もしBYODをやれといわれたら？ スマートデバイス導入に欠かせないネットワーク技術

昨日（２月１３日）Cisco Connectにいってきた、
その内容についてメモメモのつづき

今回は、
もしBYODをやれといわれたら？　スマートデバイス導入に欠かせないネットワーク技術について

---

だれが、どこから、どのデバイス→ACL、認証
（PCは今回含めない）

■どのように導入するのがいい？
Phase1　会社支給
　特定の部署、拠点からスモールスタート
　　　→準備、ナレッジ
Phase2　BYOD

■考えること
　　１．アーキテクチャ
　　２．アクセス制御
　　３．認証・プロファイリング
　　４．アプリケーション

■
　BYOD導入前における考慮
　IdentityServices Engineの役割
　　→ISE(アイス）の配置、考慮

■BYOD導入前における考慮
　　・管理対象は倍になるが、人は倍にならない
　　　　→管理負担を下げる
　　・セキュリティを考慮するあまり、利便性を損なう
　　　　→機動性、操作感

　　そうはいっても
　　　WiFiローミング→アクセスポイントをふやすとか
　　　HTTPプロキシー
　　　デバイスの廃棄処分
　　　紛失時→バックアップファイル含め：MDMとか

■ISE(あいす）の役割
　　アクセスコントロール
　　トポロジーフリー
　　セルフプロビジョニング
　　TrustSec（タグベースの次世代のアクセスコントロール）
　　モニタリング：一元で見れる→BYODされているか
　　ゲストアクセス：アクセスプロファイルを選べる

■ISEの配置デザイン
　　A：Admin
　　M:Monitor
　　P:Policy

　　推奨構成
　　１．同時接続数１～２０００　　ISE：AMP
　　２．同時接続数２０００～５０００　ISE：AM＋P＋P
　　３．同時接続数～１０００００ASE:A＋M＋P+P・・・

■ISEの配置デザイン
　同時接続数
　　　→セッションタイムアウトを長くしていると、
　　　　ずっとつなぎっぱなしになる：同時接続
　RUDIUSのアカウンティングを適切なタイムアウト時間に
　　警告が頻繁に出たら、上のライセンス


■２０００から５０００
　拠点にポリシーサーバー
　データセンターにも

■ポリシーの適用
　　CAPWAP
　　ISE１．２～　MDMサーバー連携
　　ISE1.3～　ASA.ISEポリシー連携

■BYOD導入で必要なこと
　BYODへのネットワークの準備
　　SSIDとVLAN
　BYODの初期設定
　　セルフプロビジョニング

■BYODの準備
　　セグメントVLAN
　　SSID
　　IPアドレス・・

■SSIDとVLANの関係
　　WLCのAAAオーバーライド
　　　→同じ人でもデバイス違う場合は？
　　推奨デザイン：どちらかというと
　　　　スマートデバイス用にSSIDをわける
　　　　もちこみと会社支給でわける
WLCのAAAオーバーライド&ISEのデバイス識別

■BYODへの初期設定
　ID/Macアドレス・でばいすタイプの登録／証明書配布
　　・セルフプロビジョニング
　　　　→拒否をするばあい、

■セルフプロビジョニング
　　登録作業中　　社内ログイン
SSID
　　SSID-Z
　　SSID-B/C　　　　　SSID－B/C
認証
　　Open(認証なし）　PEAP
　　PEAP　　　　　　　TLS
アクセス
　　　CoA
　　専用VLAN　　　　　正規VLAN

■セルフプロビジョニング
　・ISEとGoogleのみアクセスできるACLと
　・ISEへのリダイレクトURL
　　　ポータル画面が表示
　　　レジスタードデバイスグループ
　　　アプリ起動
　　　　　キー作成など
　　　COA(ChangeOfAuthorization)
　・iOSの場合

■認証
　　１．EAP　PEAP+プロファイリング
　　２．EAP　PEAP+MACアドレス
　　３．EAP　TLS+SAN
　　４．EAP　TLS+Web認証
　２，３がお薦め

■Web/Mailセキュリティ

■会社支給≒BYOD
　　　　　　　　　　　会社支給　　　　　　BYOD
人・ものの識別　　　　　◎　　　　　　　　○
認証方式　　　　　　　　◎　　　　　　　　○
紛失：リモートワイプ　　○　　　　　　　　企業ポリシーによる
アプリ制御：ＭＤＭ　　　○　　　　　　　　企業ポリシーによる
ロケーション　　　　　　○　　　　　　　　○

