Post on 21-Sep-2020
McAfee Unified Cloud Edgeご紹介資料
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
※本資料に記載されている会社名、商品名は、各社の商標または登録商標です。
※本文および図表中では、商標表示(TM・®)は付記しておりません。
2020年6月株式会社富士通ソーシアルサイエンスラボラトリ
はじめに
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED1
クラウド時代に求められるネットワーク
業務システムSaaS利用へシフト
(Microsoft 365,Box,Salesforce,etc..)
社内サーバ IaaS利用へシフト(Amazon Web Services, Microsoft Azure,etc…)
ネットワーク ???
SaaS/IaaSの採用が急増している。ただし、ネットワークについては、“従来型のネットワークで対応しているケースがほとんど”である。
◼ 業務アプリケーション、社内サーバといったインフラ環境は徐々にクラウドへシフト。システムを検討する際に、まずはクラウドを考える「クラウドシフト」の流れが広がっている。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED2
リモートワーク検討時の課題
◼ リモートワーク検討時の課題
・ リモートワーク用インフラ設備の導入によるコストが増加する
・ リモートワークユーザの監視/管理が困難である
・ 無許可のクラウドサービスの利用されてしまう
・ ポリシーに違反するような利用の増加が懸念される
SaaS
シャドーIT
業務データ
VPN環境の導入/増強コストの増加
社内NWを経由しない通信はポリシーを適用できない
私用端末からのアクセスで情報漏洩のリスクが増加
管理できない無認可クラウドサービスの利用
◼ 働き方改革、事業継続性のため企業の”リモートワーク”の検討が加速。ただし、クラウド時代の最適なNWを実現するためには、クリアすべき課題は山積みである。課題解決のためにネットワークも”クラウドベース”での検討が求められる。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
社内
リモートワーク私用端末
社内NWVPN接続
課題1
課題2
課題3課題4
3
SASEという概念
◼ Gartnerが定義したSecure Access Service Edge(SASE)
◼ 安全で高速なクラウド導入を可能にするセキュリティフレームワーク
◼ 「ユーザとデバイスの両方がいつでもどこでもアプリケーション、データ、サービスに安全にクラウドアクセスできるようにする」• https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-sase.html
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
◼ ネットワークとネットワークセキュリティを単一のクラウドサービスで統合
•以下をサポート
✓DX
✓エッジコンピューティング
✓モバイルワーク
4
McAfee Unified Cloud Edge(UCE)
◼ McAfee社が保有する、クラウドに特化した3つのソリューションを統合
◼ McAfee Web Gateway Cloud Service(MWGCS)
• クラウドプロキシ製品
• Webフィルタリング機能
• アンチマルウェア機能
• SSL復号機能
◼ MVISION Cloud
• CASB製品
• シャドーITの統制
• SaaS利用の監視/制限
• IaaS環境監査と強化
◼ McAfee DLP
• DLP製品
• クラウドストレージ上の機密情報を発見
• ファイルの自動隔離
• 管理者へのアラート通知
MWGCSSWG
MVVISION CloudCASB
McAfee DLPData Loss Prevention
Unified Cloud Edge
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED5
UCEにて最適なネットワーク環境を提供
◼ ”クラウド時代”に適合した「クラウドネットワークセキュリティ」ソリューションである、UCEの導入によりあらゆる場所、ネットワーク環境からセキュリティを包括的に保護された環境を提供します。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
SaaS
シャドーIT
業務データ
社内
リモートワーク
私用端末
社内NW
UCE
社内外問わず安全なインターネット利用
シャドーITの検知
利用状況の把握
6
McAfeeUnified Cloud Edgeの概要
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED7
McAfee Unified Cloud Edgeの機能
◼URLフィルタリングホワイトリスト/ブラックリストによるフィルタリング
◼Webフィルタリングリスクレベル/カテゴリに応じたリアルタイムURLフィルタリング
◼アンチマルウェアWebアクセスに特化したアンチマルウェアエンジンにてスキャンを実施
◼レポーティングリアルタイムで詳細なレポートを出力
◼ SSLスキャンSSL通信に含まれる脅威を確実にブロック
◼DLP機密情報の漏えいを防止
◼クラウドアプリケーション制御機密情報の漏えいを防止
◼シャドーIT可視化機能機密情報の漏えいを防止
◼ McAfee Unified Cloud Edge(UCE)では、利用者のアクセスポイントを問わずクラウドサービス利用、Web閲覧等の様々なシーンにおいてセキュリティを確保します。
InternetSaaSIaaS
本社/自宅/海外拠点/工場etc..
