© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 1/16 ページ

Cisco IT ケース スタディ シスコ キャンパスのセキュアなデジタル変革

エグゼクティブ サマリー

目的 今日のビジネスの世界で革新的なトレンドを生み出しているのがデジタル変革です。ワークプレイスが変化するスピードが加速しています。 従業員は、一人ひとりのニーズを満たすカスタマイズされた対応と、コンシューマクラスのユーザ エクスペリエンスを求めています。

方法 ヒト、ビジネス、モノを接続することで、パーソナライズされた顧客体験、革新的なビジネス モデル、従業員のイノベーションの基盤が構築されます。 こうした変革はすでに進んでおり、柔軟性、安全性、拡張性、効率性に優れたテクノロジー基盤が求められています。

内容 ● 企業のデジタル化のビジョンを実現するには、新たな技術を統合できる全体的なアプローチが必要です。

● シスコのソリューションには次のような特長があります。 ◦ アジャイルなネットワークを実現する Cisco デジタル ネットワーク アーキテクチャ

◦ すべてのデバイスとアクティビティに対応可能なエンドツーエンドの統合コラボレーション ソリューション

◦ 投資のメリットを最大限に活用できる、プラットフォームに統合されたセキュリティ

◦ データセンター、自動化、および分析に関するソリューション

● Cisco IT は、さまざまなシスコおよびサードパーティのソリューションによって、デジタル変革の基盤を築き、ネットワーク接続、セキュリティ、コラボレーション、企業のデジタル化を実現しています。

シスコ キャンパスのセキュアなデジタル変革 ワークプレイスをスマート化するまたとないチャンスが今ここに

概要 シスコでの働き方は変化し続けています。現在、72,000 人の従業員がさまざまな場所で働くことができます。シスコのオフィス、自宅、客先、公共の場所だけでなく、移動中にも仕事を進められます。また、従業員の 50% 以上が、自身と異なる都市にいるマネージャの指示を仰いでいます。従業員が過去 5 年間で 20% 増加する一方で、シスコは、94 ヵ国で 2,300 万平方フィートを超えるオフィス スペースの使用率を向上させました。さらに、コネクテッド ワークスペース ソリューションと、シスコ コラボレーション アーキテクチャにより、オフィス全体のスペースを 30% 削減することができました。

また、コラボレーションやコミュニケーションに使用するアプリケーションも変化を続け、ユーザ エクスペリエンスの向上、人手による業務の自動化、ユーザへのプロアクティブな提案を可能にしています。シスコの従業員は、パブリック、プライベート、ハイブリッド クラウドから、こうしたアプリケーションにアクセスします。お客様、パートナー、サプライヤもこれらのアプリケーションを使用して、シスコとの連携を深めています。

そうした変化とその他の変化によって、シスコの収益性にプラスの効果が生まれています。たとえば、さまざまなコラボレーション ソリューションを使用することで、生産性が向上し、これまでに 17 億米ドル以上を節約できています。また、すべての営業担当者のデスクに、ビデオ エンドポイントを新たに設置したことで、6 億 8,200 万米ドル相当の案件獲得を推進できました。

アジャイルでセキュアな IT インフラストラクチャの必要性 Capgemini Consulting と MIT Sloane Management Review の最近の調査によると、自社にとって、今後 2 年間でデジタル変革が重要になると回答した企業は、4 分 の 3（78%）を超えています。こうした企業が成功を収めるには、基盤となる俊敏でセキュアな IT インフラストラクチャを導入する必要があります。

シスコが、職場やビジネスの変革を進めているため、Cisco IT は、アプリケーションとインフラストラクチャの開発とサポートに対する要求に、迅速に応えなければなりません。Cisco IT の俊敏なインフラストラクチャにより、従業員とお客様に新しい体験を提供できています。また、企業のイノベーションを支援し、お客様の要求に対応し、セキュリティ リスクを注視しています。

以降のセクションでは、Cisco IT が、シスコのキャンパスで導入した俊敏なインフラストラクチャにおける 4 つの異なる領域について説明します。また、Cisco IT が直面した課題とその解決方法についても取り上げ、シスコがデジタル変革、さらには破壊的とも言える変革に、どのように投資を続けるのかを述べます。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 2/16 ページ

図 1 に概説したシスコのアプローチは、次の 4 つにまとめることができます。

パート 1：コラボレーションと俊敏性を重視したワークスペース

パート 2：データセンターとクラウド

パート 3：柔軟で自動化されたネットワーク

パート 4：セキュリティへの総合的アプローチ

図 1. デジタル企業の基盤となる機能

出典：シスコ

パート 1：コラボレーションと俊敏性を重視したワークスペース 現在シスコでは、コラボレーションを仕事の中心に据えています。競争力の向上、テクノロジーの変化がもたらす機会（クラウド コンピューティングなど）、継続的なデリバリを可能にするアジャイル プロセスの導入などが、どれも、ワーク スタイルを大きく変化させています。最小限の対話と情報共有を行う閉じられたオフィスでは、情報やアイデアをより的確にやり取りするためのアプローチや、相互依存する動的な仕事を得られています。また、自律的に短期間形成されるプロジェクトベースのチームが増えています。こうしたチームは、非常に独特なイニシアチブ向けに、迅速かつ革新的なソリューションを提供しようと尽力しています。

