクセス・コントロールを決定する方法とは異なり、UACソリューションには、認証／許可、ロール、およびリソースの 3 種類のポリシーが組み込まれます。

1. そのソリューションは、次のような情報を収集して、アクセスポリシーを動的に設定しますか？

A. エンドポイントの継続的な評価 UAC2.0 では、エンドポイントのセキュリティ整合性は、ログイン前だけでなく、セッション中ずっと評価を継続することができます。UAC2.0 は、TNC のオープンな仕様に準拠しているので、ソリューションをシームレスに導入することが可能です。必要に応じ簡単にユーザーの修復を行うこともできます。

B. ユーザープロファイルコントローラには、さまざまな認証方式と認証スキーム、およびディレクトリストアが組み込まれています。コントローラは、ユーザー属性、認証属性、グループのメンバーシップなどの詳細な属性を評価し、これを使用してネットワークアクセスをコントロールするロールにユーザーをマップします。

C. ネットワーク情報ジュニパーの SSL VPN と同様、ネットワーク固有のチェックを実行するように UAC2.0 を設定できます。

D. ポートとアプリケーションジュニパーの SSL VPN と同様、ポート上の動きと特定のアプリケーションの有無をチェックするように UAC を設定できます。

E. オペレーティング・システム UAC 2.0 にはさまざまな OS バージョン向けの定義済みのチェック機能があらかじめ組み込まれているので、チェックの設定を簡単にできます。

F. パッチ・コンプライアンス UAC2.0 はパッチの有無をチェックし、この結果を使用して動的なアクセス・コントロールを実行します。

そのソリューションは既存のポリシーストアを活用し、このプロファイル／属性を使ってネットワークアクセスをコントロールしますか？

UAC2.0 は、デュアルファクタ認証、Active Directory、デジタル認証／PKI ソリューション、LDAP、Netegrity Siteminder、NTLM、Radius、RSA ACE、UNIX NIS、アノニマス認証など、多種多様なIAM ソリューション、認証方式、ディレクトリストアに対応しています。

そのソリューションは規制コンプライアンスの準拠にどのように役立ちますか？

UAC2.0 は、コンプライアンスに向けての優れた第一歩です。なぜならば、UAC2.0 では、さまざまなユーザーアクセスに対応できる強力な認証機能と、ログイン時とセッション中にエンドポイントのセキュリティ状態をチェックする機能が組み合わされているからです。UAC2.0 には多彩な監査機能とログ機能も搭載されているので、コンプライアンスをより簡単に実現できます。

そのソリューションでは、監査モードとエンフォースモードを組み合わせて、柔軟に実行する機能に対応していますか？

UAC2.0 ではこれらのモードを組み合わせて柔軟に実行することができます。また、評価目的での導入も可能で、これにより、データのログと監査を行いながら、規制基準に沿って LAN ユーザーのネットワーク・コンプライアンスとトラフィックパターンを確認することができます。

単一障害点の発生を減らす高可用性

UAC2.0 ソリューションでは、高可用性が極めて重要なキャンパス、ブランチオフィス、またはデータセンターにおいて、アクセス・コントロール・ポリシーを柔軟に実施します。UAC2.0 ソリューションのインフラネット・コントローラは、クラスタペア構成またはマルチクラスタ構成での導入も可能です。ステートフルなクラスタリングによって、WAN および LAN 上でのアクティブ－アクティブ構成またはアクティブ－パッシブ構成をサポートします。



このソリューションでは、周辺のネットワークを再構築しなくても、エンフォースメント・ポイントを導入することができますか？

UAC2.0 では、オーバーレイ・ファイアウォールの導入法を使用して、このような導入を簡単に行うことができます。エンフォースメント・ポイントはトランスペアレント（レイヤー2）モードで導入可能です。つまり、必要に応じて既存のファイアウォールの後ろに導入することができます。これによって、構成を追加しなくても簡単な導入が可能になります。この機能を監査モードでソリューションを導入する機能に組み合わせると、ミッション・クリティカルなトラフィックを危険に晒すことなく、快適にソリューションを使用することができます。

そのソリューションの導入は容易ですか？具体的な質問事項は次の通りです。

そのソリューションで、既存のネットワーク／セキュリティインフラ、セキュリティデバイス、およびセキュリティ・ソフトウェア、またはそのいずれかを活用できますか？

UAC2.0 は、ベンダーを問わない 802.1x 対応のスイッチまたは無線インフラ、既存のジュニパー製のファイアウォール、あるいはその両方に対応します。UAC2.0 は、実質的に、すべての AAA ソリューションおよび IAM ソリューションとシームレスに相互運用ができます。さらに、UAC2.0 は TNC 準拠であるので、多種多様なセキュリティ・アプリケーション／ソリューションとの相互運用性が保証されています。

アンチウィルス、ファイアウォール、アンチスパイウェア、OS バージョンのチェックはあらかじめ定義されていますか？

UAC2.0 では、アンチウィルス(AV)ソフトウェア、ウィルス定義ファイル、ファイアウォール、アンチスパイウェア、OS バージョンのチェックがあらかじめ定義されているので、管理者は簡単にセキュリティポリシーのチェックを設定でき、この設定をアクセス・コントロール・ポリシーと結び付けることができます。UAC には、最新の AV シグネチャファイルの自動監査／エンフォースメント機能があるので、シグネチャを常に最新状態に保つことも簡単です。

