リモートワークの普及で社外からのインターネットアクセスが増え、従来の境界型セキュリティでは守りきれなくなっています。そんな中、注目を集めているのがCisco Umbrellaです。DNSの仕組みを活用して、場所を問わず全てのデバイスを保護できる画期的なクラウドセキュリティサービスなんです。
この記事では、Cisco Umbrellaのサービス概要から技術的な仕組み、導入メリットまで、IT担当者やシステム管理者の方に向けて詳しく解説していきます。
Cisco Umbrellaとは
Cisco Umbrellaは、シスコシステムズが提供するクラウド型のセキュアインターネットゲートウェイ(SIG: Secure Internet Gateway)です。
DNSの名前解決を利用してインターネット上の脅威を最前線で防御する、新しいタイプのセキュリティサービスなんですね。
基本的な特徴
Cisco Umbrellaの最大の特徴は、接続の最初の段階であるDNSレイヤーで脅威をブロックすることです。
従来のファイアウォールやUTM(統合脅威管理)が境界で防御するのに対し、Umbrellaはインターネットとの接続そのものを制御します。
ユーザーがWebサイトにアクセスする前、DNSで名前解決を行う段階で危険なサイトへのアクセスを遮断するため、マルウェアやフィッシングサイトに到達する前に保護できるんです。
VPNや場所を問わない保護
クラウドサービスとして提供されるため、本社、拠点、外出先など場所を問わず、VPNの有無にかかわらず全てのユーザーとデバイスを同じセキュリティポリシーで保護できます。
リモートワークが当たり前になった現在、この特徴は非常に重要です。
社外からアクセスする際も、VPNに接続する必要なく自動的に保護されるため、ユーザーの利便性を損なうことがありません。
OpenDNSからCisco Umbrellaへの歴史
Cisco Umbrellaの歴史を理解するには、OpenDNSの成り立ちを知る必要があります。
OpenDNSの創業と成長
OpenDNSは2006年7月にコンピュータサイエンティストのDavid Ulevitchによって創業されました。
当初は一般消費者向けに、より速く安全なDNS解決サービスを提供することからスタートしたんです。
2009年には企業向けサービスを開始し、セキュリティ機能を強化していきます。
Umbrellaサービスの誕生
2012年11月、OpenDNSは企業向けセキュリティ製品としてUmbrellaをリリースしました。
モバイルデバイスの普及で社外で働く従業員が増える中、ネットワーク境界を越えて保護できるソリューションが求められていたんですね。
Umbrellaは、WindowsやMacのノートパソコン、iPhoneやiPadといったモバイルデバイスに対して、企業ネットワーク外でも同じセキュリティポリシーを適用できる画期的なサービスとなりました。
2013年2月にはSecurity Graph(脅威インテリジェンスエンジン)を導入し、マルウェアやボットネット、フィッシングドメインのブラックリストを自動更新する仕組みを構築します。
同年11月にはInvestigate機能を追加し、セキュリティチームが攻撃の意図を判断したり、インシデント対応の優先順位付けを行えるようになりました。
2014年1月にはIntelligent Proxy(セレクティブプロキシ)機能を実装し、疑わしいと判断されたドメインのみをプロキシ経由で詳細に検査できるようになります。
Ciscoによる買収とリブランド
2015年6月30日、CiscoはOpenDNS買収の意向を発表しました。
同年8月27日に買収が完了し、取引額は6億3,500万ドル(約635億円)の全額現金に加え、OpenDNS従業員向けの株式報酬とリテンションインセンティブでした。
OpenDNSの創業者兼CEOのDavid Ulevitchは、Ciscoのバイスプレジデントに就任し、Cisco Security Business Groupに参加します。
2016年、CiscoはOpenDNSの企業向けセキュリティサービスをCisco Umbrellaとしてリブランドしました。
一方、家庭向けサービスは引き続きOpenDNSブランドで提供されています。
Cisco Umbrellaの主な機能
Cisco Umbrellaは、DNSセキュリティを基盤として複数のセキュリティ機能を統合したサービスです。
DNSレイヤーセキュリティ
