シスコセキュリティ - cisco.com · exchange online, sharepoint online, onedrive for...

シスコセキュリティOffice 365 利用時のお悩み解決 – セキュリティ編

セキュリティ事業

担当部長

原達夫2019年5月29日（水）：福岡

2019年5月24日（金）：名古屋

2019年5月27日（月）：大阪

業種別アプローチご紹介ロードショー

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

さまざまなお客様からお聞きした

Office 365 導入の個別のお悩み

従来型企業WANがボトルネックにローカルブレイクアウトの実施と通信の最適化が可能なSD−WAN

拠点のセキュリティが心配即導入、Web以外も防御可能な

クラウドDNSセキュリティ

無防備な社外端末の利用が増加PC/iPhoneのマルウェア防御に加え

EDRで感染後の対策を迅速に

クラウドからの情報流出ユーザ行動を把握し情報流出を遮断クラウドセキュリティ特化のCASB

しのびよる標的型メールOffice365ユーザはお試しも簡単

クラウドEmailセキュリティ

Cisco AMPEDR

Cisco CESCloud Email Security

クラウドEメールSEC

CASB

CiscoUmbrellaDNSセキュリティ

CiscoSD-WAN


Office 365 導入企業が直面するネットワーク課題

Office365の「パフォーマンス」に関するお悩みがトップ


WAN経由で1箇所に全拠点の通信を集約するハブ&スポーク型がこれまでの企業ネットワークのスタンダード

従来型の企業WANの限界

インターネット

中小規模拠点大規模拠点

従来型WAN

本社/データセンタ全拠点の通信はWANを経由して

本社/DCへ

セキュリティ対策は本社/DCに集中。全通信がFirewallやProxyを経由

FirewallProxy


Microsoft 社が公開している“Office 365 ネットワーク接続の原則” では以下の指針が提唱されています。

Office 365 に最適なネットワークとは？

Office 365 ネットワーク接続の原則 Ciscoの分類

Office 365トラフィックを識別および分類する

拠点から直接、O365ネットワーク(インターネット)やDNSサービスに接続する

ヘアピン型のネットワークを避け、端末が直接O365ネットワークに接続する

O365トラフィックは、プロキシやインスペクション装置を利用せずバイパスさせる

境界セキュリティだけでなく、エンドポイントセキュリティも強化する

地域でまとめたO365ネットワーク接続口を追加する

VPNユーザは、O365に直接接続させる

従来型のWANからSD-WANに移行し、管理性とパフォーマンスを向上させる

参照：Office 365 network connectivity overview https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-networking-overview

SD-WAN

SD-WAN

SD-WAN

SD-WAN

SD-WAN

セキュリティ

セキュリティ

拠点は直接インターネット接続、従来型WANからSD-WANへ移行集約型インスペクション装置以外の方法でセキュリティを強化

セキュリティ

また企業ネットワークの最適化のため、これらの方法も提案されています。

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-networking-overview










Cisco AMPEDR


CASB

CiscoUmbrella

CiscoSD-WAN

DNSセキュリティ






• Office 365のすべてのアプリケーションやサービスの利用において、インターネット上のOffice 365クラウドとの接続が必要になります。Office 365クラウドは、接続元の拠点からもっとも近いところに遅延の少ない最適なサービスを提供する設計になっています。

• しかし、従来多くの企業では、インターネット接続口を本社やDCに集約しており、拠点から直接インターネット接続する形式にはなっていません。

• 従って、Office365の利用やWindows UpdateでWANの帯域が圧迫され、通信が遅くなり業務に支障が出るという状況が起こります。また、インターネットへ抜ける通信量が増えるため、ProxyやFirewallのパフォーマンスがボトルネックになります。

WANの帯域がボトルネックに

お悩み解決策詳細

対象：すべてのOffice 365サービスExchange Online, SharePoint Online, OneDrive for Business, Skype for Business, Teams, Yammer

中小規模拠点大規模拠点

ボトルネック

WAN

データセンター(DC)

ボトルネック


• WANの帯域がボトルネックになるお悩みの解決策は、Office365の通信だけは、拠点から直接インターネットにオフロードさせることです。ルータでOffice365のパケットを識別・分類し、出力先をインターネット回線に限定することで実現します。これを「Local Breakout」や「Internet Breakout」または「Direct Internet Access (DIA)」と呼びます。

• さらにCisco SD-WANなら、単純なLocal Breakoutだけでなく、アプリケーションごとに回線の品質状況に応じた優先パスを指定することもできます。

