こんにちは!SCSKセキュリティのふくしまです。
今回はCisco Secure Accessについて紹介します。
VPNaaS、DEM、AI Guardrails、Duo連携といった特長のある機能を中心に整理していきます。
はじめに
近年、リモートワークの定着やクラウド・SaaS利用の拡大により、
従来の境界型セキュリティでは社内の重要データを守りながら業務を円滑に進めることが難しくなっています。
こうした課題に対するアプローチとして注目されているのが「SSE(Security Service Edge)」です。
SSEは、クラウド上でセキュリティ機能を提供し、ユーザのアクセス先に応じたポリシー制御を行うことで、
場所に依存しない安全なアクセス制御を実現します。
本記事では、Ciscoが提供するSSEソリューションである Cisco Secure Access について、主要機能や特長を中心に整理します。
Cisco Secure Accessとは
Cisco Secure Accessは、クラウドサービスとして提供されるSSEプラットフォームであり、
ユーザのインターネットアクセスおよびプライベートアクセスを統合的に保護します。
SWG、CASB/DLP、ZTNA、FWaaS などのSSEのコア機能に加え、以下のような特長的な機能も単一サブスクリプション内で提供されます。
- クラウド型VPNサービス (VPNaaS)
- Digital Experience Monitoring (DEM)
- DLP AI Guardrails (AI Access機能の1つ)
- Duo for Cisco Applications
これらを単一プラットフォームで提供することで、ポリシーや管理を一元化し、一貫したセキュリティ制御を実現できます。
特長的な機能
ここからは、前章でピックアップした4つの機能を対象に、それぞれの特長や活用例について紹介します。
クラウド型VPNサービス (VPNaaS)
まず、1つ目の機能としてクラウド型VPNサービス(VPNaaS)について解説します。
VPNaaSは、従来のオンプレミスVPNと比較すると以下の特徴があります。
- 利用規模に応じて柔軟に拡張できるスケーラビリティを提供
- VPN装置をインターネットに公開せず、アクセス経路をCisco Secure Accessに集約することで、外部からの侵害リスクを低減
- クラウドサービスとして提供されるため、プラットフォームのメンテナンスが不要
さらに、ZTNAと併用することも可能で、アプリケーション特性に応じて使い分けながら、段階的なZTNA移行を実現できます。
Digital Experience Monitoring (DEM)
次に、2つ目の機能であるDigital Experience Monitoring(DEM)について解説します。
Cisco Secure Accessでは「Experience Insights」という名称で提供されます。
ThousandEyesと統合することで、クライアント端末からアプリケーションまでのエンドツーエンドで、パフォーマンスやユーザアクセスを可視化します。
ThousandEyes Endpoint エージェントはSecure Clientのモジュールの一つとして提供されます。
簡単に活用例をご紹介します。
- アクセス問題のボトルネックを特定
端末(Agent)からアプリケーションまでの経路を可視化し、どの区間でパフォーマンスの問題が発生しているかを特定できます。
- エンドポイントのパフォーマンスを可視化
端末ごとのCPUやメモリ、ネットワーク状態などの指標を一覧で確認でき、どの端末で問題が発生しているかを把握できます。
- 主要なSaaSアプリケーションのパフォーマンスを可視化
AWSやMicrosoft 365など、20の主要なSaaSアプリケーションのステータスや応答時間をリアルタイムに確認できます。
これらを活用することで、アクセス問題のボトルネックを迅速に特定し、
効率的なトラブルシューティングを通じてユーザ体験の向上につなげることができます。
DLP AI Guardrails
続いて、3つ目の機能であるDLP AI Guardrailsについて解説します。
Cisco Secure Accessでは、従来のDLP機能に加え、AI利用を前提とした「AI Guardrails」機能が提供されています。
本機能は、ChatGPTやCopilotなどの生成AIに対するユーザの入力内容(プロンプト)および出力内容(レスポンス)を解析し、
機密情報の漏えいや不適切な利用を防止するポリシー制御を実現します。
AI Guardrailsでは、以下のようなAI向けのデータ分類定義がビルトインで用意されており、
追加のチューニングなしにAI利用の保護を開始できます。
- Privacy Guardrails:クレジットカード番号、電話番号、メールアドレスなどの個人情報を検出・保護
- Safety Guardrails:ハラスメントやヘイトスピーチなどの有害コンテンツを検出・制御
- Security Guardrails:プロンプトインジェクションや悪意のあるコード実行などのセキュリティ脅威を検出・防御
実際にプロンプトやレスポンスをブロックする例を紹介します。
- プロンプトのブロック例
以下のように、プロンプトインジェクションとみなされるユーザ入力をブロックします。
ブロック時にはログが記録され、検出された理由(Prompt Injection)や、ブロック対象の内容を確認することができます。
- レスポンスのブロック例
以下のように、レスポンスにプライバシー情報が含まれる場合、レスポンスがブロックされます。
ブロック時にはログが記録され、検出された理由(Email Address)や、ブロック対象の内容を確認することができます。
このように、従来のパターンマッチング中心のDLPとは異なり、入力内容の文脈や意図を考慮した制御が可能な点が大きな特徴です。
Duo for Cisco Applications
最後に、4つ目の機能であるDuo for Cisco Applicationsについて解説します。
Cisco Secure Accessのライセンスには、アイデンティティセキュリティソリューションである Cisco Duo が標準で含まれており、
追加コストなしで認証セキュリティを強化することができます。
Cisco Duoの詳細な提供範囲は以下の通りです。
- 提供されるライセンス:Duo Essentials
- 利用可能範囲:購入したSecure Accessのユーザ数上限まで
- 保護対象:Cisco Secure Accessを含むCiscoアプリケーションのみ
Ciscoアプリケーション以外の保護を目的とした利用は、別途Duoライセンスの購入が必要となります。
Cisco Duoにより、Cisco Secure Accessの認証を保護し、安全なアクセスを実現します。
Cisco Duoの概要については、別記事で詳しく解説予定ですので、あわせてご参照ください。
まとめ
ここまで、Cisco Secure Accessの特長的な機能についてピックアップして紹介しました。
これらの機能を単一プラットフォーム上で統合することで、
場所やアクセス経路に依存しない、一貫したセキュリティ制御を実現できます。
従来のネットワーク境界を前提としたセキュリティモデルから、
アイデンティティやコンテキストに基づく制御へ移行していく中で、
Cisco Secure Accessは現実的かつ段階的なアプローチを提供するソリューションと言えます。
今後の執筆予定
今後は、検証結果や設計観点を踏まえた実践的な内容として、以下のテーマを中心に順次発信していく予定です。
- Cisco Secure Accessの各機能の詳細解説(VPNaaS / ZTNA / DEM など)
- 実際に検証してみた結果の整理
- 設計・運用に役立つTIPSや考慮点
次回予告
次回は、AI Access機能について取り上げる予定です。
実際の検証結果をもとに、どのようなシナリオで活用できるのか、また運用上どのような効果が期待できるのかを整理していきます。
Cisco Secure Accessの活用をより深く理解するための内容としてお届けしますので、ぜひ引き続きご覧ください。