全てのインターネット接続はDNSから始まります。
Umbrellaは、ユーザーがアクセスしようとするドメインをDNSレイヤーで確認し、危険と判断されるアクセスをブロックします。
マルウェア配布サイト、フィッシングサイト、C&C(Command and Control)サーバーへのアクセスを事前に遮断できるんです。
HTTPSなどの暗号化された通信も含め、全てのポートとプロトコルの通信が保護対象になります。
Webフィルタリング
60種類以上の組み込みコンテンツカテゴリーを使用して、アクセス可能なWebサイトを制御できます。
企業の利用規定に基づき、業務に不適切なサイトへのアクセスを制限することが可能です。
カスタムホワイトリストやブラックリストも作成でき、組織のニーズに合わせた柔軟な運用ができますね。
セキュアWebゲートウェイ(SWG)
プロキシ機能により、HTTPSトラフィックの復号化と検査を行います。
ファイルのダウンロード時には、Umbrella AntivirusとCisco AMP(Advanced Malware Protection)の2つのエンジンでマルウェアをスキャンします。
ファイルタイプによるダウンロード制御も可能で、拡張子ベースで実行ファイルやアーカイブファイルのダウンロードを制限できるんです。
クラウド提供型ファイアウォール(CDFW)
レイヤー7でのアプリケーション制御とIPS(侵入防止システム)機能を提供します。
アウトバウンド通信の保護を強化し、Webやクラウドアプリのトラフィックをインラインで検査できます。
ただし、CDFWを使用するにはIPsec対応デバイスとのトンネル設定が必要になります。
CASB(Cloud Access Security Broker)
クラウドアプリケーションの使用状況を可視化し、リスクレベルを分析します。
高リスクと分類されたアプリケーションをブロックしたり、アプリケーション個別に制御を適用できるんです。
例えば、クラウドストレージへのファイルアップロードのみをブロックしたり、SNSへの投稿を制限するといった細かい制御が可能です。
現在Umbrellaはインライン/プロキシ型のCASBを提供していますが、将来的にAPI型CASB機能の実装も予定されています。
DLP(Data Loss Prevention)
機密データの検出と保護機能を提供します。
Webやクラウドアプリのトラフィックをインラインで検査し、重要な情報の流出を防ぎます。
サンドボックス分析
Cisco Threat Gridと統合し、疑わしいファイルを必要に応じてサンドボックス環境で詳細分析できます。
未知のマルウェアや標的型攻撃に対する防御力を高められるんですね。
技術的な仕組み
Cisco Umbrellaがどのように脅威から保護するのか、技術的な仕組みを見ていきましょう。
グローバルネットワークインフラ
Umbrellaは世界中に展開された25以上のデータセンターで構成されるグローバルネットワークを持っています。
1日あたり6,200億件以上のDNSリクエストを処理し、全世界のDNSアクティビティを詳細に可視化しているんです。
サービス開始以来100%の連続稼働時間を維持しており、高い信頼性を誇ります。
Cisco Talos脅威インテリジェンス
UmbrellaにはCiscoの脅威インテリジェンス組織「Cisco Talos」の知見が組み込まれています。
Talosは400人以上の専任リサーチャーを擁し、1日あたり150万個のマルウェアサンプルを収集・分析し、200億件の脅威情報を解析しています。
この最新の脅威情報がUmbrellaにリアルタイムで反映されるため、新しい脅威に対しても数時間以内に対応できるんですね。
DNSによる名前解決と脅威判定
ユーザーがWebサイトにアクセスしようとすると、まずDNSリクエストがUmbrellaに送信されます。
Umbrellaはリクエストパターンを分析し、アクセス先ドメインが悪意あるものかどうかを判定するんです。
安全と判断されたドメインには、実際のIPアドレスを返答します。
危険と判断されたドメインには、Umbrellaのブロックページを表示するIPアドレスを返答し、アクセスを遮断します。
グレーゾーン(疑わしいが確定できない)と判断されたドメインには、セレクティブプロキシのIPアドレスを返答し、詳細な検査を行います。
セレクティブプロキシの効率性
全てのトラフィックをプロキシ経由にすると、パフォーマンスに影響が出てしまいます。
