TechLeague

    Cisco

    Cisco ISE vs Aruba ClearPass vs FortiNAC: 2026年版エンタープライズNAC比較

    TechLeague Editorial··15 分で読了

    2026年において、Network Access Control(NAC)プラットフォームを選択する理由は、基本的な.1X/MABの要件よりも、Zero Trustのオーケストレーション、IoT/OTのセグメンテーション、サプライチェーンの完全性に重点が置かれています。本分析では、Cisco Identity Services Engine(ISE)3.4、Aruba ClearPass Policy Manager(CPPM)6.13、およびFortinet FortiNAC 9.5を評価します。マーケティング上の宣伝を排し、100,000エンドポイント規模のデプロイメントにおけるアーキテクチャの強み、統合の深さ、および総所有コスト(TCO)を明らかにします。

    コアアーキテクチャ & スケーラビリティ

    Cisco ISEは、Administration、Policy Service、Monitoringの各ペルソナノードを持つ分散システムとして動作します。100,000エンドポイントの場合、デプロイメントは通常、アクティブ/スタンバイペアの2つのプライマリPAN(Policy Administration Node)、RADIUS/TACACS+およびポスチャ用に4~8つのPSN(Policy Service Node)、2つのMnT(Monitoring and Troubleshooting)ノードで構成されます。PSNには堅牢なハードウェアが必要です。約25,000同時セッションに対応するには、Cisco SNS-3715アプライアンスまたは同等のVMが一般的です。dot1x認証ではPSNとエンドポイント間のレイテンシが重要であり、これが分散戦略を決定します。Ciscoのアーキテクチャは、PXGridを活用してCisco Secure Firewall(FTD)やCisco Secure Endpoint (旧AMP for Endpoints)を含む他のセキュリティプラットフォームとリアルタイムのコンテキスト情報を共有します。

    Aruba ClearPass Policy Managerは、Publisher、Subscriber、およびLog Collectorという同様の分散モデルを採用しています。Publisher(プライマリ)は構成を処理し、Subscriber(セカンダリ)は認証とポリシー適用を実行します。100,000エンドポイントの場合、Publisher/Subscriberクラスタは、Publisherが2台(アクティブ/スタンバイ)、Subscriberが8~12台で構成され、それぞれ25,000~50,000同時セッションを処理できるClearPass C3000V仮想アプライアンスを使用する可能性があります。ClearPassは、OnConnectと堅牢なディクショナリサポートにより、マルチベンダーネットワーク統合に優れています。Device Insightは、コアCPPMノードから詳細なプロファイリングを効果的にオフロードする、専用のクラウドネイティブなIoT可視化レイヤーを追加します。

    FortiNAC 9.5は、Agent(アプリケーションポリシー適用)、Manager(集中構成とレポート)、およびData Collectorアーキテクチャにより差別化されています。大規模デプロイメントでは、冗長性のために複数のManagerをデプロイでき、多数のAgentは地理的に分散してローカル認証負荷を処理します。FortiNAC-VM64-Mgrは最大25,000デバイスを処理でき、FortiNAC-VM64-Agentも同様の規模をサポートします。FortiNACはFortiGateをインライン適用ポイントとして活用し、Fortinet Security Fabricと密接に統合して、FortiAnalyzerおよびFortiManagerと脅威インテリジェンスとポリシーを共有します。エージェントレス検出は、SNMP、NetFlow/IPFIX、および受動的技術に大きく依存しており、特にエージェントをサポートしないOT/IoT環境において正確なアセット識別が重要になります。

    認証および認可サービス (.1X, MAB, TACACS+)

    Cisco ISEの強みは、認証と認可のフローをきめ細かく制御できるPolicy Setsにあります。dot1x、MABをネイティブでサポートし、AD Joinを介したActive Directoryとの深い統合を実現しています。ネットワークデバイス管理(例:Catalyst 9300X-48HXN、FortiGate 1800F、PA-5440)のためのTACACS+は堅牢であり、コマンドセット、シェルプロファイル、属性フィルターを活用して正確なRBACを実現します。TrustSec Security Group Tags(SGTs)はCiscoのマイクロセグメンテーション戦略の中心であり、ネットワークの適用ポイント(スイッチ、ルーター、ファイアウォール)がIPアドレスだけでなく、ユーザー/デバイスのIDに基づいてポリシーを適用することを可能にします。これにより、大規模キャンパスにおけるACL管理が大幅に簡素化されます。