• 複数の回線の品質状況を比較し、拠点・DC・近くの中規模拠点から最適な出口を自動選択する「Cloud OnRamp for SaaS」という高度な技術を、簡単に設定・運用できます。

Office365だけ直接インターネットへ


中規模拠点大規模拠点

SD-WAN



小規模拠点

O365は直接

インターネットに最適な経

路を選択


• 拠点のインターネット回線からのダイレクトなアクセスを提供

• アプリケーションもしくはプレフィックスを指定(Windows Update, Office365など)

• Cisco SD-WANなら、簡単に設定・運用が可能

ローカルブレイクアウトLocal Breakout / Direct Internet Access (DIA)


サーバ拠点ルータデータセンタールータ

アプリケーション識別

WAN

インターネットクラウド

セキュリティ

Umbrella

O365は直接

インターネットに

Cisco SD-WAN、ISRで実現可能 Cisco Merakiでも構成により実現可能

Software Defined WANの略です。Microsoft社“Office 365 ネットワーク接続の原則”では、「従来型のWANからSD-WANに

移行し、管理性およびパフォーマンスを向上させる」ことが推奨されています。

SD-WAN？


DC FW

• ユーザの拠点から、「最適」な出口を「自動」選択

• 各拠点 or 地域拠点 or DC などから最適な出口を選択

• アプリケーションの指定も可能 (Windows Update, Office365など)• Exitポイントから実際のSaaSへのネットワーク遅延も把握

Cloud OnRamp for SaaSお悩み解決策詳細

クラウドセキュリティUmbrella


DCデータセンタールータWAN

拠点ルータ

地域拠点ルータ

地域拠点FW

ユーザー

Microsoft社“Office 365 ネットワーク接続の原則”では、拠点か

ら直接インターネットに接続する出口以外にも、地域でいくつかの拠点をまとめたOffice365ネット

ワーク接続口「地域拠点」を追加する方法が提案されています。

地域拠点とは？

Cisco SD-WANで実現可能※ cEdgeでは2019年対応予定

CiscoONLY










Cisco AMPEDR


CASB

CiscoUmbrella

CiscoSD-WAN






• Office 365の推奨に従い、拠点から直接インターネットに抜ける構成を検討する場合、特に中小規模の拠点のセキュリティが課題になります。

• DCや大規模拠点の出口には堅牢なセキュリティ対策を実施しても、小規模な拠点は十分な対策ができず安価なルータを利用していたり、海外拠点は一元管理ができていないお客様もいらっしゃいます。新たなセキュリティ対策を実施する必要がありますが、コストとの兼ね合いも考えなくてはなりません。

• さらにMicrosoft社からは、Office 365のパフォーマンスを優先させるため、Office 365の通信はProxyやFirewallのバイパスが推奨されており、セキュリティ対策に不安を感じるお客様も増えています。

拠点のセキュリティが心配


対象：すべてのOffice 365 サービスExchange Online, SharePoint Online, OneDrive for Business, Skype for Business, Teams, Yammer

Microsoft社“Office 365 ネットワーク接続の原則”では、Office365トラフィックに関してはFirewall等のセキュリティ装置およびPACスクリプトでO365のURLやIPアド

レスの範囲を除外するなど、「プロキシ等の装置をバイパス」させることが推奨されています。

Proxy非推奨！？


WAN

データセンタ(DC)


小規模拠点

セキュリティリスク


• 拠点のセキュリティが心配だというお悩みの解決策は、クラウドDNSセキュリティの利用です。迅速に、手軽で安価にセキュリティ対策の導入ができます。

• ユーザの行動はすべてDNSから始まります。このDNSの名前解決を利用した「セキュアインターネットゲートウェイ(SIG)」が、従来のProxyでは網羅できなかった、DNSやIPレベルでの保護が可能なセキュリティ対策として注目を集めています。

• 「Cisco Umbrella」はSIGを実現するクラウドDNSセキュリティサービスです。外部DNSトラフィックをUmbrellaに向けるだけで、 DNSレベルで悪意のあるサイトをブロックし、拠点のセキュリティ対策を即座に実現します。

• さらにCisco Umbrellaは、アンチマルウェア・サンドボックスによるファイル検査やWebフィルタリングも可能です。ボトルネックになっている既存のProxyをCisco Umbrellaで

どんなルータにも手軽で安価にセキュリティを追加



SD-WAN

データセンタ(DC)


