Cisco ゼロトラストセキュリティ ～Workplace編～

はじめに

Cisco ゼロトラストセキュリティはWorkforce、Workplace、Workloadの３つの領域で成り立ちます。前回のブログではWorkforceの側面からCisco Secure Access by Duo（Duo）によるゼロトラストセキュリティの実現方法について紹介しました。今回はWorkplaceの側面からどのようにセキュリティが実現できるのか紹介します。

• 製品コンポーネント

最初に、Workplaceの保護において必要となる製品コンポーネントを示します。キャンパスネットワークでは多機能なネットワーク認証サーバであるCisco ISE、NTA/NDR（network traffic analysis/ network detection and response )に分類されるCisco Secure Network Analytics（旧Stealthwatch）、Cisco Secure Firewallなどに加えてCatalyst、SD-Accessなどネットワーク機能が対象となります。また、WANとの接続ではCisco SD-WANやUmbrellaなどを中心としたSASEソリューションが対象となります。

セキュアネットワークアクセス

ゼロトラストの視点で最初に必要となるのは信頼できるデバイスのみをネットワークに接続させることです。Cisco ISEはデバイスをネットワークに接続する際の認証サーバですが、プロファイリングと呼ばれる機能を用いることでネットワークに接続したデバイスの種別やOSなど可視化・制御することが可能となります。また、検疫機能を用いることでWindowsパッチの適用状況やマルウェア対策製品のシグネチャアップデート状況、稼働状況などをチェックし、企業のセキュリティポリシーに準拠したデバイスのみをネットワークに参加させることが可能となります。これらの機能によって信頼できるデバイスのみをネットワークに接続させることが可能となります。

マイクロセグメンテーション

セキュアネットワークアクセスによって信頼できるデバイスのみをネットワークに接続させることができました。次に必要なのはネットワークに参加したデバイスに対して必要最小限のアクセス権を与えることです。Cisco ISEは可視化されたデバイス情報、ユーザー情報、アクセス元のネットワークといった様々なコンテキストに応じてアクセス制御を行うことが可能です。さらに、TrustSecと呼ばれるTAGベースでのアクセス制御技術と、それに対応したCatalyst、Cisco Secure Firewallなどの機器を組み合わせることで動的且つきめ細やかなアクセス制御を行うことが可能となります。さらにSD-Accessと組み合わせることでマイクロセグメンテーションを実現します。

ネットワークを用いた脅威検出

高度化するサイバー攻撃や内部犯に対して境界防御だけでは攻撃は防げません。ゼロトラストでは内部ネットワークも含めた幅広い可視性と脅威検出が必要となります。これに対してネットワークを用いた脅威検出が有効です。Cisco Secure Network Analyticsはネットワーク機器をセンサーとしてNetFlowを収集し、機械学習を用いた高度な分析を行うことでトラフィックに潜む脅威を検出できます。Catalystなどのネットワーク機器をセンサーとするため、アクセス層のスイッチ間なども含めた幅広いネットワーク領域をカバーできることが特徴です。さらに、Cisco Cognitive Threat Analytics（CTA）と連携することでTLS通信を復号せずに暗号化されたトラフィックに潜む脅威を検出することも可能となります。

自動化された脅威の封じ込め

脅威を検出した場合は速やかな封じ込めが必要となります。Cisco Secure Network AnalyticsやCisco Secure Firewallで脅威を検出した際に、ISEを通じてCatalystのアクセス制御ポリシーを変更することで自動的に端末を隔離することが可能となります。また、前述した動的且つきめ細やかなアクセス制御を用いることでマルウェア対策サーバやアップデートサーバーなど原因調査や復旧に必要なサーバのみアクセス可能とするような隔離ポリシーを適用できるため、脅威を封じ込めた後の原因調査や復旧が速やかに実施できます。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。