    Aruba ClearPassは、RADIUSディクショナリとベンダー固有属性(VSAs)への広範なサポートにより、異種環境で優れた性能を発揮します。そのサービステンプレートは、さまざまなネットワークベンダーにわたるdot1xおよびMABの構成を簡素化します。ClearPassは、直感的なポリシーエンジンを備えた堅牢なTACACS+サービスも提供し、デバイス管理とコマンド認可をサポートします。オンボーディング、ゲスト、プロファイリングシステムからのデバイスタイプのインサイトにより、非常にコンテキストに基づいた認可ポリシーを可能にします。ClearPass Guestは、セルフサービスまたはスポンサー付きゲストアクセス(ソーシャルログインやキャプティブポータルカスタマイズを含む)のための成熟した機能豊富なモジュールです。

    FortiNACは、dot1xとMABの包括的なサポートを提供し、認証前のデバイス可視化に重点を置いています。DHCPフィンガープリント、NMAPスキャン、SNMP、HTTPプローブなどの技術を使用したプロファイリングエンジンは、最初にデバイスを正確に識別しようとします。これにより、不明なデバイスを隔離したり、さらに識別または登録されるまで限定されたゲストVLANに割り当てたりするなどのポリシーが可能になります。TACACS+サポートは機能的ですが、統合属性についてはFortinetエコシステムに大きく依存しています。一般的なネットワークデバイスをサポートしますが、最も深い統合は、コマンド認可と監査のためのFortiGateおよびFortiSwitchです。

    IoT/OTデバイスプロファイリング & セグメンテーション

    Cisco ISEは、DHCP、HTTP、DNS、NetFlow、およびSNMPデータを分析してデバイスを識別するプロファイリングサービスを活用します。より深いIoT/OTの可視性のために、Cisco Cyber Vision(旧SOTI)はpxGridを介してISEと統合し、ISE単独では提供できない特殊な産業用プロトコル分析とアセットインベントリを提供します。これにより、ネットワークデバイス上で詳細なSGT割り当てと適用が可能になります。真にエージェントレスな環境では、ISEのネイティブプロファイリングはITアセットには優れているものの、不明なICS/OTプロトコルには正確さに欠ける場合があるため、CCVまたはサードパーティソリューションとの統合が必須です。

    ArubaのDevice Insightは、IoT、医療、およびOTデバイスのために特別に設計された、クラウドネイティブなAI駆動の検出およびプロファイリングエンジンを提供することで、ClearPassを補完します。エージェントを必要とせずに、パケット検査を含むパッシブおよびアクティブな技術を使用します。これにより、プロファイリングの重い処理がClearPass Subscribersからオフロードされ、CPPMがポリシー適用に集中できるようになります。ClearPass OnConnectはスイッチと統合し、Device Insightの分類に基づいてVLANまたはファイアウォールルールを動的に割り当て、これらのデバイスを効果的にセグメント化します。この二面的なアプローチは、大規模で複雑なIoTデプロイメントに有効です。

    FortiNACは、エージェントレス検出と堅牢なプロファイリング機能をすぐに利用できる点で優れています。これは、スニッファ収集、NetFlow/IPFIX分析、および一般的なIoTプラットフォームとの直接API統合を含む多面的なアプローチを採用しています。これにより、エージェントを実行できないデバイスを正確に識別できます。識別後、FortiNACは、FortiGateファイアウォールまたはFortiSwitchデバイスを介して適用できる動的なポリシーを割り当て、デバイスを特定のVLANに移動させたり、マイクロセグメンテーションルールを適用したりします。このネイティブ機能は、膨大な数のアンマネージドIoT/OTアセットを扱う際のデプロイメントの複雑さを大幅に軽減します。

    ポスチャ評価 & エンドポイントコンプライアンス

    Cisco ISEは、AnyConnect Network Access Manager (NAM) エージェントを通じて広範なポスチャ評価機能を提供します。これにより、アンチウイルスステータス、パッチレベル、実行中のプロセス、レジストリキーなどをチェックできます。エージェントレスシナリオでは、基本的なOSチェックを実行できます。pxGridを介したMDMソリューション(例:Microsoft Intune、VMware Workspace ONE)との統合により、ISEはMDMから直接デバイスのコンプライアンスステータスを取得できます。コンプライアンス違反が発生した場合、動的なポリシー変更(非準拠デバイスを修復VLANに移動させたり、TrustSecを介して制限的なAccess Control List (ACL) を適用したりするなど)が行われる可能性があります。