小規模拠点


Umbrella

DNSをクラウド

に向けるだけ！

Webフィルタリング

アンチマルウェア

サンドボックス



「Cisco Umbrella」はDNSの名前解決を利用したセキュリティ対策機能を提供

URL や IP アドレス（例：マルウェアによる接続先IPアドレスの指定）によるフィルタリング

C&Cサーバへの通信を遮断

グレーなドメインへの通信をプロキシで調査し、マルウェアスキャンに対応

マルウェア

C&C コールバック

フィッシング

208.67.222.222

「ユーザーがアクセスしようとしているのが攻撃者のサイトだったら、名前解決を拒否する」といったアクセス制御が可能

PC、タブレット、IoT 機器に関わらず疑いのある通信を遮断

Cisco UmbrellaDNSの名前解決を利用した新しいセキュリティ対策して機能



ISR 4000シリーズ

シスコ製ルータ / WLANにUmbrella機能ライセンスを追加

端末への対応VPN-Off時の対応/IPレイヤでの制御※

既存のネットワークにUmbrellaを追加

AnyConnect

• AnyConnectご利用の場合は追加ソフトウェア不要

または

• Umbrella ローミングクライアントは、DNS リダイレクションのために他のVPN とともに機能

• ルータ本体の既存の設定変更は不要

• Umbrellaとの連携させるための設定を追加するだけ（ルータ）

• VLAN 単位の可視性と適用を実現（ルータ）

• 一番シンプルな方法：ローカルのDNSサーバ or ルータをUmbrellaに向けるだけ

その他

• ユーザのニーズに合わせた多様な導入方法に対応

208.67.222.222 208.67.220.220

※ IPレイヤでの制御を行うには端末にUmbrellaローミングクライアントがインストールされていることが必要です。※ Umbrella機能が追加されたAnyConnect によるIPレイヤでの制御については今後対応予定です。

LAN無線LAN AP

Umbrella


Cisco Umbrella様々なネットワーク構成に対応










Cisco AMPEDR


CASB

CiscoUmbrella

CiscoSD-WAN






• Office 365の導入によって、ユーザは社外からでもクラウド経由で仕事ができるようになります。これにより在宅勤務が可能になるなど、会社の働き方改革が期待できます。

• 社外ユーザ用にリモートアクセス環境を整備し、VPNを使えばFirewall/IPSやProxyで通信を保護する構成をとっている企業も増えています。

• しかし、カフェや自宅など社外から端末を起動したユーザがVPN接続せずにインターネット利用している間は、無防備に脅威にさらされてしまいます。

社外で仕事するユーザが無防備


対象：すべてのOffice 365 サービスExchange Online, SharePoint Online, OneDrive for Business, Skype for Business, Teams, Yammer


自宅外出先セキュリティ

リスク

拠点


• 社外で仕事するユーザが無防備であるお悩みの解決策は、PCやスマホ端末へのアンチマルウェアソリューションおよび、VPN接続していなくても端末を防御する仕組みの導入です。しかし従来の端末向けソリューションは、端末のパフォーマンスに影響を与えるものも少なくありません。

• Cisco AMP for Endpointは端末のパフォーマンスへの影響を最小限にとどめたマルウェア防御が可能です。さらにCisco Umbrella Roamingは、VPNに接続していない社外端末をインターネットの脅威から防ぎます。

• さらにCiscoは、業界で唯一Apple社と提携し、iPhone/iPad向けにAMP(Clarity)&Umbrellaが動作するCisco Security Connector for iOSを提供します

外出先のPCもiPhoneもマルウェア防御



在宅勤務外出先拠点

Cisco AMPAnti-Malware

Protectionアンチマルウェア

CiscoUmbrella



• 次世代マルウェア対策ソリューション

• 既知のマルウェアの検出・防御（EPP）• シグネチャに依存しない、ハッシュ値をベースにしたマルウェア検知

• 高度なマルウェア分析と詳細な脅威分析を組み合わせたサンドボックス(Threat Grid)

• 検知をすり抜けるマルウェアの解析（EDR）

• 後からマルウェアと発覚したファイルを直ちに隔離（クラウドリコール）

• マルウェアの感染源、ネットワーク内での拡散状況を可視化（トラジェクトリ）

Cisco AMP for EndpointsAdvanced Malware Protection


※ EPP: Endpoint Protection Platform※ EDR: Endpoint Detection and Response

AMPクラウドポータル

在宅勤務外出先拠点

Windows/Mac/iOS/Android/Linuxをサポート

Cisco AMPAnti-Malware

Protectionアンチマルウェア

日本語化された管理コンソール

Cisco Security Connector は、1つのアプリで 2階層のセキュリティを実現

Cisco Umbrella: DNSセキュリティによる可視化とコントロール

Cisco AMP for Endpoints (Clarity) : アンチマルウェアによる可視化

※ 利用にはMDMが必要


Cisco AMP for Endpoints感染原因・範囲の特定(トラジェクトリ)


