見出し画像

ひとクラス上の情報セキュリティ対策〜Cylanceシリーズ

itnews.jp 中の人

ま、私が書いた下記記事に対抗しているというわけでも無いですが、大中企業向けセキュリティ製品BlackBerry社のCylanceシリーズにて触れていきたい。

Cylanceの位置付け

2018年にカナダのBlackBerryがCylanceを買収。BlackBerryといえば、オバマさんが使っていたことで有名な物理キーボードがついたスマホ!スマホメーカーという印象が強いメーカーですが、今はセキュリティメーカーに変わった。特許だけ持っていてスマホは作っていないんじゃ無いか、という企業スタイルが変わったメーカーだ。

一時的、BlackBerry Cylanceシリーズとして販売されていたけど、最近になって、社名を外し、Cylance〜製品に変わった。確かに、BlackBerryがスマホとかのデバイス販売の印象が強いだけあって、Cylance単体で販売した方が、メリットは大きいのかもしれない。

Cylanceシリーズは、UEM(Unified Endpoint Management、統合エンドポイント管理)製品。コロナ禍によって新しい生活様式に対応した、今、まさに必要と求められている製品の1つだ。

UEMって

統合エンドポイント管理って何?

MDM(Mobile Device Management)なり、EMM(Enterprise Mobility Management)なり、会社がモバイルデバイスを統合的に管理するシステムを入れなきゃいけないだの、MAN(Mobile Application Management)でデバイスに入っているアプリを会社が統合的に管理しなきゃいけないだの、モバイルデバイスを入れるにあたって、会社が何かしらの統制をとらなきゃいけない時代になった。まして、Windowsなら自社のADサーバなり、IT資産管理ソフトなりで制御できるかもしれないけど、インターネットありきのモバイルデバイスだと、社外で多く利用されれば制御なんかできない。公私混合され会社にとってリスクやデメリットを受けないよう、何かしらの対策が必要だ。

Office365も便利な反面、不正に情報持ち出せるといったリスクもある。そのために、EMS(Microsoft Enterprise Mobility + Security)とか入れると、構築しなきゃいけないし、そもそも費用が高かったりして、なかなか先に進めない。

個別に少しずつ段階的にステップアップしようにも、カネはかかる、時間はかかる、とかという問題で、結局、ヒトの少ない情シスでやりくりしなきゃいけない。この機能に特化して優れた製品を入れ、あの機能は別のメーカーに、とかといった製品のメーカーがバラバラだと、結局、自分たちの対応エリアがソフトごとに決まり、重なったり、かすれたり、とかで、どこまで妥協しなきゃいけないか、とか、考えなきゃいけなかった。ま、製品が増えれば、それなりに業務リスクは増えるのが当たり前で、減ることは無い。

けれども、全てが程よく包括的に入ってくれれば、それはそれで良かったりする。それが、UEM。

Cylanceセキュリティ位置付け

BlackBerryが提唱するセキュリティの位置付けが、まさにUEM。

新しい生活様式の影響で、テレワークが日常生活に浸透した。つまり、これまで企業セキュリティって、会社の中は安全だよね、といった所謂「鎖国環境」が整っていた。社内と社外、という境界線があって、境界線管理していれば社内は安全地帯だ、という感覚だった。

でも、コロナ禍によってテレワークという情シスにとって難敵が現れた。社外という安全かどうかわからないブラックホールの環境に対し、ベルリンの壁のような鉄壁の壁の内側は、実はセキュリティは弱いのだよ、壁が崩れたら困るよね、どう対策をしなきゃいけないのか、という難題だ。

そういう社外環境なんて知らんよ、という管理手抜きが多いに違いない、セキュリティが弱そうな所が、ランサムウエアとかに感染し麻痺しているのが、例えば病院だったり、企業だったり。

もう、今までの対策じゃ意味ないんだよ。境界線セキュリティ管理は崩れたんだよ、という意識ない企業が、結局「コンピュータ」のウイルス、にやられてしまっている。社内にいても社外であっても、安全性は無いよ、ちゃんと安全性が確保されるまでは安全とはいえないよ、という「ゼロトラスト」の考え方が、コロナ禍中に話題となり、定着化してきた。

このゼロトラスト環境を手軽に実現できるのがBlackBerryの製品群だ。そして、そのセキュリティにあたる部分が、Cylance製品群でカバーされている。

なんで大中企業向け?

