Duo Device Health App が Linux にも対応 – 組織の脆弱性対応を加速 –
組織における OS の選定とそのセキュリティ上のメリット
組織の IT 環境において、利用できる OS を Windows や MacOS に限定するアプローチは、一見制約が強く感じられるかもしれません。しかし、このようなアプローチはセキュリティ上のメリットがあります。
統一された環境:
Windows や MacOS は多くの組織で利用されている主流の OS です。エンドユーザが利用する OS をこれらに統一することで、セキュリティ対策やパッチの適用、トラブルシューティングが効率的に行えます。
セキュリティアップデートの迅速な適用:
組織内で OS を限定することで、発見された脆弱性に対してパッチを適用する作業量を抑えることができます。これによってセキュリティ対応の迅速性が増します。
互換性の確保の問題:
限定された OS に特化することで、アプリケーションやツールの互換性問題を大幅に減少することができます。IT 部門の業務不可が軽減されます。
Cisco Duo は組織のユーザが SaaS アプリケーションなどを利用する際の認証の要素として、OS も確認することができます。スマホ等の専用アプリケーションへのプッシュ通知による多要素認証に加え、更なるセキュリティを提供します。
例えば右の画面では、アプリケーション利用のポリシーで Linux を禁止しています。ここで Ubuntu の端末で組織の Dropbox を使おうとログインするとブロックされることがわかります。
ブロックすると同時にユーザに必要な案内をする一方、Windows 端末からのアクセスに対しては多要素認証を継続するといった運用が可能です。
OS を限定することで直面する課題
Duo で適切に OS を限定する方法を一つ紹介いたしました。一方で、OS を限定する手法によって IT 管理者が直面するであろう課題も存在します。
多様なニーズへの対応:
組織内のユーザから特定のタスクや業務に最適な別の OS の要望が出ることがあります。これに柔軟に対応することが難しくなります。
過度な制約:
厳格な OS の制限は、組織のイノベーションや柔軟性を損なう可能性があります。
可視性、制御の方法:
組織で決められたデバイスのポリシーは、どのようにして組織のユーザに守らせるか。その制御やモニタリングの方法を持つべきです。
エンジニア職には macOS や Linux に人気があります。こうした従業員に働きやすい環境を提供するためにこれらの使用を許したい企業や、あるいはコストカットのために私物端末の持ち込み利用を認めたいという組織も今は多くなってきています。希望するユーザに Linux を認めたいが、他の OS と統一されたセキュリティポリシーで管理したいとうニーズがここにあると考えています。
特定の OS を禁止するかしないかといったセキュリティ戦略は様々あります。どちらにするにしてもその組織の管理者の制御下で、条件付きで展開も限定もできることが望ましいでしょう。
Linux にも適用したい“デバイスの健康状態”の監視
しかし許可する OS の種類を広げていくことに不安を感じる管理者の方は多いのではないでしょうか。新しい OS をどのように管理していくと良いでしょうか。
デバイスの“健康状態”を意識したことはあるでしょうか?組織のネットワークセキュリティにおいては、人間同様、これが重要な観点だと考えています。デバイスの“健康状態”の要素としてまずは OS やブラウザ、ソフトウェアのバージョンというものを考えてみましょう。組織でこれらを常に把握し必要な対応を講じていくべき理由を以下に簡単に挙げてみます。
- 脆弱性の存在: 古い OS やブラウザは、新たに発見されたセキュリティの脆弱性を持っている可能性があります。攻撃者は、古いバージョンのソフトウェアを標的とすることが一般的です。
- パッチの不足: OS やソフトウェアが古くサポートが終了している場合、新しいセキュリティパッチが提供されません。既知の脆弱性が修正されずに残り攻撃対象となり得ます。
- コンプライアンスの問題: 一部の規制や業界標準は、特定のセキュリティ要件を満たすことを求めています。古いソフトウェアを使用していると、これらの要件を満たすことができない場合があります。セキュリティインシデントが発生した場合、組織の評判や信頼性に悪影響を及ぼす可能性があります。
これらのことを考えると、組織の従業員/契約者/パートナーが使う端末の健康状態が望ましくないままに放置することはリスクの高い状態だとわかります。
同様に、デバイスの健康状態として以下のような項目を確認できるとよいでしょう。
- デバイスは最新の OS バージョン(パッチを含む)か
- ブラウザは最新であるか
- プラグインがある場合、それらは最新であるか
- システムパスワードは設定されているか
- デバイスのディスクは暗号化されているか
- ホストファイアウォールは有効か
- デバイスはエンドポイントセキュリティエージェントを実行しているか
- そのデバイスは組織が支給した管理デバイスか、それとも管理されていない BYOD か
健康チェックでデバイスの信頼を確立する
ネットワークアプリケーションへのアクセスを許可する前にユーザーを確認することはセキュリティ対策の第一歩です(多要素認証を使うとさらに良いでしょう)。さらにそのユーザが使うデバイスが健康である(セキュリティ基準を満たしている)ことも確認すると、データ侵害やマルウェア、またそれらによって引き起こされる経済的損失のリスクを低減できます。そのような仕組みがあれば、特定の OS の利用を禁止するのではなく、管理された中でリスクを低減しながら使用を認めていく運用方法も可能になるのではないでしょうか。
こうしたニーズには Duo Device Health Application(DHA) はぴったりのツールです。(今後 Duo Desktop という名前にリブランド予定)
デバイスが組織が支給したものであるか、個人の持ち込みのものであるか、OS が何であるかに関係なく、ネットワークアプリケーション認証時にリアルタイムチェックを実行してその健康状態を確認できます。そして現在、Linux OS の特定のバージョンにサポートを拡張しました。これによって共通のセキュリティポリシーを適用できる範囲をさらに広げることができます。
Duo Device Health Application(DHA)とは
DHA は macOS、Windows、そして Linux 用の軽量なアプリケーションです。デバイスの状態に基づいてアプリケーションへの接続を許可またはブロックするカスタムアクセスポリシーを作成し、制御する機能を提供します。デバイスの状態を評価する際、DHA は認証時に各エンドポイントから情報を収集し、それをアクセスポリシーと照合します。すべてがセキュリティポリシーと一致している場合、アプリケーションへのアクセスが許可されます。ただし、1 つでもコンプライアンスチェックに失敗した場合(設定したポリシーを満たさない場合)、アクセスはブロックされます。
こちらは DHA をインストールした Ubuntu が、ホストファイアウォールを無効にした状態で Dropbox にアクセスしようとして拒否された場面をキャプチャしたものです。
ユーザにはブロックされた理由も合わせて提示されるので、ユーザはブロックを自己解決することができ、IT 担当者の手を煩わせません。
同じデバイスをファイアウォールを有効にした場合は以下のようになります。
DHA がファイアウォールの有効を確認できたので、追加の MFA に進むことができます。
スマートフォンの Duo Mobile にプッシュ通知が来るので、これを承諾します。
DHA で取得したデバイスの情報は管理ダッシュボードでこのように詳細に確認することができます。
組織にどのような状態のデバイスがどのぐらいあるか、一目瞭然となります。
Duo Device HealthのLinux でのサポート詳細
以下が最近のリリースでサポートを開始している Linux ディストリビューションです。( 2023 年 10 月時点 )
- Debian: 11, 12
- Ubuntu: 23.04, 22.04 LTS, 20.04 LTS
- CentOS Stream: 8, 9
- Red Hat Enterprise Linux: 8, 9
まとめ
組織のセキュリティを確保するためのアプローチは、日々の IT 環境の変化に適応していく必要があります。Duo Device Health Application(DHA)は、その中でもデバイスの健康状態を中心にした新しいアプローチを提供しており、組織のセキュリティを一層強化することが期待できます。
では改めて DHA のメリットをまとめてみたいと思います。
DHA のメリット
- リアルタイムのデバイス健康チェック:DHA は、ネットワークアプリケーションへのアクセスを許可する前に、エンドポイントの健康状態をリアルタイムでチェックします。これにより、セキュリティリスクを持つ可能性のあるデバイスからのアクセスを事前にブロックすることができます。
- 柔軟なアクセスポリシーの設定:DHA を使用することで、組織のセキュリティポリシーに基づいて、デバイスの健康状態を評価し、アクセスを許可またはブロックするカスタムアクセスポリシーを簡単に作成することができます。
- OS を問わない対応:DHA は、macOS、Windows、そして Linux にも対応しています。これにより、組織内のさまざまなデバイスに対して一貫したセキュリティポリシーを適用することができます。
また別の機会に DHA を利用した別のユースケースを詳しく紹介したいと思います。
Tags:
