Cisco Adaptive Security Appliance(ASA)ソフトウェア

Cisco ASA と Cloud Web Security:クラス最高水準のネットワーク セキュリティとクラス最高水準の Web セキュリティの結合

ホワイト ペーパー





Cisco ASA と Cloud Web Security:クラス最高水準のネットワーク セキュリティとクラス最高水準の Web セキュリティの結合



はじめに


Web を活用したい組織は、データ、評価、運営に悪影響を及ぼす可能性がある Web ベースの脅威に晒されるリスクに対処する必要があります。ソーシャル ネットワーキングや BYOD(個人所有デバイスの持ち込み)などのトレンドによって、ネットワーク トラフィックの安全性維持がより困難になり、攻撃のチャンスが増加しています。現行の「オールインワン型」アプライアンス ソリューションの多くは、今日の企業が求めている予測可能なパフォーマンスとソリューションの柔軟性を提供することができません。

Cisco Cloud Web Security(旧称 ScanSafe)と統合され、Cisco Security Intelligence Operations(SIO)を採用した Cisco® ASA ソフトウェア リリース 9.0 は、ネットワークの複雑さ、またはビジネスの俊敏性に影響を与えることなく、パフォーマンスと広範なセキュリティの複合的な問題を解決します。Web セキュリティはクラウド内で管理され、ネットワークと緊密に統合されるため、既存のシステムの負荷が増大することはありません。

このホワイト ペーパーでは、シスコがどのようにクラウドの利点を活用して企業を Web ベースの脅威から保護し、企業内からの可視性を維持しながら包括的なポリシーを Web コンテンツおよび Web アプリケーションに適用するかについて説明します。

Web 中心の世界における脅威の管理


マルウェア作成者たちは絶えず能力を高め続けており、検出を回避するスキルも洗練され続けています。それにつれ、組織が Web ベースの脅威から情報と従業員を保護することに対する必要性がこれまでになく高まっています。

また、従業員が場所や使用デバイスに縛られることなく業務を行うため、またビジネスを拡大するためにも Web の存在感は増しています。脅威への対策が不十分であったり、監視や規制の届かないところで Web アクセスが行われたりすることによる悪影響は、企業にとって大打撃になりかねません。

ソーシャル メディアやユーザ作成コンテンツの成長といった Web のトレンドは、これらのリスクを高めています。マルウェア作成者にとって、ソーシャル ネットワークおよびそのユーザは、特にソーシャル エンジニアリングおよびターゲットの信頼を悪用した脅威の発動に多くの機会を提供します。これらの脅威は無防備な Web ユーザのアクションによってトリガーされるため、トラフィックがネットワークに進入するポイントでブロックすることが容易ではありません。

BYOD の革命は組織を脅威から保護するというタスクをより一層複雑にしています。従業員はオフィス内のデスクトップ コンピュータだけでなく、ノート PC を使用して空港からアクセスしたり、自宅や出先でスマートフォンやタブレットを利用して Web にアクセスするため、セキュリティ担当者は自社のネットワーク境界を越えてトラフィックを安全に保つ必要があります。

これらの課題が積み重なり、セキュリティ担当者にはデータセンターにおける多様な圧力の管理が要求されます。ユーザおよびそのデバイスとの間の双方向 Web トラフィックの保護と管理、高レベルのパフォーマンスとデータ アベイラビリティの維持、企業のアプリケーションとオンライン ビジネス アクティビティの Web への移行、そして Web セキュリティを実現するためのコスト効率の高い長期的なソリューションに対する投資を行う必要があります。

図 1 Web ベースの脅威の偏在化

図 1 Web ベースの脅威の偏在化

図 1 Web ベースの脅威の偏在化
※画像をクリックすると、大きな画面で表示されますpopup_icon


「オールインワン型」ソリューションの限界


セキュリティ ベンダーは一般に「オールインワン型」のアプライアンスを提供していますが、これらは機能において限界があり、パフォーマンスの問題を引き起こします。たとえば、オールインワン型のシステムは一般的に、Web トラフィックが増加してスキャン要求が高まるとパフォーマンスが低下します。さらに、Web セキュリティへのオールインワン型アプローチは、たとえば 1 種類のアンチウイルス ソリューションしか利用できないなど、深みの面で限界があります。

