本記事の内容は、Cato Networks社の Avishay Zawoznik氏が投稿した以下のブログを元に日本語へ翻訳(意訳)し、再構成したものとなります。
はじめに
SSE、特にCASBを中心としたセキュリティソリューションで「約50,000以上のクラウドアプリケーションの検出が可能です」と謳われている事がよくありますが、本記事では、クラウドアプリケーションのセキュリティにおける”アプリケーション数”の重要性に対する疑問を呈し、アプリケーションの実際のトラフィックに焦点を当てた包括的なアプローチを提言するものとなります。
つまり、アプリケーション数だけでなく、トラフィックから見たアプリケーションのカバレッジ(Coverage=網羅率)に注目すべきであり、数が増えても必ずしもセキュリティ向上につながらないことを示唆しています。
CatoクラウドのCASBについては、以下の記事を参照ください。
各セキュリティベンダーは、クラウドアプリケーションやサービスを自動検出し、カテゴリ分類して、セキュリティリスク、コンプライアンス、サービス提供企業のステータスなどの属性を公開しています。
ユーザーは、アプリケーションのカテゴリと属性に基づいて、ファイアウォール、CASB、DLPポリシーの設定など、さまざまなセキュリティ対策を適用することができます。
そのため、アプリケーションの分類数、登録されているアプリケーション数が多ければ多いほど良いという結論はとても理にかなっているように思えます。
ちなみに、Catoクラウドでは、独自のACE(Application Credibility Engine)を用いてアプリケーション分類が行われています。
ACEのアプリケーションカタログ(App Catalog)には、2024年2月5日時点で10,352のアプリケーションが登録されています。
アプリケーションを数えるのをやめてカバレッジを考えるべき
まず、アプリケーションの数を数えるのをやめて、アプリケーションのカバレッジを考えるべきであるということです。
セキュリティベンダーが分類したアプリケーション数を議論しても、実際のトラフィックを考慮しなければ意味がありません。
10万のアプリケーションカタログを提供するベンダーと、一方で2千のアプリケーションカタログを提供するベンダーにおいて、両方のベンダーがカバーするのがともに同じ1千のアプリケーションであれば、提供している機能としては全く同じことです。
上の図で、左の円はセキュリティベンダーによって署名され、分類されたアプリケーションを表し、右の円は、顧客のネットワーク上の実際のアプリケーショントラフィックを表しています。
両方の交わった部分が、ユーザのアプリケーション適用(検出)数を表しています。
つまり、顧客のトラフィックに適用されるアプリケーションカタログです。
Catoは、一部のベンダーのようにカタログのアプリケーション数に重点を置くのではなくカバレッジを最大化することに重点を置いています。
クラウドベンダーとしてのデータ可視性により、Catoの調査チームは顧客ベース全体、または要求に応じて特定の顧客カテゴリー(地域、業種など)に対してアプリケーションのカバレッジを最適化することに力を入れています。
アプリケーション数とカバレッジの考察
アプリケーションのカバレッジに注目すると、やはり「より多くのアプリケーションを登録すれば、カバレッジはどんどん向上するのは?」という疑問が生じます。
アプリケーション数とカバレッジの関係を理解するために、Catoクラウド全体のトラフィックを1週間分収集し、分類されたトラフィックと分類されていないトラフィックを分析しました。
※アプリケーションカタログの観点から主な関心事であるクラウドアプリケーション保護のシナリオに焦点を当てるため、Catoのデータレイクから収集したHTTPのアウトバウンド・フローのトラフィックに基づいています。
その結果、
- 10 のアプリケーションが、トラフィックの 45.42%をカバー
- 100 のアプリケーションが、トラフィックの 81.6%をカバー
- 1000 のアプリケーションが、トラフィックの 95.58%をカバー
- 2000 のアプリケーションが、トラフィックの 96.41%をカバー
- 4000 のアプリケーションが、トラフィックの 96.72%をカバー
- 9000 のアプリケーションが、トラフィックの 96.78%をカバー
Catoのアプリケーションカタログに最後(4000→9000)に追加された5000のアプリケーションは、総カバレッジの+0.06%しか貢献していないことが判明しました。
つまり、アプリケーションを追加していくとカバレッジは増えるが、カバレッジの伸び率は次第に低下していきます。
Catoクラウドが、9000 のアプリケーションだけで 96.78%という高いカバレッジとなっているのは、実際の顧客トラフィックで見られたアプリケーションを、カバレッジへの貢献度に応じて優先的に分類する体系的なアプローチを行っている結果です。
※2024年2月5日時点では10,352のアプリケーションが登録されています。
次に、Catoクラウドの総カバレッジよりもさらに踏み込んで、同様の手法でアカウントごとのカバレッジも調査しています。
Catoの顧客アカウントにおいて、
- 91%のアカウントが、90%(またはそれ以上)のカバレッジ
- 82%のアカウントが、95%(またはそれ以上)のカバレッジ
- 77%のアカウントが、96%(またはそれ以上)のカバレッジ
カバレッジは、Catoクラウドのカバレッジに過ぎませんが、顧客設定とは無関係です。
Catoの新規顧客であれば、トラフィックの90%が分類される確率は91%という結論になります。図に表すと、次のようになります。
アプリケーション数は、マーケットにとって非常に分りやすい簡単な指標ですが、アプリケーションのカバレッジこそが真の価値です。
ピカピカのアプリケーションカタログを見せびらかしてもらった後、実際にそのベンダにアプリケーションのトラフィックの何パーセントを分類できているか聞いてみてはどうでしょうか?(96%以上でしょうか?)