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
UCE
8
Webフィルタリング機能
◼ Webコンテンツのアクセスコントロールを実現可能とするWebポリシーを活用し、企業・組織に応じて、容易なポリシー適用が可能です。
カテゴリ単位の制御Webアプリケーションリスト単位の制御
Internet
Unified CloudEdge
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED9
SSL復号機能
InternetUnified Cloud
EdgeSSL/TLS
SSL通信を復号し、中身を分析
◼ 暗号化されているトラフィックに隠された脅威を可視化するSSLスキャンを搭載してます。
高負荷がかかる復号&再暗号化処理を”クラウド側”で全て実施されます。パフォーマンスの影響を気にする必要なし。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED10
(ご参考)世の中のHTTPS通信の割合
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
◼ 近年、ウェブサイトのHTTPS化は着実に進んでいます。以下のグラフはGoogleのHTTPS暗号化に関するレポートです。
2019年3月、ChromeプラットフォームでのHTTPS通信が占める割合は約90%以上にも達しています。
[Google 全体における暗号化トラフィック]
出典: Google - HTTPS encryption on the web(2019年3月時点)https://transparencyreport.google.com/https/overview
HTTPS化が加速している状況の中、SSLスキャンは必須です。
11
レポーティング機能
◼ 企業・組織の利用状況をわかりやすく可視化します。ポリシーブロック数、ユーザー利用の多いサイト等の特定が容易に可能です。
マルウェアサイトのブロック数
Webアクセス数
クラウドサービス利用(Top10)
クラウドサービス利用-カテゴリ別(Top10)
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED12
アンチマルウェア機能
◼ マカフィー独自のGateway Anti-Malware(GAM)機能により、ゼロデイ攻撃の検知率を大幅に向上します。
既知のマルウェアをフィルタ
サンドボックス/リバースエンジニアリング(ゼロデイ)
リアルタイムのビヘイビアエミュレーション(ゼロデイ)
動的分析と静的分析
Gateway Anti-Malware
AV
.05ミリ秒以下
.08ミリ秒以下
8ミリ秒以下
5ミリ秒以下
90秒未満
(最大80%を検知) (最大19.5%を検知) (最大0.5%を検出)
※速度と検出率はテスト計算の結果です。実際の数値は組織ごとに異なります。
URLカテゴリ
URLレピュ
テーション
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED13
シャドーIT可視化機能
企業で利用しているサービス数
利用アプリの一覧表示
サービスのリスク評価
利用ユーザの人数
◼ 企業内で利用されているクラウドサービスを可視化する機能です。マカフィー独自の調査により、クラウドサービスを評価し、高リスクのサービスを特定することが可能です。
“リスク高”のアプリをブロック、などのポリシー制御も可能
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
1 2 3
4 5 6
7 8 9
リスク:低
リスク:中
リスク:高
14
クラウドサービス評価
◼ マカフィー独自の調査により、クラウドサービスを評価する機能です。サービス内容、リスクスコア、サービスの長所/短所を把握し、各サービスの安全性を確認することが可能です。
利用ユーザの人数
リスクスコア
サービスの長所・短所
(短所の例)・登録無しに誰でも使えてしまう・多要素認証に未対応・国際基準を満たしていない
アップローダ/ダウンロードデータ容量
サービス内容の説明
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED15
クラウドアプリケーション制御機能
◼ クラウドアプリケーション制御機能にてSaaS利用の監視・制限することが可能です。本機能では大きく分類し、DLP、脅威防御、モニタリング、といった3つの機能を提供しています。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
DLP機能
脅威防御機能
モニタリング機能
※Salesforce、Microsoft 365、Box、Slack、ServiceNow、Dropbox、Google Drive/Gmail向けにAPIを提供。
API連携
Internet
ユーザ
Microsoft 365
Salesforcebox
DropboxFor Business
slack
ServiceNow
クラウドサービス
Unified Cloud Edge
16
クラウドアプリケーション制御機能-DLP機能
◼ DLP機能により、機密情報を早期に発見します。さらに、自動隔離機能により、検知したファイルを自動で隔離し、情報漏えい対策を行うことが可能です。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
[MVISION Cloud-管理画面]
Salesforcebox
DropboxFor Business
slack
ServiceNow
ユーザ 管理者
①機密情報のアップロード
②ポリシー違反による検知
③ファイル自動隔離
④アラート通知