比較的高額!というところが、大中企業向けかな、と考えている。もちろん環境によっては、中小企業にも手頃な価格で購入ができる商流もある。ただ、「前提条件」があったりして、それがクリアできないケースもある。

例えば、情報セキュリティの関係から、インターネットには接続できない閉域網のネットワーク環境を作っている会社はあるだろう。勤務先もそうだ。こういった閉域網環境に対し、クラウド管理であるCylanceをどう接続すればいいのか、という問題がある。

安価な価格で小規模向けとして販売されている場合、閉域環境を管理できるためのゲートウエイ(プロキシ)が提供されないケースが多いと思う。ほぼインターネットができない環境で、一部だけインターネットが利用できるんだよね、といった環境の場合は通常版を購入しなきゃいけなかったりする。

そういった点で、1,001ラインセンス以上の購入だと、なんとか妥協できる単価に収まってくれる。そういう意味で、中小企業だとちょっと金銭面で厳しいかな、という判断をした。

管理工数が下げられる!

勤務先の製品は、2022年5月よりCylance Protect and Opticsに切り替えた。最初のインストールは手間がかかった。ウイルス駆除ツールというよりは、不審ファイルを隔離させるためのツールなのか?Cylance ProtectはEPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)なので、駆除では無いらしい。

そのため、他のウイルス対策ソフトと共存ができてしまうため、すでに入っているウイルス対策ソフトを削除してくれない。

勤務先は2022年6月末までKaspersky Endpoint Securityを利用していた。Kasperskyの前はF-Secureだ。F-Secureの前はTrendmicroだ。Trendmicroの前はSymantecだ。Symanteの前はMcAfeeだった。つまり、ウイルス対策ソフトをインストールする時は、バッティングするため、入れ替え前の製品を、これからインストールする製品が削除してくれる機能があったわけだ。そのため、Kasperskyを入れる際、Trendmicroウイルバスター Corp.の削除できるバージョンを十分調査し、Kasperskyのインストーラーに組み込むという方式が取れた。そのため、ウイルス対策ソフトの更新は、あまり負荷にはならなかった。

Cylanceの場合は、Kaspersky強制削除ツールを配布し、それで削除してもらった上で、Cylanceのインストールをしてもらう、という処理を社員の皆さんにお願いした。また、EDR(Endpoint Detection and Response)は、一緒にインストールされず、step2での処理となるなど、インストールし忘れるユーザーもいた。そして、これが、リモートインストールには対応されず、PC利用者にインストールしてもらう、という手間が発生、どう乗りこえたかというと、「Cylance」に乗り換えると、めちゃくちゃPCが軽くなるよ!という感じで。

Cylanceを入れるとPCが軽くなる

真面目な話、Cylanceに乗り換えることで、PCは非常に快適になる。初回インストール時には、一旦PC内をフルスキャンするために負荷がかかるが、スキャン完了後は、基本的にスキャンしない。アプリが実行された際にスキャンされるだけなので、非常に軽い。マジで軽い。EPPが入っていない感じの軽さだ。

EPP、EDRについては、下記の記事を書いているので参考に。

こう書いていると、管理工数が逆に増えているんじゃないか!という疑問が残られると思う。
面倒なのはインストールしてもらうまで。あとは、本当に楽。

クラウド管理なので、サーバーは不要。
ただ、閉域網からクラウドは接続できないので、Proxyかまして接続させるという方法を取るためのサーバが必要。これがCylanceHYBRIDという機能だっけな。
これは、アプライアンスで提供されていたんだっけなぁ。Nutanix AHV上で行うには、Ubuntuを軽くセットアップして、インストールしたような気もするな…。ただ、マニュアルは詳しく開示されるので、誰でもできます。

仮想環境があれば、バシバシVMを作れるので、物理サーバが必要だ…という考えは無い。そのため、何をやるにもサーバが必要なので、中小企業だと、ちょっと仮想環境が無いと、なかなか展開が難しいような気がする。
そういう私の勤務先は中堅企業。中の中といったところかな。