つまり、成功を収めるのは、より俊敏で相互依存している組織です。そうした組織は、自由な情報交換によって、すぐに状況を把握し対応します。実験を奨励し、繰り返し学習します。また、従業員、顧客、パートナーが、共有された目的をきっかけに人脈を形成します。

組織が俊敏になると、コラボレーションのニーズがさらに多様化します。こうした組織では、どの従業員も、異なる場所やタイムゾーンで、複数のデバイスを 1 日中使用して、さまざまな役割を果たしています。一部の組織は今でも、1 つのコラボレーション ツールをすべてに当てはめるアプローチを採っています。しかし、このアプローチによって、常に変化する作業環境や従業員の期待に、必ずしも対応できるわけではありません。

企業のツールが機能しない場合、従業員は独自のテクノロジーを使用します。そうしたデバイスとアプリケーションの例として、Android、Apple、Windows、Box、Dropbox、Skype、Facebook、SlideShare、YouTube などがありますが、これらはほんの一部にすぎません。また、こうしたデバイスやアプリケーションを職場で使用する場合、従業員は、コンシューマとして利用するときと同じように、高速でシームレスなエクスペリエンスを期待します。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 3/16 ページ

この期待に応えるために、Cisco IT は、統合された生産性の高いコラボレーション エクスペリエンスを実現しました。その基本理念は、セキュリティ、シンプルさ、管理の容易さです。Cisco IT は、Cisco Workplace Resources 部門と共同で、次の 3 つの領域に注目して、エンド ユーザのエクスペリエンスと生産性を向上させました。

● 領域 1：コネクテッド ワークプレイス

● 領域 2：コラボレーション アーキテクチャ

● 領域 3：コラボレーション ツールをビジネス プロセスに統合

領域 1：コネクテッド ワークプレイス シスコは、従業員が革新的な能力を最大限に発揮できるように、アクティビティベースの環境を導入しました。各環境で、異なるスペースを選択して、さまざまなコラボレーション ソリューションを利用することで、従業員のニーズ、交流、休憩に対応できます。それは、1 シスコの従業員にとって理想的なアプローチであり、オフィス スペースのより効率的な利用が、コスト削減にもつながります。

図 2. シスコでのアクティビティベース環境の要素

出典：シスコ

領域 2：コラボレーション アーキテクチャ 個人所有デバイス持ち込み（BYOD）、広範囲をカバーするワイヤレス、ビデオ エンドポイントの選択、拡張モビリティにより、時間や場所を問わず、任意のデバイスを利用して、自由に移動できます。

こうした環境を実現するには、図 2 に示すように、Cisco Webex Teams、Cisco Webex、Cisco Jabber などのソフトウェアと、従来の IP フォン、パーソナル ビデオ デバイス（DX シリーズなど）、コラボレーション ルーム デバイス（MX および IX デバイス）、Cisco Webex Board などの物理デバイスを使用します。

1詳細については、Cisco Connected Workplace を参照してください。https://www.cisco.com/c/ja_jp/solutions/cisco-on-cisco/connected-workplace.html

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 4/16 ページ

図 3. Cisco IT が、エンドツーエンドの要件を満たすために使用するシスコ コラボレーション ソリューション

出典：シスコ

Cisco IT は、これらのソリューションを、個人のワーク スタイルに適合させ、ビジネス プロセスやアプリケーションと強固に統合します。この統合アプローチにより、従業員は技術的な複雑さに対処しなくても済み、仕事に集中できます。

セキュアな BYOD

シスコは、BYOD ポリシーを 10 年近く採用しており、BYOD が現代の従業員にとって現実的な選択肢になるように主導した企業の 1 つです。

シスコの BYOD ポリシーでまず重視された点は、電子メールとカレンダー サービスをすべてのプラットフォームで提供することでした。現在、このポリシーによって、従業員のモビリティと、ビジネスの迅速化を実現できています。

BYOD を採用する前は、シスコのアカウント マネージャは、オフィスでツールにログインして、案件を承認する必要がありました。今では、あらゆるデバイスを使用して、いつでもどこからでも案件を承認できます。