そのソリューションは段階的な導入が可能ですか？具体的な質問事項は次の通りです。

ネットワークの重要な部分を保護することから、まずソリューションの導入を始めて、徐々にエンフォースメント・ポイントを追加していくことは可能ですか？

UAC2.0 は、実質的に市場にあるどのソリューションよりも、導入の柔軟性に富んでいます。UAC2.0 は、任意のベンダーの 802.1x対応スイッチまたは無線アクセスポイントを使用して導入することも可能です。したがって、企業がこのような要素を既に配置している場合は、アクセス・コントロールを簡単に導入できます。シングルベンダーに束縛される必要はありません。よりきめ細かいアクセス・コントロールが必要な場合は、ジュニパーのファイアウォールをいつでも追加で導入することができます。このとき、コントローラやエージェントの再導入は不要です。企業がまだ完全に 802.1x対応のインフラを導入していないような場合は、既存のジュニパーのファイアウォールを使用するだけで、段階的な導入を実現することができます。ジュニパーのファイアウォールをエンフォースメント・ポイントとして使用する場合は、既存のファイアウォールの後ろにトランスペアレント（レイヤー2）モードで導入することも可能です。802.1x が導入された場合は、コントローラとエージェントはそのままで新しいポリシーを簡単に設定することができます。

組織はこのソリューションを使用して、コンプライアンスまたは非コンプライアンスについてカスタムメッセージを作成できますか？

UAC2.0 では、修復用インフラへの誘導を含め、カスタムメッセージを、ソリューションが実施するセキュリティポリシーに非常にきめ細かく結び付けることができます。このため、ユーザーは指示に従って簡単に修復を行うことできます。TNC 準拠のセキュリティ・アプリケーションの場合は特に簡単で、TNC の Reason Stringを利用できます。

組織はこのソリューションを使用して、問題のあるデバイスの検疫を行わずに、コンプライアントでないエンドポイントに単に警告メッセージを送ることができますか？

UAC2.0 は評価モードでの導入が可能なので、セキュリティポリシーに沿って LAN ユーザーのネットワーク・コンプライアンスとトラフィックパターンを確認することができます。この導入方法は、エンドポイントの実際のセキュリティ状態を調査することで、必要な保護レベルを確認できるので、パイロットモデルの導入して優れた手法となります。