ソリューション選択の幅と奥行きにおけるこれらの限界に加え、オールインワン型アプローチを採用している組織は往々にしてスキャン対象とするファイル サイズの最大値を小さくするように助言されます。しかし、残念なことに、設定されたサイズより改ざんされたファイルのほうが大きい場合、オールインワン型アプライアンスのほとんどでそのファイルの通過が許可されてしまうことを意味します。

オールインワン型アプライアンスのもう 1 つの重大な欠点は、組織がアンチウイルスや URL フィルタリングなどの機能を含む多様なサービスを利用可能にすると、アプライアンスの大幅なパフォーマンス低下を招き、定格パフォーマンスの 95 % もの低下を引き起こすことがあります。すべてのセキュリティ機能が一定のコンピューティング リソースを奪い合うためです。これらソリューションのパフォーマンス レベルの不安定さは、組織に問題を引き起こすことがあります。たとえば、この不安定さのために企業はキャパシティ計画の目標を何度も見直す必要に迫られ、セキュリティ製品に対する投資を増加しなければならなくなる場合があります。

このような注意点があるために、企業はセキュリティとパフォーマンスのどちらを取るかという選択を迫られます。中にはパフォーマンスの限界を回避するためにこれらのサービスを無効にしなければならなくなった企業もあります。

また、トラフィック、監視、パフォーマンスのニーズに対応できるアプライアンスを探し求めると同時に、組織はブランチ オフィス、遠隔地、リモート ユーザに対して積極的に Web セキュリティ ポリシーを適用する必要があります。この課題に対応する方法として次のようなものがありますが、いずれも欠点が伴います。

  • ブランチ オフィスから本社への Web トラフィックをバックホールする
  • 各ブランチ オフィスに専用の Web セキュリティ ソリューションを導入する

Web トラフィックを本社にバックホールする方法は、アプリケーションの遅延を引き起こし、帯域幅コストを増大させる可能性がある、効率の悪いプロセスです。各ブランチに Web セキュリティ ソリューションを導入することもできますが、この方法はコストが高くなるだけでなく、その効果は各場所にスキルのあるセキュリティ管理者がいるかどうかに大きく依存します。

これらの欠点を踏まえ、分散化されたネットワークに理想的な Web セキュリティ ソリューションには、次の要件が求められます。

  • 集中管理型の Web セキュリティを維持しながらローカライズしたネットワーク セキュリティを提供する
  • パフォーマンスを損なうことなく、既存のシステムにあまり負荷をかけずに、コンテンツ スキャン機能を含めた Web セキュリティを提供する
  • 集中管理によって詳細なポリシーとフィルタリングを適用する

解決策:Cisco Cloud Web Security と統合された Cisco ASA ソフトウェア リリース 9.0


Cisco ASA ソフトウェア リリース 9.0 は Cisco Cloud Web Security(旧称 ScanSafe)との統合を含み、ローカライズされたネットワーク セキュリティを組み合わせた集中管理型のコンテンツ セキュリティ ソリューションを提供します。コンテンツ スキャンはすべてシスコのクラウドにオフロードされるため、ASA デバイスのパフォーマンスに対する影響は一切ありません。あったとしてもごくわずかです。

管理者は、ネットワーク アドレス、Microsoft Active Directory ユーザまたはグループ名、あるいは特定のセキュリティ コンテキスト内にあるホストに基づき、トラフィックのサブセットに対する詳細なコンテンツ スキャンの実行を選択できます。クラウド インフラストラクチャは、世界中に分散された高可用性、高パフォーマンスのデータセンターに構築されています。このインフラストラクチャは優れた可用性の実績があり、オンプレミスのデバイスを必要とすることなく可視性とセキュリティを提供します。

コンピューティング リソースを奪い合うオールインワン型のセキュリティ アプローチとは異なり、Cisco Cloud Web Security はスケーラブルなシスコのクラウド上でアンチウイルスおよび Web セキュリティを実行し、Cisco ASA でネットワーク セキュリティを実行します。その結果、パフォーマンスへの影響をゼロまたは微小にとどめつつ、どちらのサービスも最大のセキュリティ効果を達成できます。