BYOD が浸透したことで、信頼できるモバイル デバイスでシスコの機密データを保護できる包括的な計画が必要になりました。（図 3 を参照）

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 5/16 ページ

図 4. シスコでの、BYOD セキュリティに対する階層型アプローチの概要

出典：シスコ

そのため、Cisco IT では、一連のシスコのテクノロジー、たとえば、MDM、モバイル向け Cisco AnyConnect®、 モバイル向け FireAMP、OpenDNS®、Cisco Umbrella™、Cisco Identity Services Engine（ISE）などを利用しています。また、アーキテクチャ主導のアプローチに従い、シスコとシスコ以外のすべてのコンポーネントで、相互運用性と、容易な IT サポートを実現しています。

IT では、Cisco ISE を使用して、ネットワーク内のユーザとデバイスを認証します。使用しているデバイスと、ネットワークにアクセスしている場所によって、適切な度合いのアクセスを許可します。（注：ISE については、このケース スタディのセキュリティのセクションで、詳細に取り上げます）

iCAM および eStore

Cisco IT は、Box.com を活用することで、デバイス、内部ユーザ、顧客との間で、効果的にドキュメントを共有できると判断しました。そのため、iCAM という、カスタマイズした分析ツールを開発しました。iCAM では、個々のユーザのプロファイルと、そのネットワークでの振る舞いを観察して、それらの情報と、Box.com などの外部ソースから受信したフィードを、まとめて分析できます。現在、クラウド アクセス セキュリティ ブローカ Cisco Cloudlock® を使用して、より包括的なアプローチの導入を進めています。これにより、さまざまなパブリック クラウドにあるシスコのデータを保護できます。

Cisco IT では、社内の IT アプリケーション ショップである eStore も構築しました。eStore は、Cisco Prime® サービス カタログを使用して、社内ユーザに IT サービスを提供する単一のセルフサービス ポータルです。ユーザは、数回クリックするだけで、どの IT サービスに対しても検索とアクセスを行えます。このプラットフォームでは、ほとんどのサービスが、完全に自動化されているため、それらを数分でセットアップできます。また、関連する費用がかかるサービスをリストから選び、要件を満たすように自由に組み合わせることができます。

領域 3：コラボレーション ツールをビジネス プロセスに統合 Cisco IT では、従業員が使用するアプリケーションにコラボレーション ツールを組み込んでいます。たとえば、Cisco Webex Teams を使用して、四半期末に開催される物理的な戦略会議を仮想化しました。これにより、エンジニアが業務に費やす時間を 70% 短縮するとともに、出張コストを大幅に削減できました。

どこにいても、すばやく簡単にコラボレーションできるため、グローバル チームがいつでも協力できます。また、透明性の向上と、対面会議にかかる時間の大幅な削減にもつながります。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 6/16 ページ

図 5. 物理的な戦略会議を、Cisco Webex Teams で仮想チーム ルームに転換

出典：シスコ

Cisco Webex Teams をビジネスに統合するその他の例に、IT Operations Command Center があります。IT 関連のインシデントが発生すると、Cisco Spark の仮想会議室が作成されます。これにより、必要な IT チームを可視化でき、その他のチームでの重複作業を削減可能です。

インシデントを別のタイムゾーンに引き渡して作業を継続した場合、インシデント履歴を簡単に利用できます。この機能により、インシデントの解決時間とインシデント後のレビュー時間を短縮できました。

パート 2：データセンターとクラウド アジャイルな IT インフラストラクチャを構築する 2 番目のアプローチは、データセンターとクラウド、およびアプリケーションで構成されます。デジタル化によってイノベーションのスピードが加速し、一般的なビジネス モデルが大きく変わります。それを受けて、多くのアプリケーションで転換が行われます。

データセンターでホストされている従来のアプリケーションが変わるだけでなく、数多くの新しいアプリケーションが、Software as a Service（SaaS）, Platform as a Service（PaaS）、Infrastructure as a Service（IaaS）といった、パブリック クラウド経由でアクセスされます。しかし、ビジネスでは、より柔軟かつシンプルで、コスト効率の高い消費モデルが求められます。

2016 年までの Cisco IT のビジョンは次のようなものでした。

● データセンターの新設と、インフラストラクチャのキャパシティ強化を行い、増大するビジネスの要求に対応します。新しいデータセンターへの移行を、アプリケーション変革の機会と捉えます。

● 可用性の高いインフラストラクチャを基に、アプリケーションの復元力を実現します。

● IT as a Service（ITaaS）モデルに移行します。このプログラムの一環として、内部カスタマー向けサービスのコストと品質を、明確に可視化しました。また、新しいプライベート クラウドの機能も構築できました。最初の移行の終わり頃には、重要なアプリケーションのダウンタイムを、インフラストラクチャ側として、ほぼ完全になくしました。さらに、インフラストラクチャのプロビジョニング時間を約 15 分短縮できました。

次のページの図 5 は、プロビジョニングのサービスレベル契約（SLA）で見られた継続的な改善と、アプリケーション チームで削減できたコストを示しています。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 7/16 ページ