⑤「どんなファイルを」、「どのアプリで」、「どのユーザが行ったか」を確認。
Microsoft 365
Unified Cloud Edge
17
クラウドアプリケーション制御機能-脅威防御機能
◼ 独自の振舞い分析機能により、様々な脅威と思われる行動を常に監視しています。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
①乗っ取られたアカウント
データアップロードがいつもより多い いつもと異なる地域からアクセスが発生 急に違う地域からアクセスが発生
①不正使用 Salesforcebox
DropboxFor Business
slack
ServiceNow
管理者
②ユーザー行動の監視
③高リスクな行動を通知
Microsoft 365
Unified Cloud Edge
18
クラウドアプリケーション制御機能-モニタリング機能
ポリシー検知の内容
ポリシー違反ユーザーの特定
◼ SaaSの利用状況をグラフィカルに可視化し、ポリシー違反も早期に発見できます。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED19
UCEの導入目的
◼UCEを導入検討をされるご要望
◼社外に出た端末に対してもセキュアなインターネット利用を実現したい
◼プロキシをクラウドへ移行させたい
◼ リモートワーク端末もオフィスと同等レベルのセキュリティを担保したい
◼Microsoft 365,BoxなどのSaaSアプリ利用時のセキュリティを担保したい
◼利用ユーザー数が増えてもサイジングを必要としないような柔軟なサービスを導入したい
◼プロキシ装置、SSL復号装置、NWアンチウイルス製品など、乱雑化するアプライスを一つのサービスに集約したい
◼クラウドアプリケーション利用をきめ細やかに制御したいetc...
幅広いご要件に対して、柔軟に対応することが可能です
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED20
UCEの導入時の構成
Internet
◼ UCEの導入には、”MCP”と呼ばれる接続用エージェントを端末へインストールします。また、クラウドアプリケーション制御機能を利用する場合には、保護対象のSaaSと”API連携設定”を行います。
Webアクセス向けトラフィック クラウドサービス向けトラフィック
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED
UCE向けトラフィック
シャドーIT SaaS
MCP MCP MCP
API連携
接続用エージェントのインストール
保護対象SaaSのAPI連携設定
UCE
21
Unified Cloud Edgeのライセンス
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED22
ライセンス体系 UCEは下記の2パターンのライセンスで提供しています。
機能UCEB
UCE – BaseUCEA
UCE – Advanced
URLフィルタリング ⚫ ⚫
Webフィルタリング ⚫ ⚫
アンチマルウェア ⚫ ⚫
レポーティング機能 ⚫ ⚫
SSL復号機能 ⚫ ⚫
シャドーIT可視化機能 ⚫ ⚫
DLP機能 ⚫
クラウドアプリケーション制御 ⚫
補足
下記の機能を利用可・CASB Shadow・Web Gateway Cloud Service・McAfee Web Security Gateway Edition・Software and Gateway Anti-Malware・MCP・Content Security Reporter
UCE – Baseのすべてのコンポーネントに加えて、以下の機能を提供・DLP Endpoint・2.5 sanctionedアプリ for CASB(※)・ePO/MVISION ePO
※2.5 sanctionedアプリ:UCEA 1,000ライセンス保持している場合、2,500ユーザ分のSaaSアプリの制御が可能です。例:Microsoft 365/OneDrive/SharePoint 1,000ユーザ分、Teams 1,000ユーザ分、Box 500ユーザ分使用が可能。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED23
(ご参考)メーカー標準金額
Unified Cloud Edge Advanced
利用ユーザ数 1ユーザあたりの単価(年額)
5-250 9,477円251-1000 8,460円1001-2000 7,692円2001-5000 7,189円5001-10000 6,782円10001-+ 6,584円
利用ユーザ数 1ユーザあたりの単価(年額)
5-250 17,578円251-1000 15,471円1001-2000 13,923円2001-5000 12,949円5001-10000 12,170円10001-+ 11,807円
Unified Cloud Edge Base
※上記金額は2020年6月時点の金額となっております。メーカー都合により金額は変更される可能性がございます。
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED24
株 式 会 社 富 士 通 ソ ー シ ア ル サ イ エ ン ス ラ ボ ラ ト リ(富士通SSL)
https://www.fujitsu.com/jp/group/ssl/
E-mail:ssl-info@cs.jp.fujitsu.com
お問い合わせ
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED25
Copyright 2020 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED