詳細
フィックスポイント社の Kompira Sonar、Juniper社のNFX、BlueCatのDNS Edge & Integrity、この3社の技術を組み合わせたソリューションですが、どういった課題に対応できるのか、どういった製品なのかについて、短い時間ではございますが、ご紹介させていただきたいと思います。
まずは簡単に会社紹介させていただきます。
BlueCatですが、カナダのトロントに本社がある DDI の専業ベンダーでございます。
DDIとは、DNS、DHCP、IPアドレス管理などの DDI ソリューションベンダーでございまして、IT資産などの運用で、グローバルのマーケットで第2位のマーケットシェアを持っているベンダーでございます。
私どもは、大手のお客様のご活用、インフラでのご活用を多く頂いておりますが、DDIの専業ベンダーであるBlueCatが3社の中に組み合わされまして、ソリューションを提供させて頂いております。
3社連携ソリューションとは?
どういったソリューションなのか、まず簡単にご理解いただいた後に、どういった製品が組み合わされているのかをご紹介させて頂きます。
よくあるIT部門のシャドウITへのお悩み
まず、シャドウIT対策についてご説明させていただきます。
IT部門のシャドウITでのお悩みというのは、こういう点があるかと思います。
IT部門の方々がこれまで管理してこなかった端末に関して、セキュリティインシデントが世のなかに出てきたりして、端末はきちんと管理して行かなければいけないとか、今まで管理外にあったものを管理しなさいという要望が経営層から来ていると。
その中で、BYODやセキュリティカメラ、保守端末等のIoT端末の増加により、それも管理しなさいと言われる。そういうものを管理しなければいけないにも関わらず、シャドウIT対策の仕組みそのものがない。
ビジネス部門が色々なクラウドサービスとか、SaaSのサービスを契約して、色々な通信が行われているが、それを把握する術もなかなか無いと。
そういった中で、シャドウIT対策の一つの方法として、よくあるエージェント、CASBとかEDRを端末に入れてしっかり管理していきたいということを検討した場合、課題として見えてくるという事をお聞きします。
一つ目はエージェントを管理して行かなければいけないと。IT部門の運用負荷がどうしても上がってしまいます。
二つ目はエージェント未対応の端末、セキュリティカメラなどはどうして行くのだということです。
それからユーザーの方々のパフォーマンスの問題ですとか、全部見えないことを怖がられて、導入に前向きになってくれない、反発が強いというところが課題として挙げられるかなと思います。そこでこの3社のソリューションをご紹介させていただきたいと思います。
見える化+端末制御をソリューションで提供
我々がご提供させて頂きますのは、エージェントレスでデータセンターや拠点から、社内 IT 資産の見える化をまず実施し、その制御を提供することによってシャドウIT対策を可能にするというものになります。
Kompira Sonarのことはご理解されてると思いますが、この製品を使っていただくと、社内IT資産が見える化されます。
Kompira Sonarが社内のネットワークの中に存在して、これが社内のIT資産を色々な所で発見してくるわけです。
それがKompira Sonarの中にデータベースとして溜められていくわけですが、このデータをどのように社内に保管しておこう、それをいかに制御に結びつけようという時に、我々のIPアドレス管理台帳、IPAMと呼ばれる元帳のデータベースがありますので、この中にKompiraからデータを取ってきて、比較することによって、新しい資産が増えているかとか、誰かが新しいものを持ってきていないかとか、そういうことを発見しようというのが一つ目のフェーズになっています。
これはKompiraも、弊社のソリューションもAPIで連携する事ができます。サンプル画面をお見せしますと、こちらがゲートウェイになります。
このゲートウェイからデータを引っ張ってきて、元々の台帳と突き合わせることによって、新しいものがあるのかどうか、常に整合性が取れているのかどうかということを確認することが可能になります。
定期的にKompira側でスキャンを行うことによって、常にIT資産の見える化、それが正しい状態にあるかということを確認することが可能になります。
DNSによるポリシー適用と可視化(第2フェーズ)
見える化の次には、悪い端末があれば制御をかけたいという要望がございます。
その時に DDI を活用、いわゆる DNS と DHCPを活用した端末の制御を行っていきましょうというのが第2フェーズです。
Kompiraから情報を吸い上げて見える化することによって、その端末がどういった端末なのかということが分かってきます。