出典：シスコ

Cisco IT の新たな焦点は、アプリケーションの要求を満たすインフラストラクチャを構築し、アプリケーションをよりインテリジェントに動作させることです。これにより、アプリケーションが、インフラストラクチャのみに頼ることなく、復元力とセキュリティを確保できます。これを、次のようにして達成します。

● ビジネス上の新たな課題に迅速に適応できるように、アプリケーションをクラウド ネイティブ モードに転換する。

● 導入と管理のすべてを、データセンターのソフトウェア定義によって行う。

● キャパシティ管理を自動化し、パブリックおよびプライベート クラウドのリソース消費に透明性を持たせる。

● すべてのコンポーネントとプロセスに、復元力とセキュリティを組み込む。

● ビッグ データと分析により、アプリケーションとインフラストラクチャの品質と可用性を向上させる。

継続的デリバリ モデル

Cisco IT のアプリケーション チームの 70% 以上が、継続的デリバリ モデルを採用しています。これにより、新しいビジネス機能の提供にかかる時間が大幅に短縮され、IT アプリケーションの品質とセキュリティが向上しました。シスコで得られたメリットは次のとおりです。

● 提供した機能が 2 倍に増加

● 脆弱性が 60% 低下

● 品質が 92% 向上

アプリケーションの転換、クラウド ネイティブ、オープン ソース

これまで、ほとんどのエンタープライズ アプリケーションが商用目的で使用され、変更されることは滅多にありませんでした。アプリケーション側で、ビジネス上の新しい機能が要求されるようになると、IT チームは、アプリケーションをクラウド ネイティブに転換する必要があります。（次のページの図 6 を参照）

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 8/16 ページ

図 6. クラウドで稼働しているアプリケーションのさまざまな状態

出典：シスコ

クラウドトレラント モードのアプリケーションは、設計段階で強固に統合され、基盤となるインフラストラクチャで動的な変更がサポートしているとはいえ、自分自身を変化させるわけではありません。たとえば、アプリケーションにアクセスするユーザの数が増えると、アプリケーションのパフォーマンスが低下します。そのため、IT 管理者が、使用状況の監視や、割り当てたリソースの拡張のほか、新しく追加したリソースが効果的に消費されるように、アプリケーションの再構成を行う必要があります。

クラウド ネイティブ モードのアプリケーションは、基盤となるインフラストラクチャの拡張性を最大限に活用できるように設計されています。たとえば、自身の負荷が増加すると、アプリケーションは、それが、プロビジョニングされたキャパシティを超えたことを検知して、割り当てられたリソースの量を増加させることができます。IT 管理者が手動で対応に当てる必要はありません。

シスコでの現在の状況は次のとおりです。

● インフラストラクチャの消費に API を使用して、クラウドを最大限に活用

● リソースの使用を監視したり、リソースを手動で変更したりせず、ユーザの要求に動的に対応

● インフラストラクチャとソフトウェア コンポーネントの障害から自己修復を行う

● オープン ソースのコンポーネントを使用してコストを削減

データセンター インフラストラクチャ

Cisco IT では、社内ユーザ向けに、非常に優れたプライベート クラウドを構築済みです。55,000 以上の仮想ホストを稼働させている、そのプライベート クラウドの基礎となっているのが、Cisco ACI™、Cisco Unified Computing System™ サーバのほか、Cisco Prime Service Catalog や UCS Director などのオーケストレーション ツールです。シスコのコンポーネントの他にも、SAN、NAS、仮想化、PaaS、ITIL ツールの分野でサードパーティが提供するハードウェアとソフトウェアを活用しています。また、クラウド OS レイヤの追加も進めています。これにより、アプリケーションにおいて、インフラストラクチャを API ベースで完全にプログラミングできます。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 9/16 ページ

図 7. シスコのデータセンター インフラストラクチャの概要

出典：シスコ

データ センター分析

シスコのデータセンターは、仮想化とコンテナ化がきわめて進んでおり、頻繁に変更が発生します。そうした環境で、従来の方法によって、依存関係の把握や、アプリケーションのトラブルシューティングを行うのは非現実的であり、時間もかかります。

Cisco IT は、データセンター ネットワークに流入するパケットをすべて検査可能な Cisco Tetration Analytics™ を導入しました。（図 8 を参照）膨大な量のデータを収集し、アプリケーションの依存関係を、ほぼリアルタイムで表示できるようにしています。これにより、アプリケーションを、レガシー ネットワークからクラウドに迅速に移行できます。アプリケーション チームでは、可視化によって、アプリケーションをクラウド ネイティブ モードにすばやく転換できています。さらに、監査担当者が、ポリシーの適用状況を簡単に確認できます。

図 8. Cisco IT での Cisco Tetration Analytics の使用例

出典：シスコ

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 10/16 ページ

アプリケーションの領域は、過去数年間で大きな変化を遂げました。アプリケーションは、表面的にはシンプルに見えるかもしれません。しかし、内部には、全体が非常に複雑なアプリケーション エコシステムが存在します。多数のコンポーネントがあり、それらがすべて連携できなければなりません。

デリバリ モデルには、従来型のオンプレミス、SaaS/クラウドベースのデリバリ、モバイルや Web などのプラットフォームといった、さまざまな種類があり、それらが、あらゆる種類の環境に導入されています。さらに、非構造化のデータ タイプが急増しています。シスコでは、アプリケーションのパフォーマンス モニタリングの観点から、こうしたさまざまなタイプとデータ ソースを統合可能です。さらに、それらをすべて、コンポーネント レベルで分析および管理する一方で、可視性を維持し、エンドツーエンドでそれを最適化できます。

以下の 3 つのグループが、Cisco AppDynamics による「サービスとしてのモニタリング」のメリットを得られます。

● 開発コミュニティ：Cisco IT では、開発フェーズで、コードのパフォーマンス テストを実施して、ライフサイクルの初期段階で問題の検出と修復を行えます。これにより、高品質のコード生成を支援できます。

● 運用チーム：このグループでは、生産を監視して、プロアクティブな措置を講じ、ビジネスに影響が及ぶ前に問題を修正できます。問題の根本原因をただちに特定し、サービスを迅速に復元可能です。また、トランザクションの詳細な履歴と分析データを、インシデントと問題の管理に利用できます。

● ビジネスおよびサービス オーナー：シスコのサービス オーナーは、ビジネスの健全性とパフォーマンスをリアルタイムで可視化し、データを活用した迅速かつ的確な意思決定を行えます。また、安定したサービス提供とビジネス運営を推進できます。

クラウドとデータセンターの分析ソリューションを実装することで、アプリケーション開発者は、わずか 15 分でインフラストラクチャを自身でプロビジョニングできます。また、既存のインフラストラクチャの使用率が向上したため、データセンターの設置面積が 35% 減少しました。

Cisco IT では、データセンター分析を使用することで、問題を迅速に検出し、アプリケーションのトラブルシューティングにかかるコストを削減できるようになりました。

パート 3：柔軟で自動化されたネットワーク 急増する、コネクテッド デバイス、クラウドで提供されるアプリケーション、サービスに加え、頻度と深刻さを増すサイバー攻撃が、デジタル化の技術で重要な鍵を握ります。また、ユーザがネットワークにアクセスする方法が、ここ数年で劇的に変化しています。次に例を示します。

● ユーザは、IT ネットワークに接続する主な方法として Wi-Fi を使用します。

● ユーザは複数のデバイスを使用して情報にアクセスしており、デバイス間での共有機能が必要です。

● ユーザはオフィスだけでなく、あらゆる場所からネットワークに接続します。

● ネットワーク トラフィックの種類のほとんどが、データから、音声とビデオにシフトしています。ビデオ トラフィックは、専用のコラボレーション デバイスだけでなく、ビデオと音声のトラフィックを生成するすべてのデバイスによるものです。

● エンドデバイスでは、ほとんどの場合、トラフィックが暗号化されます。

● ユーザは、プライベート クラウドとパブリック クラウドのコンポーネントで構成される複雑なアプリケーションにアクセスしています。IT が管理するデータセンターのアプリケーションのみを使用する従来の方法とは対照的です。

● 監視カメラ、ビル管理システム、照明、Internet of Things（IoT）ゲートウェイといった新しい種類のデバイスが、ネットワークに接続されるようになりました。

ネットワークはデジタル企業の中心となるものであり、柔軟でなければなりません。デジタル対応ネットワークを導入することで、収入、顧客維持、収益性を向上させることができます。2

2『Digital Transformation by Cisco（シスコによるデジタル変革）』を参照してください。https://discover.cisco.com/en/us/digital-business/whitepaper/transformation/drivers-626F-817OJ.html

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 11/16 ページ

シンプルな導入、自動化、拡張性

Cisco IT では、デジタル対応ネットワークを設計する際に、次の 4 つの基準を考慮しています。

● シンプルな導入、自動化、拡張性

● 従来型デバイスと、ビデオ、スマート ビルディング、IoT デバイスなどの新しいワークロードの両方に対応するユニファイド ネットワーク

● 広範なワイヤレス

● コンテキストアウェアなポリシーの適用

このドキュメントの後半で詳述する Cisco Digital Network Architecture（Cisco DNA）により、ネットワーク サービスを仮想化できます。また、サービスごとに新しいハードウェアをプロビジョニングしなくても新しいサービスを柔軟に追加できます。Cisco DNA アーキテクチャは、自動化と管理を行えるオープンでプログラム可能なアーキテクチャです。企業全体でネットワーク コンポーネントの数が増えても、リソースを直線的に拡張する必要はありません。そのため、新しいサービスの実装にかかるコストと時間を大幅に削減できます。

