Cisco Umbrella にシャドー IT 可視化の新機能
組織のインターネット接続形態は多様化しています。クラウド アプリケーションの利用が増え、そのパフォーマンスや WAN コストの最適化の観点から、ブランチ オフィスから直接インターネットに接続するいわゆるダイレクト インターネット アクセス(DIA) へ多くの企業がシフトしています。これが SD-WAN 登場の背景です。また、働き方改革が叫ばれリモートワークが注目されている昨今、自宅や出張先や移動中といった、場所にとらわれずに働くことができる環境の提供が企業に求められています。そこで利用するデバイスについてもノート PC は当然として、LTE・スマートフォンの浸透や来る 5G を考えると、「どんな場所でもどんなデバイスからでもクラウドアプリケーションを利用できる環境を」というこの流れは加速し続けるでしょう。よってユーザのトラフィックは企業のオンプレミスで保有する設備を通らずにインターネットに抜けていく割合が増えます。つまりファイアウォールや Web プロキシなどといった企業とインターネットの境界に配置したセキュリティ対策を回避してしまうトラフィックが増えることを意味し、セキュリティ ポリシーの一貫性が崩れてしまいます。多様なインターネット接続形態には、これを包括的に保護する新しい仕組みが必要です。
この課題に対してシスコはセキュアインターネットゲートウェイ Cisco Umbrella を提供しています。
Cisco Umbrella は現在約 9000 万のユーザを持ち、一日に受ける DNS クエリは 1400 億件というデータ量を誇り、シスコのセキュリティ分析チーム Talos が提供する脅威インテリジェンス情報も活用したクラウド セキュリティ プラットフォームです。Cisco Umbrella は、通信のシーケンスで初期段階に使われる DNS を活用して防御を提供します。ユーザの端末やネットワーク機器から Cisco Umbrella に送信される DNS クエリを検査し、その問い合わせが不正または疑わしくブラックリストの対象となるホストへ誘導しようとするものであれば、そのアクセスを未然に防ぎ、ブロックすることができるのです。
クラウドサービスである Cisco Umbrella の導入は簡単です。アプライアンス等は必要なく、ネットワーク設計のし直しもありません。利用するDNS サーバのアドレスを Cisco Umbrella に変更し、自社のグローバル IP を Cisco Umbrella に登録すれば準備は完了です。本社もブランチオフィスも Cisco Umbrella の一貫した保護ポリシーの下に置くことができます。
外出先の PC は Umbrella Roaming Client、あるいは VPN クライアント ソフトウェアである Cisco AnyConnect の追加モジュールを通してオフィス内と同様のセキュリティ ポリシーを展開できます。オフィス外で VPN が無効になっている時でも、オフィスにいるときや VPN 接続時と同じ Cisco Umbrella のセキュリティポリシーが PC を守ります。
もう一つ考えなければならないモバイル デバイスでの業務には、iOS App である Cisco Security Connector(CSC)があります。企業支給の iOS デバイスは CSC によって通信の深い可視性を得られる他、Cisco Umbrella のセキュリティ ポリシーをエンフォースメントすることも可能となります。攻撃者のサイトへのアクセスを誘導するビジネスメール詐欺、いわゆる BEC(Business Email Compromise)等にも効果が期待できるでしょう。
Cisco Security Connectorについてはこちらの動画もご覧ください。
このように、クラウド アプリケーションの利用の増加で多様化したインターネット接続形態は、それぞれ Cisco Umbrella によって守られます。
一方でクラウド アプリケーションの利用に関しては気になる情報があります。Cisco Cloudlock CyberLab(後述するシスコが保有する研究チーム)の調査によると、多くの大企業の IT チームでは数十のクラウド アプリケーションの利用を従業員に認知・許可している一方で、実際には 1000 を超えるクラウド アプリケーション(シャドー IT)が利用されてしまっているという事実です。また、今後数年において企業が受けるサイバー攻撃はシャドー IT を入り口としたものが大きな割合を占めると Gartner 社は予測しています。
数年前まではクラウド アプリケーションの利用は禁止しなければならないという意見も多かったものですが、最近ではいかにこれを適切に利用し制御するのかということが多くの組織の関心事となっています。クラウド アプリケーションは、適切にガイドしてコントロールすれば利益をもたらす一方、手を付けず放置すればセキュリティ リスクを増大させる存在であることが理解されつつあります。
このようなニーズに対し CASB(Cloud Access Security Broker)と呼ばれるソリューションが求められており、この分野においてシスコは Cisco Cloudlock を提供しています。Cisco Cloudlock はクラウド アプリケーションを利用するユーザの振る舞い(ビヘイビア)を分析し脅威を特定します。Cloudlock Apps Firewall 機能はクラウド アプリケーションのエンタープライズ アカウントに OAuth を使って接続しようとしてくるクラウド ネイティブ マルウェアからアカウントを保護します。またデータ損失防止機能が継続的にクラウド環境を監視し機密情報漏えいを防ぎます。
Cisco Cloudlock が活用するインテリジェンスは Cisco Cloudlock CyberLab が支えています。このチームはキュリティ専門家、アナリストや侵入テスター、インシデント レスポンダーや研究者等から構成され、25万を超えるクラウド アプリケーションを認知できるクラウドの脅威に関する世界最大級のインテリジェンスとなっています。
Cisco Umbrella はこの Cisco Cloudlock CyberLab のインテリジェンスと連携し、受け取った DNS クエリを分析する App Discovery という新機能を展開中です。組織で利用されているクラウド アプリケーションがどのようなカテゴリ(ファイル ストレージであるとかコラボレーション ツールである等)のもので、ビジネス利用のリスクがどの程度あるものなのか自動的に可視化され、多くのアプリケーションをコントロールすることができます。
この図の環境では、Cisco Umbrella によって 3,140種類のクラウド アプリケーションが見つかっております。このツールを利用して組織で使われているクラウド サービスを確認し、組織として認めるか(approved)認めないか(not approved)を判断してラベル付けしていくことができます。この機能で見つけたクラウド アプリケーションをどのユーザが使っているのかもすぐに確認することができます。例えばこの組織では以下の VPN アプリケーションを認めないこととし、not approved にラベル付けしています。これまで述べてきたように、拠点ごとや Roaming Client を導入したPCごとに加え iOS デバイスといった接続形態に関わらないクラウド アプリケーションの利用状況の可視化が可能となっています。また一部ユーザ名が表示されているものがありますが、これは Cisco Umbrella を組織の Active Directory と連携しているために表示できるものです。
対応しているクラウドアプリケーションではこのツールから直接通信制御(ブロック)を行うこともできます。シスコは製品間の連携、統合にも力を入れており、これによって Cisco Umbrella は CASB に求められる機能についても取り込んだものとなります。
Cisco Umbrellaはこれからの時代に必要なセキュアインターネットゲートウェイというビジョンに向かい、進化を続けていきます。
Cisco Umbrella についての詳しい情報や無料のトライアルについてはこちらをご参照ください。
