Webプロキシ? CASB? 次に考えるべきなのは「セキュアインターネットゲートウェイ」!:境界では守れない! どうする?
WebプロキシやCASBの導入を考えているが、ますます多くのセキュリティ製品と付き合わなければならないことに疲弊感を感じている読者、あるいは中小企業で統合セキュリティを導入したいと考えている読者にとっての選択肢とは。
ファイアウォールをはじめとするセキュリティ製品を一通り導入した組織が、今注目している製品ジャンルの代表格は「EDR(Endpoint Detection and Response)」「Webプロキシ」「CASB(Cloud Access Security Broker)」だ。
こうした製品ジャンルに注目している人は、なぜそうした製品を使うのか、これまでのセキュリティ製品のどのような「穴」を埋めたいのか、目的と効果をよく考えて導入すべきだ。
結局、多くの組織が今やりたいことは2つにしぼられる。一つは、従来のセキュリティ製品では防げずにいずれかの端末がマルウェアに感染した場合に、感染端末を迅速に特定し、対処することで、社内への被害の拡大を防ぐこと。もう一つは、働き方改革で推進されているモバイルワークやリモートワークの進展、さらにSaaSをはじめとしたクラウドサービスの普及で、業務トラフィックが社内に閉じなくなってしまっている現状をカバーするセキュリティ対策が必須となっている。
後者は特に重要で、現状および今後のさまざまな業務通信形態全てをカバーするためには、クラウドベースのセキュリティ対策を実施することがもはや不可欠だ。
「社内用セキュリティ製品と社外/モバイルセキュリティを分けて考えている限り、適用すべきセキュリティ製品の種類はますます増え、管理担当者が疲弊する一方で、効果が実感できないといった悪循環が止められません。クラウドベースのセキュリティ製品で、セキュリティ対策をシンプルにすべき時が来ています」とシスコシステムズ セキュリティ事業 セキュリティアーキテクトの西原敏夫氏は言う。
この2つの、「組織がやりたいこと」に関して、他にはなかなか見られないユニークな技術で効果的な手法を提供しているのが、シスコシステムズの「Cisco Umbrella」だ。インターネットアクセスを安全にする出口対策を、これに頼ることができる。
Cisco Umbrellaはクラウドサービスであり、導入作業は最少で1ステップと、保護端末への展開は非常に簡単だ。例えばCisco Systemsは、世界100カ国以上の600拠点、約14万人を対象とした展開を、30分で終了できたという。
クラウドサービスとして提供されるため、料金体系も組織規模の大小にかかわらず検討しやすい。さらに、期間限定の無償トライアルをいつでも試すことができる。また、機能は限定されるものの、個人向けには無償サービスを提供しているため、どのような製品なのか、イメージをつかみやすい。
では、Cisco Umbrellaはどこがユニークなのか。
全てのプロトコルに対応するProxy以上のセキュリティ
例えばクラウドベースのセキュリティというと、Webプロキシが思い浮かぶ。Webプロキシはコンテンツフィルタリングの他、社外で業務を行う人たちのためのセキュリティ保護手段としてよく検討される。
「しかし、Webプロキシは、一般的にHTTPとHTTPSで使用されるポート番号である80番と443番しか見ていません。現実には、特に感染ホストとC&Cサーバ(制御サーバ)との間の通信で、他のあらゆるポート番号が使われる可能性があるにもかかわらず、こうした通信は無条件で中継し、素通ししてしまいます。その意味で、Webプロキシはセキュリティ上の脅威をブロックする機能が不完全だといえます」(西原氏)
これに対し、Cisco Umbrellaはあらゆるポート、プロトコルに対応した対策が可能だ。そのカギは、DNSに着目していることにある。
インターネット通信は、いわゆるドメイン名に対応するIPアドレスを照会する「DNSクエリ」と呼ばれる問い合わせを、DNSに問い合わせるところから始まる。そこでCisco Umbrellaは、保護対象端末(社内のサーバでもいい)からのこうした問い合わせをまとめて引き受け、このドメイン名を持つアクセス先のホスト(サーバ)が安全かどうかを判断し、安全でなければ問い合わせに対応しない。
このため、保護対象端末は、Cisco UmbrellaをDNSサーバに指定している限り、通信で使うポート番号にかかわらず、安全なホストとしか通信を開始できない。新しいドメインなど、DNSレベルでグレーと判断した場合、Cisco Umbrellaに実装されているIntelligent Proxyで透過的にそのWeb通信をチェックする。
端末は、VPN接続していても、していなくてもいい
「これには3つの利点があります。第1は、実質的な通信を開始する前に悪意のある通信をブロックできること。第2は、Webプロキシのように通信経路の間にセキュリティサービスを挟む必要がないため、あらゆる場所からのあらゆるインターネットアクセスに対応でき、パフォーマンスも確保しやすいこと。そして第3は、第2の点に関連しますが、コンテンツキャッシュやSSL通信の復号はしないため、通信の秘匿性に敏感な組織でも利用しやすいということです」と、シスコシステムズ セキュリティ事業 コンサルティングシステムズエンジニアの國分直晃氏は説明する。
Cisco Umbrellaは、新たなドメイン名を1日当たり300万件以上検出、そのうち6万件以上を悪意のあるものとして特定している。この判断は、次のような手法で行っている。