新たなるネットワーク価値を創造する シスコのSDN戦略「Cisco One」

昨日（２月１３日）Cisco Connectにいってきた、
その内容についてメモメモのつづき

今回は、その中でも、
新たなるネットワーク価値を創造する　シスコのSDN戦略「Cisco　One」
について

---

■ICT業界における変革
　　モビリティアプリケーション
　　クラウドコンピューティング
　　→ネットワークは：ここ１０年あまり進化ない

■従来のITインフラ
　　　アプリケーションとネットワークの分離
　最新のインフラ
　　サーバー仮想化
　　ネットワークも仮想化していく
　　　　→複雑になっていく
　管理者がコマンドライン打つ限界　

■Cisco　One(Open Network Environment)
　マルチレイヤ・マルチプロトコル対応包括アプローチ
　　ネットワークサービス
　　　　コントロールプレーン／フォワーディングプレーンがOpenFlow

■CiscoOneの３つの柱
　　OnePK：プラットフォームAPI→プログラム
　　バーチャルオーバーレイ：N1000V
　　オープンフローは１．３でないと、一般的には：C3850X（ASICは対応）

■OnePlatformKit(OnePK)とは
　iOS,NX-OSのAPIを提供→プログラム開発、自動化できる

■クラウド環境におけるCiscoOne
　　仮想ネットワークサービス／オーケストレーション
　　Nexus 1000V→VXLAN：バーチャルオーバーレイ→OpenStack Quantum API
　　　→データセンターソリューション

■VXLAN
　　VLAN：レイヤ２
　　VXLAN：レイヤ３バックボーン上でバーチャルマシンのライブマイグレーション実現
　　　→途中にL3があってもVLAN実現（カプセル化するから）
　　　　Nexus１０００Vががんばる！
　　スケーラビリティある

■OnePKの解説
　OnePK:IOSの新たな制御／管理手法
　　APIを使ってプログラムを書く
　Ciscoは、ソフトハウスも開拓している

■どこで動くか？
　　・エンドポイントホスティング
　　　　→集中制御できるが、ネットワーク切れたら？
　　・ブレードホスティング
　　　　シャーシの中で
　　・プロセスホスティング
　　　　コンテナ上で動く。かなり密

■OnePK基本サービスセット
　　データパス：フレームをそのまま／パケットインスペクションとか
　　ポリシー
　　ルーティング
　　エレメント
　　ディスカバリー
　　ユーティリティ
　　デベロッパー

■OnePK　利用例１：カスタムルーティング
　　あさはこうだけど、よるは、こうしたい

■OnePK　利用例２
　　ルーター、スイッチにコマンドをたたいていた
　　大域変更などを創れる

■OnePK　利用例３：マネジメント
　　→トラフィックのビッグデータ
　　　Mibだととりにくかったのが・・・

■デモンストレーション
　　９台のルーターの経路制御、QOS

　（うまくいかなかった）

　デモのポイント
　　・Configを変更することなく、ルーティングテーブルを変更する
　　　　→変更することもできる
　　　　　Show ip routeでわかるが、running-configをみてもわからない
　　・最低限の実装をconfigで入れ、ルーティングはソフトで
　　　　→デプロイ楽になる
　　　　　ハイブリッド実装
　　・ルーティングのアプリが落ちると、ソフトでの制御部分は全部消える
　　　　→Configの設定だけ残る
　　　　　最低限のポリシーをConfigに入れておけばよい
　　　　　→OpenFlowだと、全部消えてしまう
　　・Open PK イベントハンドラ
　　　　　指定したイベントに対する処理を入れておけば、
　　　　　イベントが起きたとき、実行する
　　　　　　　→ある閾値を超えたときなど

企業におけるスマートデバイスの活用

Cisco Connectに昨日いってきた。
その内容についてメモメモ

まずは、表題の話

---

■今日のお話
　スマートデバイス導入を失敗しない
　　富士通の考えるアプローチ手法、業務活用
　スマートデバイスでも安心な管理運用
　BYOD

■スマートデバイスを取り巻く環境
　　端末の多様化
　　　　OS、容易に入手できる価格
　　モバイルネットワークの高速化
　　　　LTE
　　クラウドの進展
　　　　コンテンツ充実

■スマートデバイス活用でワークスタイルが変わる次代
　　端末の多様化
　　モバイルネットワークの高速化
　　クラウドの進展
　　　　↓
　　いつでも、どこからでも、用途に適した端末でICT活用


■スマートデバイス出荷台数
　　スマートフォン　１０％
　　タブレット　約倍で増えている
　　個人向けがかなり占めている

■スマートデバイス業務利用の課題意識
　　活用方法、効果不明２６％
　　セキュリティが不安　２９％
　　ルール制定・ガバナンス　

■スマートデバイス活用に期待すること
　　社内コミュニケーションの高度化
　　　　グループウェア
　　営業力の向上・現場力の強化
　　　　ビジネスを広げる
　　ワークスタイル変革
　　　　ワークライフバランス

