「あらゆる場所にセキュリティを」AMPやISE、OpenDNSなどを強化
“Security Everywhere”戦略推進に向けシスコが製品強化
2015年11月11日 06時00分更新
シスコシステムズは11月10日、複数の新たなセキュリティソリューション/サービスを国内発表した。モバイル/IoTデバイスからネットワーク、データセンター、クラウドまで、エンドトゥエンドの包括的なセキュリティを提供する「Security Everywhere」戦略をさらに強化する。
シスコシステムズ セキュリティ事業 部長の桜田仁隆氏
同社 セキュリティ事業 セキュリティ エバンジェリストの西原敏夫氏
多数のセキュリティが連携動作する「自律」がキーワード
シスコでは、システム/ネットワーク上のあらゆるポイント(場所)にセキュリティ機能を埋め込み、脅威の全体像を可視化してコントロール可能にするというSecurity Everywhere戦略を提唱している(関連記事)。
Security Everywhere戦略とは、エンドトゥエンドで、あらゆる場所にセキュリティ機能を埋め込み、脅威の全体像を可視化するとともにコントロール可能にするというもの
桜田氏は、これから企業ビジネスの“デジタル化(Digitalization)”が進む中で、これまで未接続だったデバイスもネットワークに接続されるようになり、新たなハッキングの脅威も生まれると説明。よりいっそう、Security Everywhereというコンセプトが重要になると語る。
ただし、Security Everywhereの実現においては「『自律』がキーワード」だと、桜田氏は指摘する。サイバー攻撃の被害を最小限に抑えこむためには、複数セキュリティの協調動作を実現する自動化が必要だ。
「たとえば、あるエンドポイント端末でマルウェアを検知した場合を考えてみる。単にその端末上でマルウェアを駆除するだけではなく、その情報が自動的にシステム全体に共有(通知)されて、ゲートウェイがその端末からの通信を遮断したり、ほかの端末がマルウェア検査を自動実行したりする。このように、エンドトゥエンドで、すべてがお互いに連携して動くのが自律的セキュリティだ」
「単一製品の寄せ集めではない、自律型セキュリティシステムの構築」がキーワードだと桜田氏
従来の人手による対応では、被害の拡大スピードに追いつかない。また、サーバー/ネットワーク/エンドポイント/セキュリティの担当者が異なれば、協調的な対応も難しくなる。セキュリティを全社での取り組みとするためにも、こうした統合的なプラットフォームが必要だと桜田氏は説明する。
“Security Everywhere”中核の2製品、AMPとISEを強化
Security Everywhereを実現する中核製品/技術は2つある。1つはマルウェア防御技術の「Cisco Advanced Malware Protection(AMP)」、もう1つはID管理/セキュリティポリシー管理プラットフォームの「Cisco Identity Services Engine(ISE)」だ。今回の発表では、いずれも新たな機能が追加されている。
ユーザーのコンテキストに応じてアクセス権限を付与できるISEの最新版(V2.0)では、新たに「Cisco Mobility Services Engine」が統合され、より詳細なロケーションポリシーが適用できるようになった。セキュリティ エバンジェリストの西原敏夫氏は、次のような例を挙げる。
「たとえばわたしが、自分のオフィスがある25階でWi-Fiに接続すると、社員エンジニアとしてのアクセス権限が与えられ、社内リソースにアクセスできる。一方、社外の方との打ち合わせスペースのある21階でWi-Fi接続すると、リスク低減のために社内リソースにはアクセスできない。こうしたコントロールが、ポリシーベースで実行できるようになった」(西原氏)
ISE新版では、同じユーザー/デバイスでも“アクセス場所”によってより細かなコントロールが可能になっている
また、ポリシーコントローラーのISEを中核として、検出した脅威情報をセキュリティ製品間で共有するための「pxGrid」機能のエコパートナーが新たに9社追加され、合計で30社となった。新たなパートナーにはチェック・ポイント、インフォブロックスなどが含まれる。
西原氏は、たとえばエンドポイントのマルウェア感染の情報をpxGridでISEに通知し、感染端末の通信を上位のスイッチやファイアウォールなどでブロックするという、自律的なセキュリティ環境の実現を可能にすると説明した。
エコパートナーを拡大したpxGrid。脅威情報を他のセキュリティ製品に通知するための“共通言語”を提供する
AMPではまず、新たにLinux(Red Hat Enterprise Linux、CentOS)対応エージェントがリリースされた。また、AMP製品に対して脅威解析情報を提供する「AMP Threat Grid」が、より幅広いコンテキスト情報を提供するようになっている。
DNSベースで危険なアクセスをブロックする「OpenDNS」
発表会では、7月に買収を発表した「OpenDNS」についても紹介された。OpenDNSは、ドメイン/IPアドレスの脅威インテリジェンスやレピュテーション情報を保持しており、不審/危険なサイトへのアクセスをDNS問い合わせ段階でブロックできるDNSサービス。米国ではすでにシスコからサービス提供を開始している。
最新アップデートでは、IPアドレスがハードコーディングされているマルウェアなど、通常はDNSクエリの発生しないトラフィックについても、VPNで強制的にOpenDNSを経由させる機能が追加された。
OpenDNSのダッシュボード。たとえば「IPアドレスが頻繁に変更されているドメイン」など、不審なDNS情報などを脅威インテリジェンスとして保持している。また「誰が」「どのデバイスで」危険なサイトにアクセスしたかの履歴も
シスコでは、すでにWebフィルタリングのWSA/CWS、メールフィルタリングのESA/CESをラインアップしているが、OpenDNSはWeb/メール以外のトラフィックにも適用できる点がポイント
さらに西原氏は、来年1月から中小企業向けの脅威インテリジェンス提供サービス「Thereat Awareness Portal」を提供すると語った。このサービスは、顧客企業の送受信トラフィックを監視し、シスコの持つ脅威インテリジェンスと照合して潜在的な脅威を明らかにするものと説明されている。中小企業向けの「Cisco Smart Net Total Care Service」契約により利用できる。