また、160 カ国 8500 万人のユーザーを持ち、1日当たり1750億の DNS 要求を解決している。こうした情報を活用し、新ドメインに対してドメイン名とIPアドレスを自動的に分析して分類・スコア化するモデルを、著名なセキュリティ分析組織であるCisco TalosとCisco Umbrellaのチームが開発し、適用。数十のモデルが 1 秒間に数百万のイベントを分析している。
こうした判断では、レピュテーション(評価)データベースを適用するのが普通だ。だが、攻撃者はドメイン自動生成アルゴリズム(「Domain Generation Algorithm(DGA)」などと呼ばれる)の利用や、IPアドレスの短時間での切り替え(「Fast Flux Network(FFN)」)、サブドメインの短時間での変更(「Domain Shadowing」)など、レピュテーションを回避する新たな手法を編み出している。
Cisco Umbrellaでは例えばDGAについて、既知のC&Cサーバと既知のDGAの分析などから将来使われ得るドメイン名を予測、そのドメインプールをまとめてブロックするなど、将来を見越した対策を講じている。
ユーザー/ユーザーグループごとの容易なポリシー設定と監視機能
Cisco Umbrellaでは、クライアントIPの可視化のための専用のバーチャルアプライアンスを無償で提供している。このバーチャルアプライアンスと社内のActive Directoryを連携し、一方で社外端末についてはUmbrellaモジュールを導入することで、ユーザーや部署、端末単位のセキュリティ設定が可能だ。セキュリティポリシーの設定は、保護対象をまず選択し、この対象をどのように保護したいかを、ポリシーとして適用すればいい。
このUmbrellaモジュールは持ち出し端末の保護に最適だ。例えばクラウドサービス利用の増加に伴い、VPN接続をせずに業務可能になったことも背景としてある。Cisco Umbrellaの専用クライアントモジュールを端末に入れておくだけで、VPNをオフにした場合でも自動で、社内にいるときと同様に、Cisco Umbrellaで保護される。
セキュリティのために、端末が社内と必ずVPN接続しなければならない運用をしているケースは多い。一方、セキュリティサービスの中には、端末がVPNをオフにしていないと保護できないものもある。Cisco Umbrellaの場合、どちらの状態でも、一貫した保護が適用されるというのがポイントだ。
これと同一のコンソールで、ユーザーのDNSアクセスやIP関連のアクティビティを、リアルタイムに可視化して見ることができる。デバイスまたはネットワーク別で許可/ブロックされたトラフィックを時系列で表示。さらにブロックされたトラフィックから、既に被害を受けた可能性のあるユーザーや端末、ネットワークを即座に特定できる。
こうして、万が一セキュリティ上の問題が発生した場合にも、素早い対処ができるようになる。
ちなみに、Cisco Umbrellaのログは、最新バージョンからAmazon S3に無償で保存できるようになった。無料保存される期間は直近30日間に限定されるが、こうしたログを前述のコンソールで可視化し、トレンド分析などが容易にできるようになっている。Webプロキシのユーザー組織はほとんどの場合、ログを確認することなどない。一方Cisco Umbrellaでは、簡単に可視化できる仕組みを通じ、ログの活用を支援している。
ユーザーのアプリケーション利用を可視化、WebプロキシやCASB機能も
こうしたセキュリティ対策機能に加え、Cisco Umbrellaではドメイン単位のコンテンツフィルタリングや、Google検索などにおいて不適切なコンテンツの表示を防ぐ「セーフサーチ」のユーザーへの強制が可能だ。
さらに新バージョンでは、シスコのCASB製品である「Cisco Cloudlock」の機能を一部取り込んだことで、アプリケーション利用を可視化、制御する機能が加わった。
「App Discovery」という機能で、「スタッフがどのようなクラウドアプリケーションを使っているか」「使われているクラウドアプリケーションはどのようなセキュリティ評価を受けているか」といった、いわゆるシャドウITの状況を把握できる。セキュリティ管理者は状況を視覚的に確認した上で、危険だと判断するアプリケーションへの接続をブロックできる。
さらにCisco Umbrellaは、今後約1年をかけて急速に進化し、エンドポイント保護のための統合セキュリティサービスに進化する計画だ。これはCisco Systems自身にとっても、Cisco Umbrellaがクラウドベースセキュリティの主役になることを意味する。
まず、ファイアウォール機能の充実がある。次のバージョンでレイヤー3/4の機能が加わり、その後にはレイヤー7までの、アプリケーション理解に基づくきめ細かな制御ができるようになる。
一方、Webプロキシ機能が進化する。これはCisco UmbrellaでDNSベースの制御に加え、HTTP/HTTPSについて、よりきめ細かな制御ができるようにするものだ。また、CASB機能の取り込みについては既に述べたが、より幅広いアプリケーションに対応できるようになっていく。
さらに、Cisco SD-WANやCisco Merakiとの統合が進む。このことで、最終的にユーザー組織の各拠点は、Cisco UmbrellaとIPsecトンネリングで容易に接続できるようになる。
シスコはCisco Umbrellaについて、「セキュアインターネットゲートウェイ(SIG)」という形容をしているが、1年後になれば、SIGが製品カテゴリーとして認められ、Ciscoはそのリーダーとして君臨することになる可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年12月25日