    Aruba ClearPass OnGuardは、Windows、macOS、Linux、およびモバイルオペレーティングシステムをサポートする、機能豊富なディスクレスまたは永続的なエンドポイントポスチャチェック用エージェントです。アンチウイルス、EDRステータス(例:CrowdStrike Falcon、SentinelOne)、パッチコンプライアンス、ディスク暗号化、禁止アプリケーションの有無などを評価します。ClearPassは、各種MDMプラットフォーム(例:Jamf、Microsoft Intune)やEDRソリューションともAPIを介して統合し、エンドポイント自体にエージェントがなくても高度なコンプライアンスチェックを行います。非準拠デバイスは、事前に定義されたポリシーに基づいて自動的に隔離されたり、制限されたアクセスが与えられたりします。

    FortiNACのポスチャ評価であるFortiClientは、Fortinet Security Fabricに緊密に統合されています。FortiClientは、Windows、macOS、Linuxエンドポイント向けのアプリケーションの存在、システムヘルス、ファイル変更、サービスステータスなど、包括的なポスチャチェックを提供します。FortiClientを使用できないデバイスの場合、FortiNACはNMAPやWMIなどのホストスキャン技術を利用してコンプライアンスを推測することもできます。また、MDMプラットフォームとも統合します。FortiNACはFortiGateポリシーをトリガーして、非準拠デバイスを隔離または修復することができ、適用ドメインをアクセスレイヤーに限定することなく拡張します。

    セキュリティエコシステム(NGFW, EDR, MDM)との統合

    Cisco ISEのpxGridフレームワークは、エコシステム統合におけるその真髄です。Cisco Secure製品(Firewall, Endpoint, Cloud Mail)および60以上のサードパーティベンダーとのリアルタイムなコンテキスト共有を可能にします。これにより、例えばCisco Secure Endpointがワークステーション上で脅威を検出し、それがCatalyst 9kスイッチまたはFTD上のSGT変更を介してISEがそのデバイスを隔離するAdvanced Threat Protection (ATP)のユースケースが実現されます。モバイルデバイスのポスチャおよび所有者情報のためのMDM統合は一般的であり、デバイスの信頼に基づいたZero Trustセグメンテーションポリシーを可能にします。

    Aruba ClearPassは、APIファーストのアプローチとベンダーに依存しない設計を活用し、広範な統合を実現しています。主要なNGFW(Palo Alto PA-5440、Check Point、FortiGate)、EDRソリューション(CrowdStrike、SentinelOne)、およびMDMプラットフォーム(Intune、Workspace ONE)向けに、すぐに使えるコネクタを提供しています。ClearPass Exchangeは重要な差別化要因であり、事前に構築された統合と拡張機能のマーケットプレイスを提供します。ClearPassのIDコンテキストに基づいて、ポリシー更新をファイアウォールにプッシュして動的なルール適用を行うことができ、マイクロセグメンテーションを境界またはデータセンターまで効果的に拡張します。

    FortiNACの強みは、Fortinet Security Fabric内での緊密な統合にあります。デバイスコンテキストをFortiGate(ファイアウォールポリシー適用用)、FortiAnalyzer(ログ記録と分析用)、FortiManager(集中管理用)、およびFortiClient EMS(エンドポイント管理用)と共有できます。これにより、ネットワークとセキュリティレイヤー全体で統一されたポリシー適用が可能になります。FortiNAC以外のデバイスに対しては一般的なRADIUS/TACACS+をサポートしますが、その最も深く、最も効果的な統合はFortinetエコシステム内にあり、エンドポイントからファイアウォールまでのセキュリティポリシーのオーケストレーションを簡素化します。