ユニファイド ネットワーク

ネットワークに接続される IT デバイスや施設のデバイスがますます増加しています。その例として、IP カメラ、ビル管理システム、Power over Ethernet（PoE）照明、IoT ゲートウェイ、キオスクなどが挙げられます。Cisco IT は、施設やフィジカル セキュリティのチームと緊密に連携して、分離した個別のネットワークではなく、統合された IP ネットワークを展開しています。また、拡大する IoT がセキュリティに及ぼす影響を考慮し、セキュリティ関連のインシデントを検出して軽減する適切なツールとプロセスを導入することも重要です。

広範なワイヤレス

エンド ユーザが、あらゆるデバイスを使用して、さまざまな場所で働くことを望むようになると、職場の広範囲にワイヤレスを導入する必要があります。また、主な接続方法としてワイヤレスが選択され始めると、ネットワークの安定稼働が求められます。Cisco IT は、こうした要件を満たすために、シスコによる最新世代の 802.11ac Wave2 ベース ソリューションを採用しました。

ユーザは有線ネットワークと同じレベルの可用性を期待しています。Cisco IT は、シスコ ワイヤレス ソリューションの独自の機能を活用して、CleanAir®、クライアント リンク、クライアント ステートフル スイッチ オーバー、改善された無線リソース管理、フレキシブル ラジオ、経由ローミングなどを実現しています。こうした機能により、有線ネットワークと同じ信頼性とパフォーマンスを備えたワイヤレス ネットワークを、シスコのユーザに提供できています。

[ミニ サイドバー]

デジタル対応ネットワークのメリットの例

IDC の最近の調査によると、シスコのお客様が、Cisco DNA ソリューションを採用してデジタル対応ネットワークを構築することで、大きなメリットを得られています。

出典：IDC

[ミニ サイドバーの終わり]

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 12/16 ページ

パート 4：セキュリティ 新たに展開したネットワークには、新たなセキュリティの課題が伴います。今日、ビジネスの状況も、脅威の状況も、大きく様変わりしています。複雑で断片化されたネットワークでは、持続する高度な脅威を防ぐのが困難になってい ます。

一方、シスコは、革新的な企業の買収を進めています。つまり、IT システム、部門、ネットワークとアクセス、セキュリティ ポリシー、ツールなどが統合されています。これにより、クラウド サービスとクラウド アプリケーションの使用率が急上昇しており、IT の管理による対応が難しくなっています。

その結果、企業の攻撃対象領域が拡大し、ネットワークがいつ侵害されてもおかしくない状況にあります。

対象を確認できなければ、防御は不可能です。ネットワークの可視化がシスコのセキュリティにとって重要な要素である理由は、そこにあります。そのため、Cisco IT では、ネットワーク全体で何が起こっているのかを、きわめて詳細なレベルで捉え、トラフィックがどのように流れているかを示すベースラインを把握しています。既知および未知のアプリケーション、ユーザ、デバイスをネットワーク全体で確認し、アクションを要する異常な振る舞いの有無を判断することが重要です。

図 10. 俯瞰的に見た Cisco IT におけるネットワーク アクセス コントロールのアーキテクチャ

出典：シスコ

Cisco IT では、既存のネットワークを Network as a Sensor and Enforcer（センサーおよびエンフォーサとしてのネットワーク）として活用しています。これにより、ネットワークの分析と可視化を行い、ネットワーク セキュリティの重要な要素であるポリシーを適用します（図 10 を参照）。こうしたソリューションによって、異常なトラフィック フローとマルウェアを検出できるほか、マルウェアが拡散を試みた際にアラートを発行可能です。また、ユーザのアプリケーション使用状況と役割をきわめて詳細に可視化できます。これにより、ユーザがアクセス ポリシーに違反しているかどうかを判断して、不正なデバイスを迅速に検出し、ネットワーク上で隔離できます。

セキュリティへの総合的アプローチ

以前は、ネットワーク エンドポイントによって定義された強力な境界があり、これが、安全なオフィスビルや、セキュリティが非常に強化された企業のデータセンター内に配置されていました。しかし、この 10 年間で多くのことが変化しました。今では、インターネット ゲートウェイの新設に、ファイアウォール、IDS、IPS などが必要です。また、テレワーキングには、効果的な VPN 暗号化とセキュリティが求められます。モバイル ワーカーは、ラップトップ、スマートフォン、タブレットによるワイヤレス アクセスを通じて、モビリティを実現しました。これにより、ネットワーク境界の概念がなくなり、高性能のデバイスと強固なデータ保護が必要になりました。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 13/16 ページ

セキュリティが強化された企業のデータセンターは、クラウド サービスによって、ベンダーのデータセンターに拡張されました。この環境では、多様化し不明なことも多い、セキュリティと規制へのコンプライアンスのレベルを維持できます。一方、インフラストラクチャのサイバーセキュリティは非常に高度化しています。インフラストラクチャにパッチが常に適用され、最新の状態にある限り、ほぼすべての標準的な攻撃を阻止できます。

