ポリシー施行とは何か

ポリシー施行とは、アクセスを許可する条件を定義している1つまたは複数のポリシーに従って、ネットワークやアプリケーションの接続、アクセス、利用を管理するプロセスのことです。

コンピューティングにおいて、ポリシー施行とは通常、コンピュータや通信ネットワークの使用に関する一連の要件を作成、分類、管理、監視、自動実行することを指し、単なるポリシーの実行だけでなく、より一般的なポリシーの定義、適用、管理を意味します。

ポリシーは、誰が、いつ、どこから、どのデバイスやソフトウェアを使用してリソースにアクセスできるか、アクセスが許可されると何をできるのか、または何をできないのか、どのくらいの期間、どのような監査や監視を行うかなど、事実上、「誰が、何を、どこで、いつ、どのように、なぜ」のあらゆるパラメータを扱うことができます。また、ポリシーは、受け入れるプロトコル、使用するポート、接続のタイムアウトなど、より技術的な相互作用や要件も扱うことができます。

組織は、資産やサービスを制御、管理し、時には収益化するためにポリシーを作成します。ネットワーク ポリシーの施行では、BYOD要件を含め、データや資産のセキュリティ対策を自動化できます。例えば、サービス プロバイダが、特定のサービスや利用時間帯に応じて異なる料金を設定することも可能です。また、企業の倫理基準（会社の設備や就業時間の個人的使用など）を徹底する、ネットワークの使用状況をより的確に把握して管理するといった目的にも利用できます。

ポリシー施行は通常、ゲートウェイ、プロキシ、ファイアウォールなど、ネットワーク内で一元的な制御ポイントとして機能しているソフトウェアやハードウェアが処理します。ポリシーは、違反が発生した場合に実行される1つまたは複数のアクションとともに、最初に定義する必要があります。ポリシーが定義されると、ソフトウェアまたはハードウェアがネットワーク内のポリシー施行ポイントになり、次の3つの段階でポリシー施行が行われる中核として機能します。

• 接続や要求を評価
• 接続が1つ（または複数）のポリシーに違反しているかどうかを判断するために、評価されたステータスと既知のポリシーを比較
• 要求の処理から切断または拒否リスト登録まで、結果のアクションを実施。

例えばあるポリシーを、悪意のある既知のIPアドレスを特定し、そのアドレスからのトラフィックをすべて拒否するように指定できます。より複雑なポリシーでは、特定のユーザーが一部のアプリケーションには接続できても他のアプリケーションには接続できないようにしたり、接続後に他のアクションより高い料金が発生するアクション（高解像度のデバイスでストリーミング サービスを使用するなど）を実行できるようにしたりすることもできます。このように、認証、認可、アカウンティング（AAA）システムは、ポリシー施行の一形態となっています。

ネットワーク ポリシーの施行では、失効していない証明書の有無、接続に使用されるデバイスやブラウザの種類やバージョン、攻撃に関連する動作パターンの有無など、より高度で詳細なパラメータへの準拠を求める場合もあります。

施行プロセス全体、特にコンプライアンス違反のインシデントの監視や文書化は、ポリシー施行ソリューションの多くに組み込まれています。

複数のF5製品が、一元的な単一制御ポイントからポリシーの作成と実行を細かく制御できるゲートウェイやフル プロキシとして機能することができます。特にBIG-IP Policy Enforcement Manager（PEM）を使用すると、サービスの収益化とネットワーク パフォーマンスの向上を目指しているサービス プロバイダは、高度な制御機能を活用できます。企業向けでは、BIG-IP Access Policy Manager（APM）を使用すると、Visual Policy Editor（VPE）と呼ばれるグラフィカル ユーザー インターフェイスでアプリケーションへのアクセスをコンテキストベースで管理し、ID認識型のコンテキストベースのポリシーを簡単に作成、編集、管理することができます。

図1：BIG-IP APM Visual Policy Editor