現在地

ホーム » 製 品 » セキュリティ製品 » Identity Services Engine

Identity Services Engine

Cisco Identity Services Engine

現在、企業ネットワークはこれまでになくダイナミックなものになっており、より多くのユーザ、デバイス、アクセス方法に対応しています。アクセス数とデバイス数の急増に伴い、セキュリティ違反の可能性や運用面での新たな課題が生まれています。現代におけるネットワークセキュリティや業務効率の維持には、アクセスポリシーの効果的な実施、ネットワーク使用の監査、企業コンプライアンスの監視、そしてネットワーク全体のアクティビティの可視化の向上を実現するための新しいソリューションが必要となります。

シスコでは、こうした障害に対応するにあたり、ネットワーク セキュリティ担当者や管理者の方々をサポートするソリューション、Cisco® Identity Services Engine をご提供しています。

製品概要

Cisco Identity Services Engine は、企業におけるコンプライアンスの実施、インフラストラクチャ セキュリティの向上、サービス オペレーションの簡易化を実現する次世代の ID およびアクセス コントロール ポリシー プラットフォームです。その独自のアーキテクチャにより、企業はネットワーク、ユーザ、デバイスの背景情報をリアルタイムで収集し、有線、無線、リモートを含め、ネットワーク インフラストラクチャ全体にポリシーを実施することで、積極的な管理を行うための意思決定を行うことが可能となります。Cisco Identity Services Engine は、Cisco TrustSec® ソリューションと SecureX アークテクチャの重要な要素です。

Cisco Identity Services Engineは、認証、認可、アカウンティング(AAA)、ポスチャ、プロファイリング、共通プラットフォームでのゲスト管理など、様々なサービスを組み合わせた強力かつ柔軟性の高いポリシーベースのアクセスコントロールソリューションを提供します。これにより、複雑性を軽減し、企業全体において一貫性を実現することが可能となります。Cisco Identity Services Engine を使用することで管理者は、一貫した形でユーザやエンドポイント向けのアクセス コントロールポリシーの作成や管理を行い、ネットワークに接続されているすべてのものを徹底的に可視化することが可能となります。

機能

Cisco Identity Services Engine:

  • 企業全体において一貫したポリシーを用い、有線、無線、VPN を介して、ユーザやエンドポイントの認証や承認を行うことができます。
  • ネットワークへの不正アクセスを防ぎ、企業資産を保護します。
  • オンボードのゲストに対するスポンサーに権限を与えることで、ゲストのライフサイクルの徹底的な管理を実現し、IT 業務を軽減します。
  • カスタマイズ可能なポータルと Web ページのホスト機能を提供し、ビジネス定義されたワークフロー内のオンボードと全体的なエンドユーザ体験を簡易化します。
  • ネットワークに接続されたエンドポイントを自動的に検出、分類、管理して、エンドポイントごとに適切なサービスを提供することで、ネットワークの総合的な可視性を高めます。
  • 定期的な評価と改善を通して、ウィルス、ワーム、スパイウェアなどのネットワーク上の脅威を積極的に軽減することで、ユーザのマシンの脆弱性に対応します。
  • 検疫領域にある不適合なマシンをブロック、隔離、修正しながらセキュリティ ポリシーを実施するため、管理者が常に注意を払う必要がなくなります。
  • ヘルプデスク オペレータや管理者が操作を簡易化することができるよう、内蔵コンソールがモニタリング、レポーティング、トラブルシューティングを行います。
  • アクティブ エンドポイント スキャニングによってネットワーク上のデバイスを特定しながら、より細かい粒度を実現します。ポリシーに基づいて特定の属性デバイスのスキャン向けに特定のエンドポイントを絞り込むことで、ネットワークベース プロファイリングを強化するため、ネットワーク全体の正確性と総合的な可視性を高めることができます。
  • エンドポイント保護サービス(EPS)を用いて、ネットワークへのエンドポイント アクセスを管理します。EPS を使用することで管理者はシンプルなインターフェイスから、エンドポイントを特定し、新しい VAN に移行したり、元の VAN に戻ったり、あるいはエンドポイントをネットワーク全体から隔離したり、様々なアクションを行うことができます。