マルウェアが見つかった場合に、どの脆弱性を元に感染したのか、どのようなルートで感染したのかを可視化

デバイストラジェクトリ感染原因を特定• マルウェアファイルはどのようにシステム

に入ってきたのか？• どのような通信をおこなったのか？

ファイルトラジェクトリ感染範囲を特定• 最初に感染したのは誰か？• 現在そのマルウェアはどのシステム上に

存在するのか？










Cisco AMPEDR



CASB


CiscoSD-WAN




• Office 365の導入によって、業務用の通信が本社やDCのインターネット境界を通らないケースが増えます。これにより、管理者はOffice 365クラウドの利用状況の把握が困難になり、クラウド上で社外秘の情報のやりとりが行われていても制御ができません。

• ユーザが管理者の目をすりぬけて企業の管理外のクラウドサービスを利用しているShadow ITの課題も存在します。また、もしかするとユーザがAzure Active Directory (Azure AD)のクレデンシャルを業務外のクラウドサービスで私的に利用しているかもしれません。

社外秘の情報が流出しているかも


対象：SharePoint Online, OneDrive for Business, および Azure Active Directory (Azure AD)

WAN



クラウド/SaaS通信は直接インターネットへ

管理者が利用状況を把握できない


• 社外秘の情報が流出しているかもしれないお悩みの解決策は、クラウドの利用状況を把握・制御するCASB（Cloud Access Security Broker ）ソリューションの導入です。

• Cisco Cloudlockは、Office 365とCiscoがクラウド同士でつながるAPIベースのCASBソリューションです。主要なSaaSアプリケーションと連携済みのため、導入後即座に全社のクラウド利用状況が把握できます。さらにData Loss Privention(DLP)機能で、社内の機密情報や個人情報が記載されているかを検知し、情報流出を食い止めます。

• またAzure ADをお使いのお客様には、ユーザがOffice 365用メールアドレスで他のクラウドサービスをOAuthで利用していないか可視化・制御するなど、さまざまなShadow IT対策が可能です。

クラウド利用状況を可視化しポリシー違反を排除


ADMIN OAUTH アクセス

ADMIN OAUTH アクセス承認済みクラウドセキュリティ

CASB

クラウドセキュティで情報流出

対策クラウド同士が連携済

(フルAPI対応)


Discover and Control

ユーザ行動分析 Cloud DLP Apps Firewall

OAuthによる検知と制御

シャドーIT

情報流出

個人情報、コンプライアンス違反

ハッキングされている可能性があるアカウント

内部不正

Cisco CloudlockAPI ベースのCASBソリューション社外のコントロール外端末まで情報流出をくいとめる制御が可能



データ漏えい対策 Cloud DLPパブリッククラウドでの適切なデータ取り扱いの支援

ポリシーに反する操作があった場合には、管理者にアラートを送付したり、共有設定を無効化したり、強制的にファイルを暗号化したりするなど、多様なアクションを取ることが可能

● 不適切な情報共有・悪意あるデータ窃取を検知

● 応答の自動化

いつ、誰が、どのクラウドサービスを利用し、どんなファイルやデータにアクセス・操作したかを把握あるいはポリシーに基づいてコントロール

各プラットフォームにAPIで連携するため、Cloudlock導入以前からクラウド上に存在するデータも解析できるRetroactive Security Analysis

● 既にクラウドに存在するデータも解析

社内限りの文書を誤って外部公開されたboxフォルダにアップロードすると

アラートが上がる

自動で隔離



企業で使われているクラウドアプリケーションとそのリスクの可視化

Cisco CloudlockShadow IT対策と検出したアプリケーションを3つの指標でリスク判定


OAuthによって受信ボックスやコンタクト

へのアクセス、ユーザになり替わったアカウントの操作や、完全なデータのアクセスを行っていることが分かる

アクセススコープのタブに移動し、このアプリケーションがOAuthを介しどのような権限を持っているか確認

CASB企業最大級の700を超える顧客（150ヵ国以上）がCisco Cloudlockを採用

• CTR：トラストレーティング：CloudLockの顧客のうちどのぐらいが許可しているか（Community Trust Rating)

