FortiNAC
ネットワークアクセス制御
FortiNACとは
FortiNACはネットワークアクセス制御(NAC)ソリューションです。 BYOD、IoT、OT、IoMTを含む、ネットワークに接続される全てのデバイスを可視化し、アクセス制御を実現します。可視化されたエンドポイントデバイスをセキュリティポリシーに基づいて制御することで、ネットワークセキュリティを強化します。異常な活動やセキュリティ脅威を検知した場合、自動的に対応するレスポンス機能も備えています。
デバイスの可視化の重要性
FortiNACはネットワークに接続されたエンドポイントデバイスのプロファイリングを行います。プロファイリング結果としてデバイスの種類、OS、IPアドレス、MACアドレスなどのアセット情報を管理します。プロファイリング対象外のデバイスを野良デバイスとみなすことで、踏み台攻撃のリスクを低減します。また、工場や病院などのOT環境ではエージェントレスでの情報取得が可能です。パケットキャプチャを必要とせず、SNMP、CLI(Telenet、SSH)、Radius、Syslog、API、DHCPといった通信プロトコルからアセット情報を収集します。
ネットワークアクセス制御
FortiNACは、セキュリティポリシーに基づいてエンドポイントデバイスのアクセスを制御します。プロファイリングされたデバイスを適切なVLANネットワークにアサインし、野良デバイスを隔離ネットワークにアサインするなど、ネットワークセグメンテーションを実現します。また、Radius認証機能を有しており、認証基盤がない環境において認証による制御を可能にします。
FortiGate、スイッチ、アクセスポイントに対してFortiNACからCLIコマンドを送信してポートVLANのスイッチングもしくはポートシャットダウンの制御を行います。マルチベンダー対応が可能で、サードパーティ製品との連携によってお客様の既存環境を活用したアクセス制御を可能にします。
※連携対応製品はメーカーや型番ごとに分かれているため、本番環境に適用する前にPoC等の事前検証やメーカーへの連携実績確認を推奨いたします。
自動レスポンス(隔離/遮断)
FortiNACは、UTM製品からのセキュリティイベントを受信してトリガーとすることで、リスクのあるデバイスの自動隔離を実現します。ウイルスの感染拡大を防ぎ、迅速なセキュリティインシデント対応を可能にします。自動化によって、運用管理者の作業負担を軽減します。※1※2
※1・・・手動で隔離する設定や、メール通知のみにする等、動作をチューニング可能です。
※2・・・UTM製品はFortiGate以外にも、StoneGate、Sourcefire、TopLayer、FireEye、PaloAlto、CheckPoint、Nozomiなどと連携が可能です。
FortiNACの特長
FortiNACの特長は、エージェントレスでのデバイス検知、マルチベンダー対応、リアルタイムのデバイス可視化と制御、自動レスポンス機能です。
また、FortiGate、FortiDeceptor等のFortinet Security Fabric統合により、さらに強力なセキュリティ対策を実現します。
FortiNAC製品体系
アプライアンス版とVM版があります。
アプライアンス版は制御するエンドポイントデバイス数でサイジングが変わります。
- FortiNAC-500F・・・5,000デバイス
- FortiNAC-600F・・・15,000デバイス
- FortiNAC-700F・・・25,000デバイス
VM版をサポートしている仮想基盤は以下です。
VMWare / Hyper-V / AWS / Azure / KVM
FortiNACライセンス体系
| 製品 | 要件 | 可視性 | 制御 | レスポンス |
|---|---|---|---|---|
| FortiNAC Plusライセンス:ユーザー、ゲスト、デバイスの自動プロビジョニングと制御を行い、役割やデバイスに基づいて適切なアクセス権を付与します。接続前後にデバイスをスキャンし、セキュリティ要件を満たさないデバイスを隔離し、自己対応を促すことも可能です。また、コンプライアンス違反のデバイスは自動的に隔離されます。 | 高度なNACソリューションを求めるが、イベントトリアージや相関付け、完全な自動レスポンスが不要な組織に最適です。 | ● | ● | ○ |
| FortiNAC Proライセンス:リアルタイムでエンドポイントを可視化し、包括的なアクセス制御と自動レスポンスを提供します。他のソリューションとの統合により、ログやデータを取り込み、相関エンジンを使ってアラートのトリアージを行い、分析担当者に精度の高い情報を提供します。 | FortiNAC Proは、NACの全機能を1つのソリューションとして導入したい組織に最適で、最上級の可視化、制御、自動レスポンス機能を提供します。 | ● | ● | ● |
FortiNACーVM リソース要件
VIRTUAL MACHINE
| 仮想OS | SKU | ネットワークの 「ポート数」* |
推奨利用環境 | CPU | vCPU** | メモリ (GB) |
ディスク (GB) |
|---|---|---|---|---|---|---|---|
| FortiNAC-OS | FNC-CAX-VM | 最大5,000 | 小規模環境 | Intel Xeon E-2278 GE 3.3 GHz 8C/16T | 8 | 16 | 100 |
| 最大15,000 | 中規模環境 | ADM Milan EPYC 7413 2.65 GHz 24C/48T | 24 | 32 | 100 | ||
| 最大25,000 | 大規模環境 | ADM Milan EPYC 7543 2.8 GHz 32C/64T | 32 | 96 | 100 | ||
| FNC-MX-VM | 最大50台の CAサーバー |
大規模環境 | ADM Milan EPYC 7413 2.65 GHz 24C/48T | 24 | 32 | 100 |
*ネットワークの「ポート数」は、エッジスイッチのポート数、無線 LAN アクセスによる最大同時接続数の統計です。FortiNAC では、アプライアンスの性能はデバイス数ではなく総ポート数をベースにします。
**vCPU 欄の値はガイドラインであり、個別の環境によって異なります。