ちなみに、Catoクラウドでは、CASBをご契約のお客様のカバレッジが93%以上(未分類7%未満)になるように管理されています。
カバレッジ100%はあり得るか
次の疑問は「100%のアプリケーションのカバレッジは可能か?」です。
Catoクラウド上の1週間のトラフィックを注意深く調査し、現在Catoのアプリやカテゴリーに分類されていないトラフィックに焦点を当てました。アプリケーションを分類するために何が必要かを知るために、このトラフィックを(完全なサブドメインではなく)セカンドレベルドメインで分類しました。
つまり、Catoクラウドの96.78%カバー率の残り3.22%について、さらに詳細な分析を行った結果、トラフィックの0.88%はドメイン名を示していないことがわかりました。これはIPアドレスからの直接アクセスが原因です。
3.22%の残りの2.34%については、318万個の異なるセカンドレベルドメインにまたがっており、そのうち312万個は、5個未満のクライアントIP、または単一のCatoアカウントで発見されました。
このことから、未分類のトラフィックには、常にロングテールが存在することがわかりました。
セキュリティベンダーとして、このことが「100%のカバレッジ率」を達成することを不可能にしていることが分かりました。
つまり、カバレッジを100%にすることは不可能ということになります。
未分類(Unclassified)への対応について
ごくわずかなカバレッジを得るために、より多くのアプリケーションを分類することは、セキュリティの観点でも意味がありません。
ベンダーと顧客の両方に対して、未分類のトラフィックを追いかけるのではなく、未署名のアプリのロングテールを適切なセキュリティ緩和策で処理する必要があることをCatoクラウドでは提案します。
悪意のあるトラフィック(Malicious traffic)からの保護
C&Cサーバーとの通信、フィッシングサイトへのアクセス、マルウェア配信サイトなどの悪意のあるトラフィックの保護は、アプリケーションの分類がなくても保護を行う必要があります。
Catoでは、マルウェア保護とIPSは、アプリケーション分類から完全に独立しているため、ターゲットサイトが既知のアプリとして分類されていなくても保護されます。
シャドーITアプリ(認可されていないアプリケーション)への不正アクセスには、以下のような対策が必要です。
完全な可視性の確保
アプリケーション分類の有無にかかわらず、すべてのトラフィックを可視化することができます。
Catoのユーザーは、トラフィックがアプリ/カテゴリに分類されているかどうかにかかわらず、あらゆるアクティビティを監視するように選択できます。
データ損失防止(DLP)
未認可のクラウドストレージやファイル共有サービスを使用すると、機密データが社外に流出する可能性があります。
Catoは、アプリの分類に関係なく、すべてのHTTPトラフィックをDLPスキャンする機能を導入しました。
一般的には、未知のクラウドサービスに対してより制限的なポリシーを設定するためにこの機能を使用することをお勧めします。
カスタムアプリ検出
この機能は、Catoによって分類されていないアプリケーションの追跡を改善するために、トラフィックを追跡し、顧客ごとにアプリケーション分類する機能を導入しています。
リモートブラウザ分離(RBI)
アプリ/カテゴリに分類されていない「Uncategorized(未分類)」および「Unknown(不明)」となるサイトは、エンドユーザのデバイスで直接アクセスさせるのではなく、Catoクラウド上の仮想マシンからアクセスを行い、その画面情報をエンドユーザへストリーミングするRBI機能があります。
まとめ
クラウドアプリケーションのセキュリティ強度の指標として、アプリ・カタログのアプリケーション数に固執することが無意味であることを解説しました。
アプリケーション数の増加によるリターンの減少は、多ければ多いほど良いという一般的な考え方に疑問を投げかけるものです。
クラウドアプリケーションセキュリティを評価し、最適化するための重要な軸として、より意味のある指標であるカバレッジの採用がトレンドになっています。
効果的なセキュリティ戦略は、アプリの分類にとどまらず、完全な100%のカバレッジは実現不可能であることを認識する必要があります。
つまり、アプリケーション分類だけではなく、IPSやDLP、RBIなどの他のソリューションを適切に組み合わせることでセキュリティリスクを軽減し、アプリケーションのロングテールをカバーするギャップに対処する必要があります。
クラウドアプリケーションセキュリティの複雑な状況をナビゲートするには、適切なメトリクスと適切なセキュリティコントロールを組み合わせた微妙なアプローチが、包括的で適応性のある保護を確保するために最も重要になります。