Cisco Identity Services には、この他にも様々な機能があります。詳しくは以下の表 1 をご覧ください。

表 1 Cisco Identity Services Engine の主な機能

機能 詳細
AAA プロトコル 標準 RADIUS プロトコルを使用して、認証、認可、およびアカウンティング(AAA)を行います。
認証プロトコル 幅広い認証プロトコルに対応します(PAP、 MS-CHAP、Extensible Authentication Protocol(EAP)-MD5、Protected EAP(PEAP)、EAP-Flexible Authentication via Secure Tunneling(FAST)、および EAP-Transport Layer Security(TLS)など)。
ポリシー モデル 特性を生かしたルールベースのポリシー モデルがビジネスに対応する柔軟性の高いアクセス コントロール ポリシーを作成します。ユーザやエンドポイントの ID、ポスチャの検証、認証プロトコル、ID のプロファイリング、その他外部の特性ソースなどの情報を含む事前定義された辞書にある特性を用いて、詳細なポリシーを作成することができます。特性は、動的に作成して、後で使用するために保存しておくことも可能です。
アクセス コントロール シスコのネットワーク デバイスの高度な機能を生かしたダウンロード可能アクセス コントロール リスト(dACLs)、VLAN 割り当て、URL リダイレクト、SGA タギングなど、幅広いアクセス コントロール メカニズムを提供します。
プロファイリング IP 電話、プリンタ、IPカメラ、スマートフォン、タブレットなど、幅広いエンドポイントに対応する事前定義されたデバイス テンプレートが搭載されています。管理者は独自のデバイス テンプレートを作成することも可能です。これらのテンプレートを使用して、エンドポイントをネットワークに接続した際に、管理者が定義した ID を動的に検出、分類、関連付けすることもできます。管理者は、デバイスの種類に応じて、エンドポイントに基づいた承認ポリシーを関連付けることも可能です。
Cisco Identity Services Engine では、受動的なネットワークテレメトリ、実際のエンドポイントの照会を通して、あるいはその代わりとして Catalyst スイッチでデバイス センサーを介してシスコ インフラストラクチャから、エンドポイントの特性データを収集します。
Cisco Catalyst®スイッチのインフラストラクチャ駆動型のエンドポイント検出テクノロジーは、ISE 検出テクノロジーのサブセットです。これにより、スイッチがスイッチ上のエンドポイントの特性情報を素早く収集し、標準 RADIUS を用いてそれらの情報をIdentity Services Engineに移行させることで、エンドポイントの分類およびポリシーに基づいた実施を行うことが可能となります。このスイッチベースの検出テクノロジーにより、エンドポイント情報の効率的な分配が可能となり、拡張性と展開性の向上、分類時間の短縮を実現します。
ゲスト ライフサイクル管理 ゲスト ライフサイクルを徹底的に管理することができ、管理者のスポンサーシップまたはゲスト ポータルを介した自己署名を用いて、ゲスト ユーザのネットワークへのアクセス時間を限定することができます。管理者は、企業特有のニーズに合わせて、ポータルやポリシーのカスタマイズを行うことができます。
ポスチャ ネットワークへのあらゆる種類のユーザ接続に対して、エンドポイント ポスチャ評価を行います。一貫したクライアントベースのエージェントと一時的な Web エージェントの両方に対応し、エンドポイントが企業のポスチャ ポリシーに適合しているかどうかの検証を行います。最新の定義ファイル変数(バージョン、日付など)、レジストリ(キー、値など)、アプリケーションを用いた最新の OS パッチ、ウィルス対策/スパイウェア対策ソフトウェア パッケージの確認など、強力なポリシーを作成することができます。Identity Services Engine はまた、エンドポイントが企業のポリシーに違反していないかを確認するために、クライアントの自動修正や定期的な再評価を行います。
エンドポイント保護サービス 管理者は、ネットワーク内のリスクのあるエンドポイントに対して、素早く修正措置(免疫、免疫の解除、またはシャットダウン)を取ることができます。これにより、ネットワーク内のリスクを軽減し、セキュリティを強化することができます。
一元管理 管理者は、プロファイラ、ポスチャ、ゲスト、認証、承認サービスを単一の Web ベースの GUI コンソールで一元設定・管理することができるため、すべてのサービスを一貫した形で管理し、管理作業を大幅に簡易化することができます。
モニタリングとトラブルシューティング ヘルプデスクやネットワーク オペレータが迅速に問題の特定と解決を行うことができるよう、内蔵 Web コンソールがモニタリング、レポーティング、トラブルシューティングを行います。すべてのサービスの総合的な履歴やリアルタイムでのレポーティング、すべてのアクティビティのログ、ネットワークに接続するすべてのユーザやエンドポイントに関するリアルタイムでのダッシュボード メトリックを提供します。
プラットフォーム オプション 物理または仮想アプライアンスのいずれかからお選びいただくことができます。3 つの物理アプライアンス モデルまたは VMware ESX または ESXi ベース アプライアンスを取り揃えています。

利点

Cisco Identity Services Engine:

  • 企業は、一貫した形でカスタマイズ性に優れた高機能なビジネス アクセス ポリシーを展開することができます。
  • ネットワーク アクセスの可視性を高め、履歴レポートを作成し、高度なトラブル シューティング ツールを使用することで、運用コストを削減することができます。
  • 適合したユーザに対してのみネットワークへの完全アクセスを許可し、不適合ユーザをネットワークの限定的な領域に隔離することで、ネットワークの機能停止を防止し、ダウンタイムを短縮させることができます。
  • 必要となる管理の実施と監査を行うことで、企業は規制要件を確実に遵守することが可能となります。

