ニュース

シスコ、DNSの仕組みを利用したクラウド型セキュリティサービス「Cisco Umbrella」

次世代ファイアウォールの新機種も

 シスコシステムズ合同会社(以下、シスコ)は21日、クラウド型セキュアインターネットゲートウェイ(SIG:Secure Internet Gateway)「Cisco Umbrella」と次世代ファイアウォール「Cisco Firepower 2100シリーズ」を発表した。

今後のシスコのセキュリティ戦略とは

 新製品の発表に先立ち、2016年11月より企業向けセキュリティ機器およびセキュリティ ソフトウェア製品の営業部門を統括している シスコ セキュリティ事業 執行役員 田井祥雅氏は、同社のセキュリティビジョンを「シンプル」「オープン」「自動化」であると説明した。

 「日本だけでなく世界中でセキュリティ関連の人材が不足している。1人の人間ができることを増やすためには、複雑性をなくし、オペレーションをシンプルにする必要がある。また、世の中にセキュリティ製品は非常に多い。これらの製品をつなげていくためには、技術のオープン性を保っていくことが重要になる。そして自動化については、AI技術なども組み合わせ、機械がある程度まで自動的に対応していけるようにしなければ、人材が足りない現状ではオペレーションが回っていかない」(田井氏)。

シスコ セキュリティ事業 執行役員 田井祥雅氏

 さらにシスコでは、エンドポイント、ネットワーク、クラウドをひとつのアーキテクチャーとして、少ないモニターからでもチェックできるようなサービスの提供を目指していくという。また、脅威インテリジェンス「TAROS」という脅威の解析を専門に行う組織において、どのような脅威があるか、それらにどのように対処していったらいいのかなどを調査・研究してサービスに反映しているという。

SIGは新しいセキュリティサービスのジャンル

 クラウド型セキュリティサービスであるUmbrellaは、DNS(名前解決)のしくみを利用したクラウド型のセキュリティサービスだ。クラウド上に配置したDNSでドメイン/IPアドレスのレピュテーションを確認し、危険だと判断されたドメインやIPアドレスへのアクセスを、ブロックするなどの対策を実行できる。DNSというインターネットアクセスの最初に必要となる技術を利用するため、"ファーストレイヤでの防御"という位置づけになっている。

 Umbrellaは、シスコが新たに提唱しているセキュアインターネットゲートウェイ(SIG)というセキュリティジャンルのサービスである。SIGではユーザがどこにいても、VPNを使用していない場合でも、インターネットへの安全なアクセスを確保することを目的としている。シスコ セキュリティ事業 セキュリティ エバンジェリスト 西原敏夫氏は、SIGについて次のように説明している。

 「現在49%のワークフォースがモバイルに移行し、その82%はVPNを使用せずダイレクトにインターネットにアクセスしている。多くのユーザーは会社にVPNで接続してからSaaSに接続するのではなく、モバイルから直接SaaSに接続するようになっている。このようなワークスタイルの変化とともに、セキュリティも変化している。SIGは次世代ファイアウォールやエンドポイントセキュリティなどと同じように、新しいセキュリティのジャンルとして必要だとシスコは考えている」(西原氏)。

シスコ セキュリティ事業 セキュリティ エバンジェリスト 西原敏夫氏

 もともとUmbrellaは、2015年に米Cisco Systemsが買収したOpenDNSを、同社のほかのセキュリティ製品と統合したサービスであり、2016年の10月にはクラウド型の新しいセキュリティサービスとして発表されている。

 新たに発表されたUmbrellaは、DNSレイヤによる防御のほか、既存のシスコのセキュリティサービスであるCWS(Cloud Web Security)のプロキシ機能、AMP(Advanced Malware Protection)のファイル精査機能、Threat Gridのサンドボックス機能、サードパーティ製品連携機能なども統合されたクラウドサービスになっている。

 さらに、年内にはユーザーの振る舞いから不正を検知する「CASBコントロール」の機能も追加されるという。この機能は、以前「CloudLock」として発表されたサービスだ。

UmbrellaはDNSのしくみを利用し、“ファーストレイヤでの防御”を可能にする
既存のシスコのセキュリティサービスを統合した新しいクラウド型のセキュリティサービス

 Umbrellaの料金については、ライセンスのボリュームディスカウントや、どの機能を利用するかによって差が出るので一概には言えないとしつつも、すべての機能を50ライセンスで利用する場合、1ユーザーあたりのサブスクリプション料金は1万円を超えない程度、と説明している。

コストパフォーマンスに優れた次世代型ファイアウォール

 同日発表されたもう一つのセキュリティ製品は、Cisco Firepower 2100シリーズだ。小売業や銀行のように、大量で機密性の高いトランザクションを実行する業種向けに設計された次世代ファイアウォール製品で、西原氏は「コストパフォーマンスを強く意識した製品」と説明している。

 Firepower 2100シリーズにおいて、ファイアウォール、AVC(Cisco Application Visibility and Control:アプリケーションレベルの分類、モニタリング、トラフィックの制御)、IPSを実行しても1.9~8.5Gbpsのスループットを実現する。IPS機能を有効にするとスループットが低下する製品が多い中で、Firepower 2100は高いスループットを維持できるという。西原氏は「同じ価格帯の製品で、これだけの機能を維持できているのはシスコだけ」と自信をのぞかせている。

IPS機能を有効にしてもスループットは低下しない

 ミッドレンジ向けの2100シリーズが加わったことで、Cisco Firepowerのラインアップは、データセンター向けの「4100シリーズ」、キャンパスやサービスプロバイダー向けの「9300アプライアンス」、データセンターやクラウドサービスプロバイダー向けの「仮想アプライアンス」が揃ったことになる。なお、Firepower 2100の発売開始は4月に予定されている。価格は明らかにされていない。

Firepower 2100シリーズ