今日、特に巧妙な攻撃者は、電子メールとクラウドを介して、ネットワーク侵入（またはマルウェア配布）に利用できる信頼性の高いユーザを見つけることで、標準的な境界防御をすり抜けています。たとえば、シスコの従業員は 1 日に 3 億 5,000 万の Web サイトにアクセスしますが、それらの約 2% がブロックされ、1 日あたり 50 万を超えるマルウェアのダウンロードが回避されています。社外からは、1 日に約 450 万通の電子メールが届きます。感染した Web サイトへの複数のリンクと、1 日あたり約 200 通の電子メールを通じて、ウイルスのペイロードが含まれる添付ファイルが伝搬されています。

こうしたダイナミクスを踏まえて、Cisco IT では、セキュリティに対してより包括的なアプローチを採っています。具体的には、シスコの資産、データ、知的財産を、プロアクティブにもリアクティブにも保護できるポリシーと実践方法の形成に注力しています。テクノロジーが、シスコのセキュリティ アーキテクチャの多くを占めていますが、ビジネス環境内の傾向と、ユーザに与える影響を注視することも、包括的な計画では重要です。

Cisco IT のセキュリティ アプローチでは、テクノロジー、プロセス、認識、トレーニングを組み合わせて、シスコのすべての従業員を教育します。これらの領域はどれも、攻撃前、攻撃中、攻撃後という 3 つのサイクルを対象にしています。

Cisco Talos™ は、猛威を振るう攻撃者に対抗し、悪意のあるインフラストラクチャの抑制に成功しています。250 人以上の研究者を擁する脅威インテリジェンス組織として、業界をリードしています。3

シスコのセキュリティ ソリューションが、攻撃のさまざまな段階でどのように役立つかを見てみましょう（図 11 を参照）。攻撃者は、偵察を行うときに、従業員をオンライン（ソーシャル メディアなどを通じて）で調査し、ネットワークの把握を試みます。また、ボットネット サーバなど、独自のインフラストラクチャを準備する必要があります。

図 11. 攻撃ライフサイクルと、各段階を保護するシスコのソリューション

出典：シスコ

3Talos の詳細については、https://www.cisco.com/jp/go/talos を参照してください。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 14/16 ページ

攻撃者は、フィッシング メール、マルバタイジング（悪意のある広告）などの手法によって、攻撃を開始する場合があります。Cisco E メール セキュリティは、フィッシング メールがどのように正当に見えても、悪意のあるメッセージをブロックします。Cisco Umbrella™は、クラウドから DNS レイヤをブロックすることで、ユーザの、悪意のあるドメイン、IP、URL へのアクセスを防ぎます。また、Cisco Web セキュリティは、悪意のある HTTP および HTTPs Web サイトをブロックします。

最初の活動を開始した後、攻撃者はネットワークの脆弱性を悪用して足場を固めます。シスコの次世代ファイアウォール（NGFW）と Cisco Meraki™ MX は、エッジ、ブランチ、データセンターで、侵害されたアプリケーションを通じた重要な資産へのアクセスを防ぎ、それらを保護します。シスコの次世代侵入防御システム（NGIPS）は、業界トップクラスの効力によって、エクスプロイトを特定し、ブロックします。

攻撃者は、マルウェアをインストールして、キーストローク ロギングなどの高度なタスクの実行を試みます。Advanced Malware Protection（AMP）は、ファイルがネットワーク内に伝搬される前にそれらをブロックし、ファイルとプロセスの活動を継続的に監視します。不明なファイルは、ThreatGRID® で分析され、悪意があると判断された場合、AMP からレトロスペクティブ アラートが発行されます。

攻撃者は、コマンドアンドコントロールのトラフィックを使用して、悪意のあるインフラストラクチャと通信します。Cisco Umbrella™ は、ユーザが企業ネットワークに接続、または接続を解除したときに、いずれのポートまたはプロトコルを使用していても、そのトラフィックをブロックします。VPN が切断されるときにも同様に機能します。

ネットワークに首尾良く侵入した攻撃者は、目標を達成するまで存在し続けます。Cisco Identity Services Engine（ISE）は、どのユーザまたはデバイスが、どこからどのようなタイミングで企業ネットワークに接続したかに基づいて、ネットワーク アクセスを制限し、脅威を軽減します。シスコのデバイスに組み込まれる Cisco TrustSec® の技術は、ISE と連携し、ソフトウェア定義型セグメンテーションによってポリシーを適用します。

ネットワークへの侵入を把握するために、Stealthwatch® は、活動のベースライン設定と、異常の検出に加え、ネットフローの履歴およびリアルタイム データの分析を行います。また、Cisco Cloudlock® は、クレデンシャルの不正使用や、クラウド アプリケーション内での機密データの移動が、攻撃者によるものであった場合、それらをブロックします。