    デプロイメント & ライセンスの複雑さ、TCO

    Cisco ISEのライセンスは、Base、Plus、Apex、およびAdvantageティアがあり、場合によってはDevice Adminライセンスが追加されるため、複雑になる可能性があります。ライセンスは永続的で、年間サポート契約が必要です。20,000エンドポイントのデプロイメントでは、Plus(高度なプロファイリング/ゲスト用)、Apex(MDM/EPP統合、ポスチャ用)、そしてTrustSec用のAdvantageが混在することが予想されます。一般的な20,000エンドポイントデプロイメント(5,000同時接続)には、3~4台のPSN、1ペアのPAN、1ペアのMnTが関与する可能性があります。Plus/Apex機能を備えた20,000エンドポイントの永続ライセンスの定価は、ソフトウェアだけで30万ドルから60万ドルの範囲になる可能性があり、これにSNSハードウェア(約8万ドル~15万ドル)と3年間のSMARTnet(約10万ドル~20万ドル)が加わります。3年間の総TCOは、機能と交渉によって大きく異なりますが、100万ドルから150万ドルに達する可能性があります。

    Aruba ClearPassのライセンスはサブスクライバーベース(Entry、Access、Policy Manager、Guest、OnGuard、Device Insight)であり、多くの場合、年間サブスクリプションモデルまたは永続ライセンスと別途サービスとして販売されます。20,000エンドポイント(5,000同時接続)の場合、Policy Manager、OnGuard、およびDevice Insightのライセンスの組み合わせが必要になります。20,000のPolicy Managerライセンス、5,000のOnGuard、および20,000のDevice Insight、3年間のサブスクリプションの目安となる定価は、40万ドルから70万ドルの範囲になる可能性があります。ハードウェア(C3000V相当のVM)は通常顧客提供のため、初期のCapExを削減できますが、ハイパーバイザーリソースのOpExに転換されます。20,000エンドポイントの企業向け3年間の総TCOは、約80万ドルから120万ドルになる可能性があります。

    FortiNACのライセンスはよりシンプルで、通常はデバイスベース(Endpoint、IoT、Guest)および機能ベース(Basic、Advanced、Premium)です。永続またはサブスクリプションが選択できます。Advanced機能を備えた20,000エンドポイントのデプロイメントには、マネージャーとエージェント、さらにエンドポイント/IoTデバイスのライセンスが必要です。20,000デバイスの場合、FortiNAC-VM64-Mgrと2台のFortiNAC-VM64-Agentアプライアンスがデプロイされます。Advanced機能を備えた20,000デバイスと3年間のサポートの定価は、25万ドルから45万ドルの可能性があります。ハードウェアは通常VMベースです。3年間の総TCOは、60万ドルから90万ドル程度になる可能性があり、Fortinet中心の環境では一般的に最もTCOの低いオプションとなります。

    TCO比較(20,000エンドポイント、3年間の総額の目安となる定価)

    プラットフォーム ソフトウェア/サブスクリプションライセンス(2万エンドポイント) ハードウェア/VMコスト(推定) 3年間の総TCOの目安 主要な差別化要因
    Cisco ISE $300,000 - $600,000 (Plus/Apex) $80,000 - $150,000 (SNS-3715相当) $1,000,000 - $1,500,000 TrustSec/SGTs, pxGridエコシステム
    Aruba ClearPass $400,000 - $700,000 (PM, OG, DI) 顧客提供VM($50,000 - $100,000相当) $800,000 - $1,200,000 マルチベンダーサポート, Device Insight
    FortiNAC $250,000 - $450,000 (Advanced) 顧客提供VM($30,000 - $60,000相当) $600,000 - $900,000 Fortinet Fabric統合, エージェントレスDNA

    評決

    Cisco ISE は、Ciscoエコシステム、特にCatalyst 9000スイッチやCisco Secure製品に深く投資している組織に最適です。そのTrustSec SGTベースのマイクロセグメンテーションとpxGrid統合は、真にZero Trustアーキテクチャのための比類のないオーケストレーション機能を提供しますが、コストは高く、設定にはかなりの労力が必要です。ネットワークの80%以上がCiscoであり、スケーラブルなID駆動型セグメンテーションが必要な場合、ISEは複雑ながらも主要な選択肢であり続けます。TrustSecは、VLANのみに依存することなく、レイヤー2/3セグメンテーションを大規模に実装する最もエレガントなソリューションを提供します。

