この記事は、シスコ セキュリティ ビジネス グループのプロダクト マーケティング マネージャーである Meg Diaz によるブログ「Consolidate Your Security in the Cloud with Cisco Umbrella」(2019/11/07)の抄訳です。
パートナーシップを成功に導くポイントとは何でしょうか。オープンなコミュニケーションと常に進歩し続けるための情熱は、2 つの重要な要素です。お客様はシスコの継続的なイノベーションを支援してくださっていて、一緒にセキュリティの提供方法を変革しています。シスコではこの 12 ヵ月あまりの間に Cisco Umbrella を新たな段階へと進めるための取り組みを始めました。
DNS はシスコの中でも常に中核的な位置付けにありました。2006 年に再帰型 DNS サービス(OpenDNS)の提供を始めたのを皮切りに、2012 年には Umbrella をリリースしてエンタープライズ セキュリティの領域に踏み込みました。DNS レイヤにセキュリティを取り入れるというしくみは、当時においては画期的なものでした。次第にあらゆる拠点のすべてのインターネット アクティビティを 1 つのビューに集約するのは非常に価値があるという認識が広がり始めました。これは可能な限り早い時点で脅威をブロックするために非常に効果的な方法でした(調査対象となるアラートの数が少なくて済むのも良い点でした)。さらに、クラウドから提供されるため、企業全体に数分で導入できるのも魅力的です。
クラウドに移行するアプリケーションやインフラストラクチャの数が増えるにつれて、多くの人がネットワーク外で作業をするようになり(そして厄介な VPN を有効にするのを「忘れる」ようになり)ました。さらにリモートオフィスでのダイレクト インターネット アクセスへの移行が進んだこともあって、お客様がセキュリティサービスに何を求めているのかについて意見を聞く機会も増えました。その結果わかったことは、DNS レイヤのセキュリティよりも遥かに多くのものが求められているということです。Umbrella が提供する機能は今では DNS レイヤのセキュリティに留まりません。それをお知らせできるのは喜ばしいことです。
現在、Umbrella は、DNS レイヤのセキュリティと Investigate から得られる脅威インテリジェンスに加え、セキュア Web ゲートウェイ、クラウド提供ファイアウォール、クラウド アクセス セキュリティ ブローカ(CASB)機能をすべて単一の統合クラウド コンソールで提供しています。これらの機能はすべて、Umbrella の新しいパッケージである Secure Internet Gateway Essentials でご利用いただけます。
複数のセキュリティサービスをクラウドに統合することで、ユーザが業務を行うあらゆる場所で、柔軟性と可視性が強化され、一貫性のある運用をお客様に提供できるようになりました。目標はシンプルです。お客様のセキュリティ運用を簡素化し、複雑さを軽減できれば、お客様はリスクを低減でき、セキュアなクラウド導入を促進できます。
その一環として導入したイノベーションの例をいくつかご紹介します。
セキュリティサイロから脱却し統合を実現
組織がクラウドに移行して、セキュアなダイレクト インターネット アクセスを実現するには、多大な労力が必要になります。また技術とかなりのリソースが必要です。セキュリティで保護すべき拠点はどれだけあるでしょうか。お客様からは拠点ごとに異なるセキュリティスタックを構築して維持するのは難しいという声が聞かれます。そこで、これらの主要なセキュリティサービスを 1 つのクラウドソリューションに移行することで、組織全体で一貫して、適切なレベルのセキュリティを導入できます。必要に応じて柔軟に導入できるため、すべてをプロキシを介して処理したり、特定の方法で導入したりする必要はありません。たとえば、あらゆる場所で迅速な保護を実現するために DNS から開始し、必要に応じて追加のセキュリティサービス(セキュア Web ゲートウェイ、ファイアウォール、CASB など)を活用することもできます。
「管理の観点から Cisco Umbrella のシンプルさが気に入っていますが、Cisco Umbrella が提供する高度な保護レイヤの複雑さも気に入っています。この 1 つの製品によって、場所を問わず、従業員全体を保護する当社の能力が大きく変わりました」Cianbro Corporation 社、ネットワーク運用担当スーパーバイザ、Ryan Deppe 氏
誰でも知っているテクノロジーをまったく新しいアプローチで
IPSec トンネルは長らく利用されている技術ですが、シスコではお客様の声を基に別の角度から切り込みました。シスコは IPSec トンネル用の新しいテクノロジーを開発しました。これにより、ダウンタイムを最小限に抑え、Anycast テクノロジーを用いた手法(特許出願中)によってフェールオーバーを自動化し、セカンダリトンネルを構築する必要がなくなりました。SD-WAN を含むあらゆるネットワークデバイスから Umbrella にトラフィックを送信するために展開する IPsec トンネル が 1 つで済みます。Anycast ルーティングと組み合わせたこの統合アプローチにより、ブランチユーザ、接続デバイス、およびアプリケーションの使用をすべてのインターネット ブレークアウトから効率的に保護し、100% のビジネス稼働時間を実現します。
DNS トンネリングのリアルタイム検出
シスコは長年 DNS レイヤセキュリティを主導してきましたが、これまでの実績に頼るつもりはありません。攻撃を仕掛けてくる相手の戦術は、こちらの動きに応じてたちまち変化するからです。その一例が DNS トンネリングです。DNS プロトコルを使用し、ポート 53 を介して非 DNS トラフィック(つまり HTTP)と通信するのが DNS トンネリングの技術です。DNS トンネリングを使用するのには正当な理由がありますが、この技術はデータ漏洩とコマンド & コントロールコールバックのために悪用されています。そこでシスコではこの攻撃を的確に特定し阻止するために、高度な検出機能(リアルタイム ヒューリスティック、シグネチャ、エンコードされたデータの検出)を Umbrella に追加しました。
Web コントロールの強化、悪意のあるファイルへのレトロスペクティブアラート
シスコの新しいセキュア Web ゲートウェイ(フルプロキシ)は、Web トラフィックの完全な可視化、制御、および保護を提供します。これを可能にするのは、URL レベルでのコンテンツフィルタリング、アプリケーションまたはアプリケーション機能のブロック、HTTPS 復号(選択したサイトまたはすべてのサイト)、Cisco Advanced Malware Protection とウイルス対策によるファイル検査、Cisco Threat Grid による不明なファイルのサンドボックス化、後で悪意のある動作を示すファイルに対するレトロスペクティブアラートなどの機能です。ファイルの動作は時間の経過とともに変化したり、初期検出を回避するメカニズムを導入したりする可能性があることを考慮する必要があります。Threat Grid で安全であると判断されたファイルを Web からダウンロードした後、悪意があると判断された場合に、Umbrella で確認できるようになりました。
Umbrella の拡張機能は、いずれも組織が自信を持ってクラウドの導入を促進できるように設計されています。お客様はインターネットに接続するすべての場所で、お客様のユーザが安全であることを保証する必要があります。これこそが、シスコがお客様に提供しようとしているものです。さらに詳しい情報をお知りになりたい方は、11 月 12 日に開催予定のシスコ セキュリティ バーチャル サミットにご参加ください。Jeff Reed のブログでもシスコのセキュリティ分野におけるイノベーションを紹介していますので、ぜひご一読ください。