連邦機関が高度にセキュアな Wi-Fi を手に入れる方法

連邦機関の施設に最新かつ安全な Wi-Fi 技術を導入するのは簡単なことのように思えますが、多くの機関にとって大変な作業です。政府機関は、公務または非公務に使用可能な Wi-Fi ソリューションを設計および展開するために必要な専門知識を欠いており、連邦情報セキュリティ管理法 (FISMA) によって要求される多くの複雑なセキュリティ管理に準拠しています。

ある連邦規制当局は2020年にこの課題に直面した。新しいケーススタディによると、連邦政府機関がATOプロセスを通過することなく、どのように高度に安全なWi-Fiを取得できるかという新しいケーススタディによると、連邦リスク・認証管理プログラム（FedRAMP）に準拠したインフラストラクチャ上にあり、マネージドサービスであり、全国の5つの拠点で1,300人以上のエンドユーザーに安全で制御されたWi-Fiカバレッジを提供するWi-Fiソリューションを必要としていました。

オフィス内の安全なワイヤレス

この機能を有効にするために、代理店の意思決定者は Paliton Networks とコムスコープ RUCKUS に頼りました。このソリューションは、その代理店内のすべての従業員が政府支給の機器 (GFE) ラップトップで公的なビジネスを行うことを可能にする、高度にスケーラブルなソリューションを設計および導入しました。1 つは公的なビジネス用、もう 1 つは非公的なビジネス用の 2 つの独立したネットワークを導入する必要はありません。

パリトンのCNOBIと呼ばれるこのソリューションは、政府の非公式ビジネスにWi-Fiカバレッジを提供するように設計されていますが、公式ビジネスにもWi-Fiカバレッジを提供することができます。明示的に許可された人のみにアクセスを制限するため、制御されます。RUCKUS URLフィルタリングサービスを提供し、職場以外の安全なコンテンツへのアクセスを制限するため、管理されています。RUCKUS Analyticsはユーザーアクティビティのレポートを作成する機能を提供するので、これは制御されています。コアサービスとしては、多くの要件を満たしているものの、代理店のセキュリティおよび認定プロセス外にあるため、非公式です。他のソリューションと組み合わせると、明確な利点が得られます。 

1つの管理ソリューションで、異なるタイプのユーザーを同じネットワーク上で分離できます。代理店は、従業員を認証して、自社の GFE デバイスで公式なビジネスを行い、BYOD デバイスで非公式なビジネスを行い、代理店訪問者へのアクセスをスポンサーすることができます。

マネージドサービスとして、CNOBIとそのコンポーネントは、Palitonが所有、運営、維持しています。このソリューションは、非常に安全であり、多くの国立標準技術研究所（NIST）のセキュリティコントロールを満たし、連邦情報処理標準（FIPS）に準拠し、FedRAMP認定インフラストラクチャであるMicrosoft Azure GovCloud上で動作します。

CNOBIのメリット

CNOBIソリューションを導入することで、代理店の従業員は、どの代理店施設でも、自社のGMEラップトップを使用して、ワイヤレスで安全に、公式ビジネスを行うことができます。 

パンデミック中の多くの機関と同様に、この連邦機関は、従業員が自宅で働けるように、従業員に GFE ラップトップを支給しました。これらのラップトップには、セキュリティソフトウェアと機能が搭載されており、信頼できるWi-Fiネットワークに接続するとすぐに、代理店の非常に安全な仮想プライベートネットワーク（VPN）に自動的に接続するように強制されます。

自宅でできるのなら、なぜオフィス環境ではないのか。

2つのソリューションの結婚は、オフィス内のモビリティを維持しながら、代理店の従業員に、GFEラップトップで公式な作業を行うための信頼できるサービスを提供します。ユーザーは、CNOBI が対応している場所ならどこでも、Wi-Fi 経由で VPN 経由でドッキングを解除し、自動的に再接続することができます。FIPS 認定のコムスコープ RUCKUS ハードウェアおよびソフトウェアは、FedRAMP インフラストラクチャ上にあり、サービス保証を提供し、GFE デバイスがより高い暗号化基準を適用できるようにします。

また、CNOBIは、クライアントとネットワークの両方のほとんどのWi-Fiデバイスに影響を与えるゼロデイ脆弱性の新しいカテゴリであるFrag Attacksからユーザーとワイヤレスネットワークを保護します。攻撃者はこれらの脆弱性を悪用して、悪意のあるコードを実行し、デバイスをコントロールし、データをキャプチャし、デバイスを使用して他の攻撃を開始できます。

CNOBIのユーザーは、共有パスワードの代わりに、802.1X EAP-TLS（Extensible Authentication Protocol - Transport Layer Security）プロトコルを使用して個々の証明書ベースのIDを認証するため、本質的に保護されています。EAP-TLS ベースのシステムは、Wi-Fi 接続の両側、つまり Wi-Fi システムとエンドユーザー・デバイスが相互に認証するため、クラッキング攻撃、中間者攻撃、またはフラグ攻撃を軽減します。どちらかの側が他方を信用しない場合、接続できません。これにより、エンドユーザーが不正な悪質なデバイスに誤って接続することを防ぎ、許可されたユーザーのみがWi-Fiシステムに接続できるようにします。ユーザーがデバイスを登録した後は、パスワードを再入力する必要はありません。

さらに、コムスコープの RUCKUS 分析は、代理店の管理と効率の向上に役立ちます。これらには、必要に応じて、先制的なポリシーや統制策の調整を可能にするために、予想されるリソース利用指標について当局者に警告するための予測分析が含まれます。

CNOBIは、サービスの展開場所を問わず、代理店の従業員に非常に安全なWi-Fiを提供しながら、ITの複雑さを排除します。

詳細については、連邦政府のケーススタディをダウンロードしてください。連邦政府機関が ATO プロセスを経ることなく、どのように高度に安全な Wi-Fi を取得できるか