• App Scopes: アプリケーションが求めるアクセス権限

• ドメイン内の何人のユーザがインストールしているか


User Entity Behavior Analysis (UEBA) ユーザー行動分析アカウントの乗っ取りと疑われる行動の検知・把握

直近7日で3か国以上からクラ

ウド利用しているユーザアカウント

アクセス元の国やIPアドレス・イベントタイプを組み合わせてユーザー個々の行動を分析、異常な振る舞いを検知

ユースケース：国内からアクセスがあった数分後に海外からアクセスがあればアカウント情報が漏えいした恐れが高いと判断し、アラートを上げる

ログイン認証に失敗が多いユーザ

リスクの高い国からのアクセス











Cisco AMPEDR



CASB


CiscoSD-WAN




• Office 365に移行しExchange Onlineをご利用のお客様からは、SPAMやフィッシングメール、その他メールを悪用した標的型攻撃に関する数多くのご相談をいただきます。

• 企業内DCでEメールセキュリティ対策を実施していたお客様が、Office365に移行した後、メールセキュリティ対策を不安視されることが多くなっています。

• Office 365 E3/A3などのセキュリティパッケージを導入されたお客様でも、Exchange Online Protection (EOP)機能にはゼロデイ攻撃への対策が存在しないなど、セキュリティ対策としては十分ではありません。

• また、Office 365 E5/A5のExchange Online Advanced Threat Protection ご利用の場合でもご相談をいだだきます。

SPAMメールが大量に来るように


対象： Exchange Online

APTs

Advanced Malware

WormsTrojan Horse

SPAM

Phishing


• SPAMメールのお悩みの解決策は、脅威情報のデータベースなどセキュリティインテリジェンスが豊富なOffice 365向けクラウドEメールセキュリティ対策の導入です。

• CiscoはEmailセキュリティにおいて、第三者機関から2018年もトップの評価を受けています。

業界トップのメールセキュリティで万全の防御


• さらにCisco Cloud Email Secuirtyなら、未知の脅威が万一検知されなくても、すり抜けたマルウェアを後追いで検知しなおし、自動的に受信ボックスから隔離します。このMailbox Auto Remediation機能により、クラウドならではの高度なゼロデイ対策が実現できます。


Eメールセキュリティ


本社

メールフロー

Exchangeオンラインメールボックス

CiscoデータセンターCES

外部送受信者

構成ステップ概要（ご参考）受信メールCESが提供する2つのMXレコードをDNSに登録送信メールEOP Admin Center上でOutbound Connectorsに、mx1.xxxx.iphmx.com/mx2.xxxx.iphmx.comを追加Transport Layer Security (TLS)を選択し、Validation Against Self-Signed Certificateを選択CESOffice365のドメイン:xxxx.onmicrosoft.comをRELAYLIST policyに追加

送信メール

受信メール

暗号メール

平文メール


Cisco Cloud Email Security (CES)Office 365 との連携フロー

Cisco® TalosSenderBase レピュテーションフィルタ

アンチスパム

アウトブレイクフィルター

リアルタイムURL分析

破棄

破棄/隔離

アンチウイルス破棄/隔離

高度なマルウェア防御 (AMP) 破棄

隔離/書き換え

配送隔離書き換え破棄

グレイメール検知（マーケティングメール）

書き換え

世界最大規模の脅威インテリジェンス Talos と連携し、Eメールを保

護


• もしゼロデイ攻撃により未知の脅威ファイルが配信された場合、脅威が判明し次第すぐにメールを受信ボックスから自動削除できます。

Cisco Cloud Email Security (CES)Mailbox Auto Remediation


Cisco Email SecurityのAMPエンジンは、ファイルが検出を免れてユーザのInboxに配信

されても、管理者に知らせるためにレトロスペクティブレポートとアラートを提供する事ができる。

この機能は、ユーザのInboxから関連するメッセージとマリシャスな添付ファイルを隔離するためにAPIコールを使ってOffice365 Cloudと相互通信するよう、CESの設定を可能にする。この自動化は、検出を免れたメッセージ添付ファイルの発見時に取るべき早いアクションを可能にする。

CiscoONLY


• Cisco Threat Analyser for Office365は、短期間で Cisco Email Securityの価値が検証できる無償のツール

• ツールは Microsoft O365 メールボックスに対して（オフラインで）アクセスを行い、お客様向けのレポートを生成

• お客様の Office 365 メール環境における SPAM、グレーメールおよびマルウェアに関しての価値ある脅威情報をご提供

• Cisco dCloudを利用

Cisco Cloud Email Security (CES)Cisco Threat Analyzer for Office 365 無償レポート


導入前に、Office 365＋CESのお試しツールを無償でご利用いただけます！

シスコセキュリティ - cisco.com · exchange online, sharepoint online, onedrive for...

Documents