製品仕様

Cisco Identity Services Engine では、3 つのハードウェア オプションを取り揃えています(表 2 参照)。

表 2 Cisco Identity Services Engine ハードウェア仕様

  Cisco Identity Services Engine アプライアンス 3315(小) Cisco Identity Services Engine アプライアンス 3355(中) Cisco Identity Services Engine アプライアンス 3395(大)
プロセッサ 1 x QuadCore Intel Core 2 CPU Q9400 @ 2.66 GHz 1 x QuadCore Intel Xeon CPU E5504 @ 2.00 GHz 2 x QuadCore Intel Xeon CPU E5504 @ 2.00 GHz
メモリ 4 GB 4 GB 4 GB
ハードディスク 2 x 250-GB SATA HDD 2 x 300-GB SAS ドライブ 4 x 300-GB SFF SAS ドライブ
RAID 非対応 対応(RAID 0) 対応(RAID 0+1)
リムーバブル メディア CD/DVD-ROM ドライブ CD/DVD-ROM ドライブ CD/DVD-ROM ドライブ
ネットワーク接続
イーサネット NIC 4 x 内蔵ギガビット NIC 4 x 内蔵ギガビット NIC 4 x 内蔵ギガビット NIC
10BASE-T ケーブル サポート 最長 100 m のCat 3、4、または 5 Unshielded Twisted Pair(UTP) 最長 100m の Cat 3、4または 5 UTP 最長 100m の Cat 3、4または 5 UTP
10/100/1000BASE-TX ケーブル サポート 最長 100 m の Cat 5 UTP 最長 100 m の Cat 5 UTP 最長 100 m の Cat 5 UTP
Secure Sockets Layer(SSL)
アクセラレータ カード		 なし Cavium CN1620-400-NHB-G Cavium CN1620-400-NHB-G
インターフェイス
シリアル ポート 1 1 1
USB 2.0 ポート 4 つ(前面 2 つ、背面 2 つ) 4 つ(前面 1 つ、内部 1 つ、背面 2 つ) 4 つ(前面 1 つ、内部 1 つ、背面 2 つ)
ビデオ ポート 1 1 1
外部 SCSI ポート なし なし なし
システム ユニット
フォーム ファクタ ラック マウント 1 RU ラック マウント 1 RU ラック マウント 1 RU
重量 12.7 kg(完全装備時) 15.87 kg(完全装備時) 15.87 kg(完全装備時)
寸法 高さ 43 x 幅 440 x 長さ 559 mm 高さ 43 x 幅 440 x 長さ 711 mm 高さ 43 x 幅 440 x 長さ 711 mm
電源 350W 二重 675W(冗長) 二重 675W(冗長)
冷却ファン 6 つ:ホット プラグ非対応、非冗長 9 つ:冗長 9 つ:冗長
BTU 定格 1024 BTU/時(300W) 2661 BTU/時(120V) 2661 BTU/時(120V)
適合性
FIPS FIPS 140-2 レベル 1 検証済み
暗号化モジュール使用		 "FIPS 140-2 レベル 1 検証済み
暗号化モジュール使用 "		 "FIPS 140-2 レベル 1 検証済み
暗号化モジュール使用 "

Cisco Identity Services Engine 仮想アプライアンスは、VMware ESX/ESXi 4.x でサポートされており、表 2 に記載されている物理アプラインスと同等またはそれ以上の特性を備えたハードウェアで実行する必要があります。Cisco Identity Services Engine では、仮想対象に対して、最低 4 GB のメモリと最低 200 GB のハード ドライブ容量を割り当てる必要があります。仮想アプライアンスもまた、FIPS 140-2 レベル 1 に適合しています。

システム要件

ポスチャ評価に使用される Cisco NAC Agent のシステム要件は、表 3 に記載されているとおりです。

表 3 Cisco NAC Agent のシステム要件

機能 最低要件
サポートされている OS Microsoft Windows Vista Business、Windows Vista Ultimate、Windows Vista Enterprise、Windows Vista Home、Windows 7、Windows XP Professional、Windows XP Home、Windows XP Media Center Edition、Windows XP Tablet PC、Windows 2000、Windows 98、Windows SE、Windows ME、Mac OS X(v10.5.x、v10.6.x)
ハード ドライブ容量 最低 10 MB のハード ドライブ空き容量
ハードウェア ハードウェアの最低要件なし(様々なクライアント マシンで作動可能) 

ライセンス仕様

Cisco Identity Services Engine を展開するにあたっては、各種サービスを有効化するためのライセンスが必要となります。Identity Services Engine のライセンスには 3 つの種類があります。

  • ISE BASEライセンス。認証、認可、ゲスト、モニタリング、およびトラブルシューティングなどの基本サービスを有効化するために使用するものです。
  • ISE ADVANCEDライセンス。ポスチャ、プロファイリング、SGA、およびEPSなどの高機能サービスを有効化するために使用するものです。ADVANCED ライセンスをインストールするには、BASEライセンスが必要となります。
  • ISE WIRELESS ライセンス。ワイヤレス エンドポイントのすべての Identity Services Engine サービスを有効化するために使用するものです。

各種ライセンスについては、表 4 をご覧ください。

表 4 Cisco Identity Services Engine ライセンス仕様

  BASE ライセンス ADVANCED ライセンス WIRELESS ライセンス
認証および認可   ○*
ゲスト サービス   ○*
モニタリングおよびトラブルシューティング   ○*
ポスチャ評価   ○*
プロファイル   ○*
SGA   ○*
エンドポイント保護サービス ○*

* ワイヤレス エンドポイントのみ。

ページの先頭へ