■スマートデバイスを導入した際の失敗例
　　スマートデバイスの導入目的と対象者明確でないまま
　　端末の検討だけに目が行き検討不十分
　　IOS、Androidのセキュリティ検討不十分
　　グループウェア→基幹業務との連携につまづき

■スマートデバイス活用検討のステップ
　　（１）業務利用シーンの検討
　　　　　利用業務の明確化（オフィス、営業、現場）
　　　　　端末選定
　　（２）安心管理、運用の検討
　　（３）インフラソリューション

■スマートデバイス活用の利用シーン
　オフィスWork　情報収集／共有
　営業　情報提示
　現場　情報処理

■スマートデバイス活用　オフィスワーク
　１．グループウェア
　２．ゆにふぁいどコミュニケーション
　３．電子会議
　４．BYOD

■オフィスWork　リモートアクセス環境を統合管理
　FENICSⅡ　ユニバーサルコネクト

■スマートフォンを内戦利用
　Android版SIP内戦アプリケーション「内線プラス」
　　　CUCMの内線機能をスマートフォンから利用可能

■Cisco　Systemと富士通の戦略提携
　　→ゆにふぁいどコミュニケーションまで

■スマートデバイス活用　営業Work
　　１．電子カタログ
　　２．CRM、SFA
　　３．どこでもオフィス

■はいぶりっとタブレット「STYLISTIC」

■はいぶりっとタブレットの営業ワーク
　　　事務所：ノートPC
　　　ペーパーレス会議（タブレット）
　　　顧客先のプレゼン（タブレット）

■スマートデバイス活用　現場Work
　　１．店舗の現場
　　　　　カタログ／在庫
　　２．物流の現場
　　　　　スマートフォン＋バーコードリーダー
　　３．保守の現場
　　　　　保守マニュアル→聞ける

■拠点向けシステム　Citrix　XenApp
　　落としても大丈夫：MDM

■保守現場の作業高度化
　　バーコードをかざす→運用手順書
　　ARを使って予測

■セキュリティ対策の考え方と進め方

■セキュリティリスクからのアプローチ
　ガイドラインが出ている
　　ENISA
　　JSSEC
　　総務省
　　　：
　　→脅威分析ワークシート　富士通１２の利用シーンと６２の脅威項目
　　　　　＋
　　業務携帯・データのライフサイクル

■基本構成タイプからのアプローチ
　　６２の脅威→３角タイプ
　　　　Aタイプ：端末と内部データを守る
　　　　Bタイプ：端末の脅威：シンクライアント
　　　　Cタイプ：インターネットのアクセス禁止→閉じた世界

■AタイプMDM
　　FENCE-Mobile Remote Manager
　　　　マルチキャリア、マルチプラットフォーム
　　　　多彩なデバイス
　　　　運用代行サービス

■Bタイプ（広島ガス）
　　　Citrix　Receiver　For Android
　　シンクライアントの考え方

■Cタイプ
　　MDMをオンプレミスで立ち上げる
　　インターネットにでるときチェック

■どこまでやるの？
　　A　１３％
　　B　１１％
　　A+B　６４％
　　C　１１％

■今、各企業が本格検討中
　BYODを検討・推進するためのヒント

■BYODへの期待
　全員提供できない
　　・コスト(通信費）・管理面
　　・社給端末＝一部社員→BYOD＝全員
　　・BYODが事実上行われていることへの対応

■BYOD対象範囲（利用者のタイプ）
　　・役員→たぶん、会社のもの
　　・営業
　　・事務員　　　BYOD
　　・開発者

■BYODで検討される業務の利用シーン
　　グループウェア
　　メール
　　E-ラーニング
　　　　がBYOD

　　大画面：プレゼン、リモートアクセス


■BYODのMDM適用管理
　　・遠隔データ消去：会社領域だけ消せるソフトも
　　・紛失時の報告の義務
　　・多種多様な個人端末をサポート
　　・個人端末の機能制限
　　・（疑問）労働時間　：夜の９時に使ったら、残業か？

■事業継続面から見た活用例
　　・安否確認
　　・連絡手段の確保
　　・社外からの業務継続手段

　　→シンクライアント：高い？

■基盤選びは柔軟さと未来志向

■富士通のスマートデバイス・ソリューション
　　どのようなシーン／サービスが先
　　デバイスから入っていくと失敗する

「実践！ワークススタイル変革」に掲載されている

ハッカー養成学院が「ハッキングされました」って（＾＾；）

ここ

ハッカー養成学院WhiteHackerZ公式ブログ
ハッキングされました。
http://www.whitehackerz.jp/blog/?p=1727


だいじょうぶなのか。この学校は・・

でも、セキュリティ詳しくないから、よくわかんないんだけど、
上記ブログに、ログが貼り付けてあるんだけど、
あれって、セキュリティ的にＯＫなの？

ＩＰアドレスも、Smartyつかってることも、
ばればれだけど・・