    Aruba ClearPass は、ベンダーに依存しないポリシー適用が必要な異種ネットワーク環境にとって明確な勝者です。堅牢なプロファイリング、包括的なゲストアクセス、およびIoT/OT向けのDevice Insightは、ベンダーロックインを強制することなく、柔軟で強力なソリューションを提供します。様々なアクセスレイヤーハードウェア(例:Extreme、Juniper、HP、Cisco)が混在し、IoTの可視化が強く求められる企業にとって、ClearPassは機能、統合、および合理的なTCOの最適なバランスを提供します。そのAPIファーストのアプローチは、将来のセキュリティツールへの適応性を保証します。

    Fortinet FortiNACは、Fortinet Security Fabricにコミットしている組織にとって際立っています。FortiGateファイアウォール、FortiSwitch、およびFortiClientとの深い統合により、管理が簡素化され、ネットワーク全体でポリシー適用がシームレスに拡張されます。管理されていないIoT/OTデバイスが多数存在し、Fortinetの下でセキュリティベンダーを統合することを主な目標とする環境にとって、FortiNACは検出、プロファイリング、およびセグメンテーションにおいて最も費用対効果が高く、高度に統合されたソリューションを提供します。そのエージェントレス機能は、産業用および組み込みシステムにとって強力なセールスポイントです。

    関連資料

    よくある質問

    マルチベンダーネットワーク環境に最適なNACはどれですか?+

    Aruba ClearPass Policy Managerは、マルチベンダーシナリオで常に優れた性能を発揮します。その広範なRADIUSディクショナリサポートとOnConnectフレームワークにより、Cisco、Juniper、Extreme、HPなどのスイッチやWLANコントローラとのシームレスな統合が可能です。ClearPass Exchangeは、多くのパートナー統合をすぐに提供し、カスタム開発の必要性を低減します。

    大企業にとって最も費用対効果の高いNACソリューションは何ですか?+

    主にFortinetに標準化されている企業にとって、FortiNACは、特に既存のFortiGateおよびFortiSwitchインフラストラクチャを活用する場合、一般的に最も低いTCOを提供します。しかし、真にベンダーニュートラルな環境では、ライセンスモデル、必要な機能(例:ポスチャ、高度なIoT)、およびハードウェアとVMのデプロイメント戦略によって、全体のTCOは大きく異なります。

    どのNACが最高のIoT/OTデバイスの可視性と適用性を提供しますか?+

    Aruba ClearPassは、特にAruba Device Insightと組み合わせた場合、きめ細かなプロファイリングとクラウドネイティブな分析を通じて、IoT/OT向けの強力なソリューションを提供します。FortiNACも、ネイティブのエージェントレス検出と、適用性のためのFortinet Fabric統合で優れています。Cisco ISEは、産業環境での同様の深さにはCisco Cyber Visionとの統合が必要です。

    これらのNACはZero Trust Network Access (ZTNA) をどのように扱いますか?+

    これら3つのプラットフォームはすべてZTNAの基盤となります。Cisco ISEはTrustSec SGTとpxGridを使用して、IDベースのマイクロセグメンテーションを強制します。Aruba ClearPassは、プロファイリングとMDM統合からのデバイスコンテキストを活用して、ファイアウォールポリシーを動的に適用します。FortiNACは、Security Fabric統合を使用して、FortiGateで詳細なポリシーを強制します。選択は、既存のネットワークとセキュリティアーキテクチャに依存します。

    エージェントベースとエージェントレスのポスチャ評価はどちらが好まれますか?+

    エージェントベースのポスチャ(Cisco AnyConnect、Aruba OnGuard、FortiClient)は、最も詳細でリアルタイムなエンドポイントコンプライアンスチェックを提供します。エージェントレス方式は、ネットワークの洞察またはMDM統合に依存し、きめ細かな制御は少ないですが、エージェントを実行できないデバイス(例:プリンター、IPカメラ、OTデバイス)には不可欠です。複雑な環境では、ハイブリッドアプローチがしばしば必要とされます。

    これらのNACソリューションを展開および保守するためにどの程度の労力が必要ですか?+

    Cisco ISEのデプロイメントは通常最も複雑で、Policy Sets、TrustSec、pxGrid、および分散アーキテクチャの深い理解が必要です。Aruba ClearPassはより直感的なポリシーエンジンを提供しますが、マルチベンダー統合や高度な機能にはかなりの労力が必要です。FortiNACは、統一された管理によりFortinet中心の環境内ではデプロイがより簡単になりますが、ネットワークトポロジとデバイスプロファイリングに関する専門知識は依然として必要です。