シンプル、オープン、自動化

シスコの製品はオープン化されており、相互通信が可能です。プロセスを自動化して簡素化すれば、セキュリティが強化されます。たとえば、AMP for Endpoints のイベントは、脅威を迅速に検出するために、シスコの Web、電子メール、Cisco Umbrella™、NGFW、Cisco Meraki™ セキュリティ ソリューションと統合されています。

ポリシー情報は製品間でも共有されます。Stealthwatch が侵害されたユーザを特定すると、ISE と TrustSec はセキュリティ グループ タグを変更します。その後、ユーザの Web セキュリティ ポリシーが自動的に変更されます。

シスコのセキュリティ製品は、特に Cisco Talos を通じて、脅威インテリジェンスを幅広く共有しています。1 ヵ所の展開済み AMP が、新しいゼロデイ ランサムウェアの亜種を検出した場合、世界中にあるその他の展開済み AMP が Talos を通じて更新されます。Talos の脅威インテリジェンスにより、お客様が影響を受けたことがないゼロデイの亜種であっても、ブロック可能です。

最後に、コンテキスト情報の共有によってワークフローが簡素化されます。ISE のコンテキストは、NGFW 内でポリシーを設定するときに適用でき、その他の NGFW ポリシーを作成するのと同じくらい簡単です。また、シスコのセキュリティ ポートフォリオ全体の API により、お客様のネットワークで、サードパーティのソリューションとの統合が可能です。

© 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 2017 年 9 月 15/16 ページ

成果

シスコは、ネットワーキング分野の世界的リーダーとして、人と人のつながり、コミュニケーション、安全なコラボレーションの変革に取り組んでいます。そのため、サイバー攻撃の上位の標的にもなっています。

Cisco IT では、自社および信頼できるサードパーティのセキュリティ ソリューションを組み合わせて導入することで、ホストの感染率を 48% 削減できました。また、ランサムウェア攻撃、WannaCry のような重大なインシデントによる影響から、システムを守ることができています。

まとめ

Cisco IT は、新しい人材を獲得し、生産性を向上させ、コストを削減するために、職場のイノベーションを今後も推進します。現在、セキュリティと施設のチームと緊密に連携し、ワークスペースのデジタル化を実現する統一されたアーキテクチャを開発しています。また、社内でコラボレーションを進め、デジタル変革に取り組むお客様を支援したことで、次のことを学びました。

● 現代の職場向けの設計では、ユーザの好みの変化や、新しい、または登場したばかりのコラボレーションとコミュニケーションのツールを考慮する必要があります。

● こうしたツールでは、相互運用、およびビジネス プロセスとアプリケーションへの統合を可能にしなければなりません。

● また、企業は、適切なポリシーを定義することと、セキュリティ リスクに対するユーザの認識を高めることに注力する必要があります。ポリシーは、コンテキストに基づいて定義し、特定の場所やデバイスに結び付けないようにします。

Cisco IT は、変化するビジネス ニーズに迅速に対応するために、ネットワークに詳細な可視化と高度な自動化が必要であることも理解しています。また、新しいデバイスに適応し、拡張できる柔軟性も必要です。最後に、企業では、センサー、およびポリシーのエンフォーサとして機能するネットワークを設計し、複雑化する今日のサイバー脅威環境の課題に対処する必要があります。

関連情報 その他さまざまなビジネス ソリューションに関する Cisco IT のケース スタディについては、『Cisco on Cisco: Inside Cisco IT』を参照してください。

Security Fueling the Digital Journey（セキュリティ強化によるデジタル化推進） -（スペイン語）

How Cisco designs the collaborative workspace（シスコによるコラボレーション ワークスペースの設計）

How Cisco IT implemented BYOD（Cisco IT による BYOD の導入）

How Cisco IT implemented eStore（Cisco IT による eStore の導入）

How Cisco IT Manages Security（Cisco IT のセキュリティ管理）

How Cisco IT built the private cloud and large-scale enterprise data centers（Cisco IT がプライベート クラウドと大規模なエンタープライズ データセンターを構築した方法）

How Cisco IT Manages Security（Cisco IT のセキュリティ管理）

©2019 Cisco Systems, Inc. All rights reserved. Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R) この資料の記載内容は2019年7月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。

シスコシステムズ合同会社

〒107‐6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp

19.07

お問い合せ先

注 本書は、シスコ製品の導入から得られる利点について記載したものです。説明された結果およびメリットには多くの要因が影響しており、シスコは他の場合において同様の結果を保証するものではありません。

シスコは本文を現状のまま提供し、明示的または黙示的な商品性の保証、特定目的への適合性の保証を含む、明示または黙示の一切の保証もいたしません。

一部の法域では、明示または黙示保証の責任放棄を許可していないことがあり、その場合には本責任放棄声明は適用されません。