Cisco Japan Blog

アプリケーションアクセスの保護ではコンテキストがすべて

1 min read



popup_iconこの記事は、Cisco SBG – Duo Security の Product Marketing Manager である Ganesh Umapathy によるブログ「Context is Everything When it Comes to Securing Application Access」(2020/5/5)の抄訳です。

 

コンテキストは、すべての中心です。コンテキストを無視して情報を解釈すると、全体像を見落として誤解することになります。これはセキュリティに関しても同様です。コンテキストは、ユーザとデバイスの信頼を確立し、アクセスの可否を判断するうえで、IT チームに欠かせない情報だからです。昨今の情勢により、会社支給のノートパソコンや個人所有のデバイスを使用して、必要に応じてどこからでもすぐに作業できる環境への需要が高まっています。従業員の生産性を維持するには、重要なビジネスデータとアプリケーションにあらゆる場所からアクセスできることが欠かせないからです。ハイブリッドの IT 環境では複雑さが増すため、セキュリティがチームの障壁になりかねません。複数のレイヤで構成される環境では、ビジネス目標に向けて IT チームが重要な役割を担います。ユーザエクスペリエンスと生産性を低下させることなく、従業員へのアクセス提供の可否を判断しなければなりません。そこでは、セキュリティイベントを数秒で集約して相互の関係を割り出し、セキュリティ環境をリアルタイムで把握できるソリューションが必要です。

 

アクセス保護における課題

大規模なチームの業務は、サイロ化されていることが珍しくありません。結果として、コンテキストを互いに共有しない複数のツールやソリューションが展開されます。こうしたサイロ化により可視化の範囲やツールセットが分断され、脅威の調査や修復をはじめとする重要なワークフローを、場合によっては手動で実施せざるを得なくなっています。これは、効率に欠けるセキュリティ運用や、セキュリティ環境全体での有効性のギャップにつながります。

脅威防御の強化、リモートワーカーのセキュリティ保護、またはゼロトラスト セキュリティ アプローチの採用によってセキュリティ強化を目指すプロジェクトは、サイロ化されたプロジェクトだとも言えます。チーム間で十分な意思疎通が図られている場合も同様です。これらのプロジェクトに共通する業務の 1 つは、信頼を確立し、アクセスの実行について安全性を確認することです。そのためにはアクセス実行の際のコンテキストを収集し、制御によって各リクエストを許可または拒否するツールが不可欠になります。制御に使用するツールがプロジェクト間で統一されていない場合や複数のツールを使用する場合、エンドユーザの反発を招き、コスト全般が増大します(メンテナンスのオーバーヘッドに伴うCAPEXとソフトコストの両方)。

これらのセキュリティプロジェクトは互いに排他的なものではないため、チームとツールが一体となって連携するための統合されたセキュリティ プラットフォームが必要です。つまり、管理の対象であるかどうかを問わず、エンドポイントおよびリモートワーカーからネットワークおよびアプリケーションへのアクセス試行を一元的に可視化できる、よりシンプルかつ強固で、費用対効果に優れたセキュリティプラットフォームです。シスコは、このプラットフォームを広範なセキュリティポートフォリオにすでに実装しています。目指したのは、互いに分断された一連のソリューションから、全面的に統合された環境へとお客様のインフラストラクチャを変革することです。

 

Cisco SecureX と Duo を活かしたアプリケーションアクセス保護

Cisco SecureXpopup_icon は、従業員、ワークロード、職場環境全体のアクセス制御を結合することで、それぞれの制御を担うチーム間の壁を撤廃します。結果として、包括的なゼロトラストのアプローチを誰もが活用できるようになります。Duo は、ユーザとデバイスの信頼を確立するうえで必要なコンテキスト情報を提供するもので、このプラットフォームに不可欠の要素です。展開しやすさと直感的に使えるユーザエクスペリエンスpopup_icon に主眼を置いているため、IT チームとエンドユーザの生産性を損なうことがありません。

  1. ユーザの信頼の確立:多要素認証(MFA)によって本人を確認することは、今日の世界で基本的なセキュリティ対策と捉えられています。Duo は、単なる MFA の範疇を越えて関連コンテキストを収集します。ユーザの役割や特権、アクセス元の位置情報、アクセスの時刻、使用されているネットワークなど、アクセスリクエストに関する情報を確認したうえで判定が下されます。
  2. デバイスの信頼の確立:エンドポイントは、大多数の組織にとって厄介な攻撃ベクトルです。リモートワーカーとデバイスの数は、指数関数的に急増しています。この状況に追随するには、環境を一元的に捉えることが重要です。組織がリモートワークの拡大を進めている中、VPN を要求元とする 1 日あたりの認証回数は 157% 増となっています。Duo は、企業アプリケーションにアクセスするエンドポイントのインベントリを作成し、企業によるデバイスの信頼の確立popup_icon を支援します。管理者は、管理ステータス、バージョンの古い OS やブラウザ、ディスク暗号化、パスワードや生体認証情報など、このインベントリからデバイスの詳細情報を取得できます。モバイルデバイスの場合は、さらにジェイルブレイクとルート化のステータスが確認されます。デスクトップとノートパソコンの場合は、ホストファイアウォールとエンドポイントエージェント(Cisco AMP for Endpoints popup_icon など)のステータスが確認されます。

ユーザとデバイスに関するこのコンテキスト情報は、Duo のポリシーエンジンで処理されます。したがって、きめ細かな適応型のアクセス制御を管理者が一元的に設定できます。つまり、最終的な目標が達成されるのです。信頼されているユーザおよび条件に合致するエンドポイントのみが、重要なアプリケーションにアクセスできます。

 

Cisco SecureX のメリット

1.サインオン:Cisco SecureX は、あらゆる場所およびデバイスから管理者がアクセスできるクラウドネイティブのプラットフォームです。Cisco SecureX へのサインオンを Duo の使いやすい MFA によってセキュリティで保護して、卓抜したログインエクスペリエンスを実現すると同時に、確認済みのユーザのみが Cisco SecureX およびセキュリティ インフラストラクチャに即時アクセスできるようにしています。これは、Duo のライセンスを必要としない組み込みの機能です。

Cisco SecureX サインオン

Cisco SecureX サインオン

2.可視性の統合:Cisco SecureX のダッシュボードには、SecOps、ITOps、NetOps の担当チームが組織のセキュリティ対策全般を理解するうえで有用な ROI メトリックおよび運用指標が表示されます。ダッシュボードは、ウィジェットでアプリごとにカスタマイズできます。

Cisco SecureX のダッシュボード

Cisco SecureX のダッシュボード

Cisco SecureX は Duo の組み込み機能です。上のダッシュボードウィジェットの例では、以下の情報が提供されています。

  1. MFA に登録されていないユーザの数
  2. 古いオペレーティングシステム(OS)を実行しているデバイスの数
  3. アクセスに関するセキュリティイベントの件数

3.ワークフローの自動化:さらに、Cisco SecureX は重要なセキュリティワークフローを自動化することでチームの時間を解放します。自社のチームが一般的なチームと同様の状況にある場合、ワークフローを完了するには、複雑に入り組んだ手動のプロセスに従うことになります。結果として、脅威の存在時間と人為的ミスのリスクが増大し、ダウンタイムの発生につながりかねません。統合された製品ポートフォリオ間で共有されるコンテキストに基づいて、ユーザの本人や操作を自動的に検証するワークフローを SecOps、ITOps、NetOps の担当チームが構築できるとしたらどうでしょうか。

ここで、1 つの例を考えてみましょう。一般的な NetOps 担当チームと同様に、膨大な数のリモートワーカーをサポートしなければならない状況にあり、専任の人員で VPN セッションのデバイス負荷をモニタリングしているとします。負荷が 70% を超えた場合は、追加のヘッドエンドを手作業で展開することになります。Cisco SecureX を使用した場合、プレイブックに沿って VPN セッションのデバイス負荷を定期的に収集します。負荷が 70% 以上になると、担当チームのWebex Teamsのルームにメッセージが送信されます。また、Duo の認証が管理者に自動送信されて、追加的な仮想ヘッドエンドの自動展開が承認されます。チームで省力化と管理の強化を両立し、既存のリソースに関する対処のスピードも引き上げることができるのです。

また、Splunk をはじめとするサードパーティ SIEM との統合を通じて、盗まれたパスワードの使用、異常または疑いが生じているログインアクティビティ、条件に合致しないデバイスからのアクセスといったセキュリティイベントについて、プレイブックを作成できます。

Cisco SecureX のご利用登録

シスコの製品では、既存のセキュリティ資産を最大限に活用し、自動化されたワークフローおよびすぐに利用可能なプレイブックで IT チームの能力を強化できます。Cisco SecureX は本年 6 月にリリースの予定です。いち早くご利用いただくには、今すぐご登録ください。

 

コメントを書く