CylanceHYBRID(Proxy)サーバは、所謂アプライアンスなので、基本無停止。情報をクラウドに送受信しているだけのようなので、ノーメンテナンス。PoC(Proof of Concept、概念実証)で適当に作ったサーバを間違えて展開してしまったので、PC更新のタイミングで切り替えなきゃいけないな…と思いつつ、今年の年末年始は対応に追われそうだ、という思いはしている。

まだ暗い内容…

管理工数が下がる

ようやく本題。まず、Cylance Protectって、ウイルス対策ソフトの癖に、「定義ファイル」が無い。つまり、毎日定義ファイル(定義データベース)の更新がない。連休とかの週明けに、膨大な定義ファイルの送信が行われ、社内ネットワークの通信混線が発生することは、ない!

クラウド上で正確に管理されるため、リアルタイムにクライアントの情報が送信される。そう、閉域網の環境であっても、HYBRID(Proxy)を介して送信される。そして、クラウド上で、何に反応したか、EDRであるOPTICSとの抱き合わせで、簡単に脅威分析ができてしまう。

シンプルなダッシュボードで、何をやればいいか、すぐわかる。そして、外資系って英語表記が多いと思うんだけど、嬉しい日本語。あとは、時間がUTCなので、そこが改善されるといいな…。

現在、SSL-VPNと競合製品となるZTNA(ゼロトラストネットワークアクセス)製品のCylance GatewayについてPoC中。ようやくネットワークに接続ができたので、これからポリシーを試しながら、どのように動くか検証予定。

Cylance Gatewayのログの一部。この画像の左側に、ユーザー情報が載っている。誰が、どの宛先にどういったルール(ポリシー)範囲内で処理されたかが分かる。別のダッシュボードでは、どのクラウドサービスへのアクセスが高いか、上位ランキングがわかるのもある。そこから、ちょっとヤバめだよね、といったサービスをブロッキングができるので、CASB(Cloud Access Security Broker)的なことができるのも、ありがたい。

つまり、SSL-VPNの場合だと、この間のランサムウエアに感染した病院にしても、SSL-VPN装置のアップデートをして、脆弱性を埋めるための努力をしなきゃいけない。個人的にも、Fortigateを何回かアップデートしたけど、アップデートする度に、システムが重くなるや、設定画面が変わるや、アップデート失敗しないでくれ、頼むと拝みながら作業するので、寿命が縮まるといったストレスが加算されてしまう。

けれど、クラウドの製品なので、エージェント(PC側に入れるソフト)のアップデートは必要かもしれないけど、SSL-VPN装置のアップデートはリスキーだよね…。土日に行うため、サポートも受けられない。孤独感ありあり。

一方で、クラウド接続管理も行えるので、わざわざ別の製品を入れる必要もない。

全てが洗練された製品構成でできているため、個別対応していれば、情シス人数が、セキュリティ強化の度に、増やす必要があるものの、統合された製品であれば、製品が1つのポータル上で管理できるため、管理工数は確実に減ると考えている。

まして、私のセキュリティ側の業務負担は、機能強化したにも関わらず、そんなに増えていない。一人でカバーできる範囲だ。

まとめ

良い製品を機能ごとに導入する、という方法もありかもしれないけど、情シスの人数は限られている。セキュリティを強化すればするほど、通常はヒトを増やして安定した管理が必要になるんだろうけど、UEM(統合エンドポイント管理)を利用することで、逆に1つのコンソールで処理ができるため、管理コストが減るんじゃないか、と思うほどだ。EPP/EDRのためにCylanceを入れたのだけれども、ZTNAとしての導入もありだな、と感じている。仮にZTNAを入れたらnoteに綴りたい。

そうだ!Advent Calendar 2022

現在、Advent Calendar 2022 として、25日まで連続投稿している記事があります。技術的な内容が多いかもしれないけど。
その影響で、note向け記事が書けていない状況。
毎日私のサイトで記事を書いているので、興味がありましたら、目を通していただけると幸いです。
(広告がないので、見やすいと思います。)


この記事が気に入ったらサポートをしてみませんか?