そこでUmbrellaは、明らかに安全なドメインやブロック対象のドメインはDNSレイヤーで処理し、グレーなドメインのみをプロキシ経由で詳細検査する効率的な仕組みを採用しているんです。
これにより、高いセキュリティを維持しながら、通信速度やパフォーマンスへの影響を最小限に抑えられます。
感染端末の検出
既にマルウェアに感染している端末も、Umbrellaで検出できます。
マルウェアはC&Cサーバーと通信する際にDNSで名前解決を行うため、その段階でUmbrellaが異常なリクエストパターンを検知し、通信をブロックするんです。
複数の既知の悪意あるドメインへのリクエストを送信している端末は、感染している可能性が高いと判断できますね。
導入のメリット
Cisco Umbrellaを導入することで、組織は多くのメリットを得られます。
簡単かつ迅速な導入
ハードウェアの追加やソフトウェアのインストールが基本的に不要です。
既存のルーターやファイアウォールのDNS設定をUmbrellaに向けるだけで、わずか数分で導入できます。
iOSデバイスの場合は、Apple社との連携により個別設定すら不要になっているんです。
ローミングユーザー(社外からアクセスするユーザー)を保護する場合は、UmbrellaローミングクライアントまたはCisco AnyConnectのUmbrellaモジュールをインストールします。
それでも軽量なクライアントソフトで、ユーザーの操作は不要です。
包括的な保護
HTTPやHTTPSだけでなく、全てのポートとプロトコルの通信を保護できます。
暗号化された通信であっても、DNSレイヤーでアクセス先を確認するため、脅威を検出できるんですね。
マルウェア、ランサムウェア、フィッシング、ボットネット、C&C通信など、多様な脅威から組織を守ります。
パフォーマンスへの影響が少ない
世界中に分散配置されたデータセンターと、高速なDNS解決により、セキュリティ機能による遅延がほとんど感じられません。
セレクティブプロキシの仕組みにより、必要な通信のみを詳細検査するため、全体的なパフォーマンスを維持できます。
UTMなどのアプライアンス型ソリューションで発生しがちな通信速度の低下も起こらないんです。
場所を問わない一貫したセキュリティ
本社、支店、自宅、カフェなど、どこからアクセスしても同じセキュリティポリシーが適用されます。
VPNに接続していない状態でも保護されるため、リモートワーク時代に最適なソリューションですね。
BYOD(Bring Your Own Device)端末やIoT機器も含め、多様なデバイスを保護できます。
可視性の向上
全てのインターネットアクセスがログとして記録され、日本語ダッシュボードで直感的に確認できます。
どの端末がどのサイトにアクセスしたか、どんな脅威がブロックされたかを可視化でき、セキュリティ状況を把握しやすくなります。
時間帯別のアクセス傾向やカテゴリー別の統計も一目で確認でき、データに基づいた適切な対策を検討できるんです。
スケーラビリティと運用の容易さ
クラウドサービスのため、サーバーやアプライアンスの追加購入なしに段階的に機能をアップグレードできます。
組織の成長や拠点の増加に合わせて、柔軟にライセンスを追加できるんですね。
保守作業も不要で、セキュリティ管理者はインターネットに接続できるPCやスマートデバイスがあれば、場所を選ばず管理できます。
コスト削減
複数のセキュリティソリューションを統合することで、管理コストを削減できます。
ハードウェアの購入や保守が不要なため、初期投資も運用コストも抑えられます。
ローカルブレイクアウト(各拠点から直接インターネットにアクセスする構成)を採用する場合でも、各拠点にセキュリティアプライアンスを配置する必要がなく、低コストでセキュリティを強化できるんです。
まとめ
Cisco Umbrellaは、DNSレイヤーでの脅威防御という新しいアプローチで、場所やデバイスを問わず組織全体を保護できるクラウドセキュリティサービスです。
OpenDNSの技術を基盤とし、Ciscoの買収後にさらに機能を拡張してきました。
簡単に導入でき、パフォーマンスへの影響も少なく、包括的な保護を提供できる点が大きな魅力ですね。
リモートワークやクラウドサービスの利用が拡大する現在、従来の境界型セキュリティだけでは不十分です。
Cisco Umbrellaのような、どこからでも同じセキュリティポリシーを適用できるソリューションの重要性は、今後ますます高まっていくでしょう。
コメント