図 2 コンテンツ スキャンの負荷をクラウドにオフロード

図 2 コンテンツ スキャンの負荷をクラウドにオフロード
※画像をクリックすると、大きな画面で表示されますpopup_icon


Cisco ASA ソフトウェア リリース 9.0 では、インターネット トラフィックが Cisco Cloud Web Security サービスにリダイレクトされ、そこでマルウェアのスキャンとユーザベースのポリシー適用が行われます。発信トラフィックはユーザ名、ユーザ グループ、送信元または宛先に基づいて分類することが可能です。宛先の要素はさらに 3 つの大きなカテゴリに分類できます。

  • 承認済みトラフィック:既知の安全な Web サイトからのトラフィック。企業のポリシーで自動的に承認されます
  • VPN トラフィック:サイトツーサイト VPN トンネルを経由するトラフィック
  • Cisco Cloud Web Security にリダイレクトされるトラフィック:Cisco Cloud Web Security に送信され、URL フィルタリング、アンチウイルス スキャン、Web コンテンツ スキャン、Web アプリケーションの可視性と制御を含む詳細な Web ポリシー制御が適用されます

このプロセスは社内ネットワークおよびブランチ オフィス向けにトラフィックを最適化し、ユーザの場所を問わずすべてのユーザにセキュリティとポリシーを適用します。

Cisco Cloud Web Security の機能は、Web および VPN トラフィックのスプリット トンネリングを実行する Cisco AnyConnect® セキュア モビリティ クライアントを通してリモート ユーザにも拡張されます。これにより、インターネット トラフィックを企業の本社にバックホールする必要がなくなり、複雑なリモート アクセスの使用事例が可能になります。

たとえば、ユーザが米国から日本へ出張する場合、VPN トンネルが米国本社の場所で終端していても、AnyConnect が自動的に日本で最も近い Cisco Cloud Web Security タワーを検出します。

図 3 柔軟なアクセプタブル ユース ポリシーの適用

図 3 柔軟なアクセプタブル ユース ポリシーの適用
※画像をクリックすると、大きな画面で表示されますpopup_icon


Cisco Cloud Web Security は業界最先端の Cisco SIO 脅威防御テクノロジーを利用し、場所を問わずすべてのユーザに実証済みの、ゼロデイ攻撃からの保護を提供します。Cisco SIO は世界最大規模の脅威検出ネットワークを使用します。

  • 1 日あたり 75 TB を超える Web データ
  • 160 万台を超える導入デバイス
  • 1 億 5 千万を超えるエンドポイント数
  • 1 日あたり 130 億を超える Web リクエスト数
  • 全世界の電子メール トラフィックの 35 % 以上

Cisco ASA および Cisco Cloud Web Security:利点


Cisco ASA ソフトウェア リリース 9.0 と Cisco Cloud Web Security の統合によって、組織に次の利点がもたらされます。

  • 総所有コストの削減:統合されたファイアウォールとクラウド ソリューションを使用することにより、オンプレミス(自社運用型)のソフトウェアやハードウェアの導入および保守に関連するコストを回避できます。
  • ファイアウォールのパフォーマンスに影響しない業界最高レベルのセキュリティ:リアルタイムでのクラウドベースのスキャンにより、マルウェアや不適切なコンテンツがネットワークに侵入するのを防ぎます。
  • スケーラビリティとアベイラビリティ:シスコのグローバルなネットワークが場所を問わず大量の Web コンテンツを高速で処理するため、常に利用可能な本当の意味でのグローバル ソリューションを実現できます。
  • シスコの他のセキュリティ製品との統合:Cloud Web Security ソリューションは Cisco ISR ブランチ オフィス ルータおよび Cisco AnyConnect と統合して Web セキュリティ ソリューションを提供し、柔軟な導入を可能にします。
  • 一貫性のある統一されたポリシー:所在地に関係なくすべてのユーザに対してアクセプタブル ユース ポリシーを適用できるため、管理を簡素化できます。
  • 予測可能な運用コスト:ユーザの利用数と予算を計画的に管理できます。

関連情報