ソリューションのコンポーネント

は業界標準に準拠していますか？ジュニパーネットワークスは、Trusted Network Connect(TNC)イニ

シアチブを通じて幅広いアクセス・コントロール標準を規定する

Trusted Computing Group(TCG)の取り組みを積極的にサポートし

ています。UAC2.0 は 802.1x にも対応しているので、並ぶものの

ない柔軟性を提供します。

運用と管理 ― 統合型アクセス・コントロール2.0

このソリューションではどのよう

にポリシーを設定するのですか？ UAC では、ポリシーを簡単に設定しメンテナンスすることもでき

ます。ポリシー定義はコピー、子ポリシーの作成、または編集が可

能で、効率的に運用することができます。使用中のポリシーに基づ

いて新しいポリシーを作成する必要があるときは、管理者は既に設

定されているポリシーを再利用することができます。たとえば、動

的な認証ポリシー、ロール定義、ロール設定、および、同じロール

に関連付ける複数のリソースグループの設定や既存のリソースグル

ープ設定に簡単に追加できるロールなど、リソース認証ポリシーな

どのポリシーです。

このソリューションの標準レポー

ト機能は？コントローラは、標準でさまざまなレポート機能を備えているの

で、ソリューションを適切に提供したり、パフォーマンスを監視し

たり、コンプライアンスを確実にするなど多くのことを簡単に行う

ことができます。標準レポートには、ユーザーレポートとセッショ

ンレポート、コンプライアンス・レポート、リソースアクセス・ト

ラッキング、システムレポートなどがあります。

レポートをフィルタリングまたは

カスタマイズすることができます

か？

Syslog、WELF、および W3C などの標準フォーマットやカスタム

フォーマットなどさまざまなフォーマットで、ログをフィルタリン

グすることができます。これによって、企業は既存のレポートツー

ルを利用することができ、使用しているフォーマットで情報をいつ

も表示することも可能です。この情報を、セキュリティイベント管

理ソリューションと連携させて、カスタムレポートを生成すること

もできます。

役割の異なる複数の管理チーム

が、ソリューション内で各チーム

の専門部分(セキュリティ、ネット

ワークなど)をコントロールするこ

とは可能ですか？それぞれのセグ

メントを担当する管理者は、自分

のセグメントへのアクセスをコン

トロールすることができますか？

UAC2.0 には管理者の委任機能があり、さまざまなチーム(セキュリ

ティ、ネットワーク、アプリケーション)が、リソースのさまざま

なセグメントへの細かい読み取り／書き込み権限を持つことが可能

です。これにより、それぞれのチームは、それぞれの設定内でポリ

シーをきめ細かくコントロールすることができます。分散ネットワ

ークのセグメントについても同様です。

ジュニパーは、ポリシーサーバー

とこれに関連する機能のコア技術

を所有していますか？あるいは、

パートナーからライセンスを供与

されているのですか？

インフラネット・コントローラのコア技術は、いくつかの異なる技術を利用していますが、この技術はすべて、ジュニパーネットワークスが所有しています。これらの技術には、中核のポリシー管理サーバーが含まれます。このポリシー管理サーバーは、ジュニパーのSecure Access SSL VPN 製品ラインの一部として開発され、ジュニパーの Steel-Belted Radius サーバーの RADIUS 機能が統合されました。また UAC Agent では、Odyssey アクセス・クライアント(OAC)の 802.1x 準拠サプリカント機能を備えています。

ポリシー管理サーバー(ジュニパーの Secure Access SSL VPN を利

用)

統合 RADIUS 機能(ジュニパーの Steel-Belted Radius を利用)

統合 802.1x サプリカント機能(ジュニパーの Odyssey アクセス・ク

ライアントを利用)



コスト ― 統合型アクセス・コントロール2.0

検討中のソリューションのコストはすべて明確ですか？「見えないコスト」を見落としていませんか？

このソリューションによって会社はシングルベンダーに制限されますか？

UAC2.0 は、特に、導入に関するこのよくある問題を克服するように設計されています。UAC を使用すれば、企業は既に投資している任意のベンダーの 802.1x 対応スイッチや無線インフラ、AAA インフラ、およびセキュリティ・アプリケーションをそのまま利用することができます。ジュニパーのファイアウォールが配備されている企業であれば、このファイアウォールをエンフォースメント・ポイントとしても利用できます。（これは UAC の導入に必須ではありません。）

このソリューションを導入するには、ネットワークインフラのアップグレードが必要ですか？

いいえ。UAC2.0 は、インフラが 802.1x 対応でも、ジュニパーのファイアウォールを使用しているとしても、既存のインフラの中に組み込むことができるように、注意して設計されています。企業がエンフォースメント・ポイントを配備していない場合は、ジュニパーのファイアウォールをトラフィックの集中するポイントに導入すれば、コストを最小限に抑えて、スイッチインフラのアップグレードをせずに、よりきめ細かいアクセス・コントロールを行うことができます。既存のファイアウォールを変更しない場合には、ジュニパーのファイアウォールを既存のファイアウォールの後ろにトランスペアレント（レイヤー2）モードで導入し、エンフォーサーとしてのみ機能させることも可能です。また、監査モードで、アクセス・ポリシーの策定に必要な情報を収集ことが可能です。

このソリューションは、オープンスタンダードを使用していますか？

UAC2.0 は 2 種類の重要なオープンスタンダードを採用しています。1 つは、IEEE 802.1x 標準、もう 1 つは TNC が開発したオープンな標準規格です。この標準規格の組み合わせれば、企業は自分たちのニーズに最適な装置やセキュリティ・アプリケーションを多数の選択肢から選択することができ、総所有コスト(TCO)を削減して、投資収益収益率(ROI)を上げることができます。

Copyright © 2006, Juniper Networks, Inc. All rights reserved.Juniper Networks、Juniper Networksのロゴ、NetScreen、NetScreen Technologies、NetScreenのロゴ、NetScreen-Global Pro、ScreenOS、及びGigaScreenは、米国及びその他の国のJuniper Networks, Inc. の商標及び登録商標です。

以下は、Juniper Networks, Inc. の商標です：ERX、ESP、E-series、Instant Virtual Extranet、Internet Processor、J2300、J4300、J6300、J-Protect、J-series、J-Web、JUNOS、JUNOScope、JUNOScript、JUNOSe、M5、M7i、M10、M10i、M20、M40、M40e、M160、M320、M-series、MMD、NetScreen-5GT、NetScreen-5XP、NetScreen-5XT、NetScreen-25、NetScreen-50、NetScreen-204、NetScreen-208、NetScreen-500、NetScreen-5200、NetScreen-5400、NetScreen-IDP 10、NetScreen-IDP 100、NetScreen-IDP 500、NetScreen-Remote Security Client、NetScreen-Remote VPN Client、NetScreen-SA 1000 Series、NetScreen-SA 3000 Series、NetScreen-SA 5000 Series、NetScreen-SA Central Manager、NetScreen Secure Access、NetScreen-SM 3000、NetScreen-Security Manager、NMC-RX、SDX、Stateful Signature、T320、T640、及びT-series。その他記

載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、それぞれの所有者にに帰属します。これらの仕

様はすべて予告なく変更される場合があります。

本書の記載内容に誤りがあった場合、ジュニパーネットワークスは一切責任を負いません。ジュニパーネットワークスは、本発行

物を予告なく変更、修正、転載、または改訂する権利を有します。

アクセス・コントロール・ソリューション 購入ガイ …...アクセス・コントロール・ソリューション 購入ガイド...

Documents

アクセス・コントロール・ソリューション購入ガイ …...アクセス・コントロール・ソリューション購入ガイド...