Cisco UmbrellaでシャドーITを可視化してみたよ

Umbrella 業務効率化

 

初めまして。事業開発部の多谷と申します。

初めてブログを書きます!宜しくお願い致します。

 

関東も梅雨入りが発表され今年も傘(Umbrella)が頻繁に必要になる

時期がやって参りました。

そんな時期だからこそこの記事をお届けしたいと思います。

 

昨今、情シス担当者のお悩みの種となっているシャドーITですが、

どのようなツールを用いて可視化を進めるのか?

また、実際可視化できたとしても膨大な数のアプリケーションを

業務の利便性とのバランスを鑑みながら、どうやって制限を進めていくか?

という所が主な課題となっているかと思います。

 

本ブログではCisco Umbrellaの機能を生かしたシャドーITの可視化について解説してみたいと思います。

 

1.アプリケーションの可視化

まずはCisco Umbrellaのダッシュボードからみていきます。

App Discoveryという項目を表示しています。

ローカライズはされていませんが、非常にシンプルかつみやすい画面で

検出されたアプリケーションのサマリを表示してくれています。

 

①検出されたアプリケーションの総数が表示されます

※ラベル付けの機能もあるためラベル付けされたアプリはそれぞれの項目でカウントされます

こちらの図では約1800件の程のアプリが検出されていますね・・・

とにかく数が膨大であるということをご理解いただけたかと思います。

 

②リスクが高いアプリのカテゴリ別にアプリの検出数が表示されます

Ciscoのセキュリティ研究者たちが以下7つのカテゴリのアプリが情報流出等、

企業へのリスクが高いものとして分類しています。

[アノニマイザー] [クラウドストレージ] [コラボレーション][ゲーム] [メディア][P2P][ソーシャルネットワーキング

詳細はアプリケーション検出レポート (umbrella.com)をご覧ください。

ただ闇雲に1800ものアプリが検出されました!と言われても困ってしまいますが、

それぞれのアプリをカテゴライズし、その中でもハイリスクなアプリは7つのカテゴリです!と明示的に示してくれています。

これはアプリのブロックを検討する上で非常に役に立ちます。

 

③リスクスコアに基づくリスクの高いアプリトップ3が表示されます

リスクは最もローリスクなVery Lowから、Low、High、最もハイリスクなVery Highの4段階で評価されます。

現時点ではダッシュボードからリスクスコアの明確な数字をみることはできませんが、リスクランキングのトップ3がこちらに表示されます。

 

2.アプリのリスク確認

先述したアプリのリスクスコアはどのような要素から算出されているかみていきます。

こちらもダッシュボードから各アプリごとに確認することができます。

今回はCisco Webexを例にとってみていきます。

①アプリの基本的な情報

企業情報やリスクスコア、どのようなカテゴリに属するか等々が確認できます。

②ビジネスリスクは以下の項目について評価します

 (1)サービスの典型的な使用方法

 間接的、個人的、組織的どのような利用方法か、組織的であるほどリスクが高い 

 (2)TalosセキュリティインテリジェンスWebレピュテーションスコア

 Cisco Talos Intelligence Group - Comprehensive Threat Intelligence

 上記Talosからの情報を自動的に引用しているものです

 (3)Dun & Bradstreet(企業調査会社)が動的に算出した企業の財政リスク

 アプリを運営する企業の財政リスクです

 (4)アプリがどのような構造のデータを使用しているか

 非構造化であるほどリスクが高い。非構造化データとは、写真や電子メール、

 プレゼンテーション、Webサイトなどです

 

③Usageリスク

DNS要求に基づいて算出されています。要求が高いほどリスクが高くなります。

 

④ベンダーコンプライアンスの準拠状況

BITS、COBIT、FEDRAMP、GAPP、HIPAA、ISO 27001/27002、PCI_DSS、SP800_53、といったコンプライアンス規格への準拠状況を評価しています。

 

⑤Identity

こちらをクリックすると以下のような画面が表示され、どの端末やユーザが当該のアプリへアクセスしているのかといったところまで確認することができます。

※Umbrellaの設定によってはこれらの情報が取得できない場合がございます。

こちらは直接的なリスク評価とは異なりますが、管理者がユーザのアプリ使用状況を把握することはシャドーITを可視化する上で非常に重要なポイントになるかと思います。

 

以上、非常に多角的な側面からアプリケーションのリスクを算出していることがご理解いただけたかと思います。

しかしハイリスクのアプリケーションだからといって、全てブロックしてしまって問題ないか?という質問に対して私個人の回答としてはNOです・・・。

実際これまでに検証を進めてきて、ハイリスク評価ながら実は日常的に利用しているアプリの裏側で動いているものがあったりと、非常にインテリジェンスな仕組みを利用して算出された値だったとしても、まだ人間の判断には及んでいないというところが実情です。

もちろんハイリスク判定のアプリの中には疑わしいアプリが多々あることは紛れもない事実です。

そんな時にお勧めしたいのがラベルの機能です。

各アプリごとに設定、一括設定も可能です。ラベルは

Approved(承認済み)Not Approved(未承認)Under Audit(監査中)

の3種類から選択できます。

ラベルを設定しただけではブロック等の動作は発動せず、疑わしいけどブロックするか迷っているアプリにはUnder Auditラベルを設定し、監視対象とする等々・・ブロックまでのワンクッション期間に役立ちます。

 

3. まとめ

今回、Cisco Umbrellaの機能を使用したシャドーITの可視化について解説しました。

文字通りシャドー化し全く見えなかったものが見えるようになり、非常に便利になりました。が、

冒頭にも述べた通り今後の課題としては可視化した後に膨大なアプリケーションをどのように管理していくかが問題となってくるかと思います。

・・・この仕訳も機械が自動的に実行してくれたらな。と思ったりもします。

生成系AIが全てやってくれる時代がすぐそこまできているのかもしれません。

それはまた別の意味で情シス担当者の脅威であるといっても過言ではありませんね。

 

余談はここまでにして膨大な数のアプリ管理の課題解決としてSDCからのご提案としては、

1.まずはカテゴリ別にアプリブロックを検討してみる

  (例)ゲームカテゴリは業務に関係ない→ブロック等々

2.データアップロードを伴うアプリはCASBのDLP機能などと併せて制限を検討してみる

3.ラベリングを実施し疑いの高い(ハイリスク)アプリを注視する

 

個人的な感想となりますが、疑わしいアプリ→即時ブロックでは業務の利便性を損なう可能性が高くお勧めできません。

情報の流出を抑えながら利便性を損なわない社内システムの構築をご検討の方に

本ブログ、そしてCisco Umbrellaが何か解決の糸口を与える事ができたら幸いです。

 

それではまた!