例えばこの例ではセキュリティカメラというものがあります。セキュリティカメラももちろんDHCPで動いておりますので、ちゃんとDHCPで動いているものに関して、どういうアドレスレンジを渡そうかというところをDHCPで組み上げることができます。
そうすることによって、元帳の中にどういったIPアドレスのレンジを渡せるのかということを、社内IPできっちりと理解することが可能になっています。
そして我々が提供させて頂くDNSによって、この端末がDNSとしてどこかに行きたいよ、というアクセスをしてきた時に、行かせるのか行かせないのか、そもそもブロックするとか、隔離してしまうのか、というところを制御することが可能になります。
もう少し DDI の部分について、フローとしてご説明させていただいたのがこのスライドになっています。
DDIを活用した不正端末のネットワークからの切り離しになります。
Kompiraと連携することによって不正端末が確認できますので、そのソースIPですとか、Macアドレスを可視化することができます。
それを DDI側にポリシー適用することによって、DNSで該当クライアントからのDNSクエリをリダイレクトしてどこにも行かせないですとか、もしくは拒否することができます。
IPtoIPで外に通信する端末がどこにもありませんので、実質この端末はどこにも行けなくなってしまう、社内のアプリケーションサーバでも、DNSで拒否をされて行けなくなってしまうという形になります。
さらに隔離として、次のこの端末が「このIPアドレスをもう1回続けたい」とリクエストしてくると、それを拒否するという設定をすることによって、この端末はIPアドレスさえもらえずに完全に隔離されてしまうという、ということが可能になっています。
連携ソリューション構成商品ご紹介
次に、もう少し製品がどういうものかということをご理解頂きたいと思います
Kompiraミーティングの中でKompira Sonarのご理解は深められてると思いますので、簡単な説明になりますが、エージェントレスで資産の見える化ができる製品です。
そしてこのファイアウォールの中にあると色々なプロトコルを使って更に可視化ができますし、ファイアウォールの外からIPがリーチャブルであれば、それを発見してきてこのデータベースをKompira Sonarで作っていきます。
これをこういった情報を取得できますよ、というところが、もう既にご理解されているところだと思います。これがKompira Sonarの製品でございます。
BlueCat DNS Edgeご紹介
さらにはDNS Tunnelingや、DNSの疑わしい挙動に関しても発見することができる製品です。
この二つの製品を拠点に、仮想マシンをどこかに置いていただいて制御する形になるんですけれども、その仮想マシンをどこに置くのか。全てセンター側に置いてしまってもいいのか、ということについても、課題があると思います。
このプラットフォーム自身をパッケージ化することによって、お客様の監視のやり方とか、設置場所の方法など、そういうところにメリットが生まれるということで、連携させて頂いているのがこのソリューションではJuniper社のNFXルーターです。
よくご存知のJuniperのJunosで動いているルーターになりますけれども、さらにこの中にCPUリソースを持っておりまして、NFV、VNFとして色々なアプリケーションを載せることができるようなルーターになっております。
もちろんこのルーターも、小さいCPU型のルーターも用意されておりますし、センターに置くようなハイパフォーマンスのルーターもご用意されていますが、こういったものをJuniperのプロピジョニングツールを使って拠点にばらまきたい時には、プロビジョニングツールで他拠点を管理するということも可能になっております。
ですので、仮想マシンとして提供するフィックスポイントのKompira SonarとDNS Edge、そしてそれを搭載して監視の仕組みまでを提供するJuniper社のNFX、さらにはこのNFXにはファイアウォールも入っておりますので、どうしてもDNSで漏れてしまうようなIP to IPで勝手に端末がIP アドレス外に出て行ってしまうような通信はブロックしましょうといった、ファイアウォールの機能もこのNFXが提供できるパッケージになっています。
このソリューションによって、シャドウIT対策をしましょうというところですが、DNSを使ってこういうことをするのはどうなんだ、DNSとはよく分からないというお客様もいらっしゃると思います。そこでこのDNSソリューションを少しご紹介させていただければと思います。
BlueCatソリューション アーキテクチャ
このDNS Edgeという製品は、DNSのソリューション、アーキテクチャと書かせて頂いていますけれども、我々が紹介させていただいたIPアドレス管理のアドレスマネージャー、DHPサーバー、企業内の権威サーバ、DNSサーバーも持っておりますが、基本的にこういった、今既存でお客様がお持ちのDNS環境と端末の間に設置いただいて、ここで制御や可視化を行うという製品になっております。
既存のDNS環境を全く変更せずに、端末とDNS環境の間に置いて、このサービスポイントをDNS Edgeの仮想マシンがリゾルバとして動作し、既存のDNS環境の上にフォワードする形で設置いただくDNS製品になっています。
重ねてになりますが、DNS Edgeが提供する利点としては可視化ができること、そしてコントロール制御を行うことができること。さらには DNS を活用したセキュリティの漏洩ですとか、そういうことに対してDNSのふるまいを検知することができるということが、大きく3点のメリットである製品となっております。
全てのデータ、ログをクラウドに上げる事によってデータベース化しますので、どの端末がいつどこにアクセスしようとしたかというのを、エージェントレスで、DNSを活用して見える化ができる。
そして制御をかけることができる製品になっています。
DNS Edge機能:セキュリティスマート分析機能
DNS Tunnelingが明らかに頻繁に行われているとか、そういうことは我々のDNSの知見をベースに発見することができるので、DNS Tunnelingが一般的に行われているという時には、これをベースにこの端末のふるまいがおかしいぞ、ということを発見することが可能です。
DNSの可視化:DNS Edgeの利点とは?
このDNSによる可視化は、通常の製品で行うとなかなか大変です。
DNSサーバーにログストレージ、ログを吐き出す設定を作り、それを全部ためて、更には解析ツールだったり、それをストレージから吐き出して、それを分析するという形になります。
DNSを非常によく理解されてる方がいない限り、オペレーションが複雑になっていきますので、やっていてもインターネットの出口だけログを取っておこうと。そうすると、端末が外に出て行こうとしていたところが見えない。そういった意味ではなかなか端末の情報が一発では見えにくいということがあります。
その課題を解決しようとして作られたのが、このDNS Edgeになっております。
この DNS Edgeは、センサーのサービスポイントが最初の端末のリゾルバになりますが、その時その端末がどこに行こうとしていたか、DNSのクエリをすべてクラウドにあげて、ストレージとして保存して、それを可視化するところをサービスとして提供しているものです。
DNSに非常に詳しい運用担当者が、常にDNSのコマンドを叩きながら操作していく必要がないということになります。
そしてこのDNSのソリューションを使って、先ほどお話ししたようなポリシーを適用することができます。
セキュリティカメラですとかPOS端末など、高度化したCPU的なものが入ってきて、マルウェアが侵入する。それをベースとしてマルウェアに感染して、色々なデータを盗まれることが課題としてあるのではないかと思っています。
ですので、DNSを活用することによって、このPOS端末が行くべきところは商品を管理しているリストのドメインと、クレジット決済するときのドメインのみであると、POS端末から来るDNSクエリを二つの関連のドメインだけに解決すること。
それ以外は解決しないことによって、マルウェアが侵入して社内のアプリケーションサーバーから色々なデータを盗ろうする、外に出そうとするという仕組みを止めることができるのです。
まとめになりますが、我々のソリューションは3社のパッケージとして、まず見える化できるフィックスポイント社のKompira Sonar、制御をかけることができるBlueCatのDNS Edge & Integrity、それをパッケージ化するプラットフォームであり、ファイアウォールであるJuniper社のNFXルーターをパッケージ化、ソリューション化することによって、エージェントレスで簡単にお使い頂きながら、社内資産の見える化と、端末制御を提供します。
それによってシャドウ IT 対策を可能にするというソリューションになっております。
このソリューションですけれども、実はKDDI様で2021年の春からサービス化の検討も行って頂いております。もしそういったサービスが、もちろんソリューションとして実際に使っていただくことも可能ですし、サービスとして、運用も含めて提供してほしいと言う場合には、マネーサービスプロバイダー様のサービス化も検討させて頂いておりますので、ご興味ありましたらお問い合わせを頂ければありがたいです。
駆け足ではございましたけれども、「エージェントレスによるシャドウIT対策」を終了させていただきたいと思います。ご清聴ありがとうございました。
