ゼロトラストを実現するMFAやSSOなどの機能と
ID情報を狙うサイバー攻撃の検知と対応
Cisco Duo
シスコシステムズ
ゼロトラストを段階的に進めたい企業、リモートワークが常態化している企業、SaaSを多用する企業にとって、ID管理とアクセス制御の強化は避けて通れない。共有IDやパスワード運用を続ける環境では、情報漏えいのリスクが高まり、ユーザーごとの正確なアクセス履歴の把握も困難になる。また、デバイスの健全性やリスク状況を可視化できなければ、攻撃者による不正アクセスを見逃す危険も生じる。こうした課題に応えるのが、シスコシステムズが提供するクラウドサービス「Cisco Duo」だ。
MFA疲労攻撃にも対応
「Cisco Duo」は、クラウド上でアカウント管理・認証を行う統合基盤「Identity and Access Management」(IAM)だ。ゼロトラスト時代のサイバーセキュリティを実現するさまざまな機能を備えている。その一つとして、多要素認証(MFA:Multi-Factor Authentication)が挙げられる。多要素認証ではIDやパスワードに加え、指紋・顔などの生体認証、ハードウェアトークン、FIDO U2F、SMSや電話を使ったパスコード認証など、幅広い方式をサポートする。一方で、攻撃者も多要素認証に対応してきている。中でも正規ユーザーのデバイスにプッシュ通知を送り続け、誤って承認させる「MFA疲労攻撃」が課題となっている。Cisco Duoはこの対策として、認証アプリ「Duo Mobile」によるプッシュ通知認証でコード確認を追加できる仕組みを備える。不審な通知への反応を未然に防げるのだ。 Cisco Duoでは、デバイスのOS、Webブラウザー、暗号化やファイアウォールの有無、所有者といった情報を可視化できる。ユーザーのOSのバージョンが古いなど、セキュリティの健全性が低い場合には、アクセスを拒否するだけでなく、ユーザー自身で対処する方法を通知可能だ。情報システム部門の負担を減らしつつ、組織全体のセキュリティを強化できる。さらに、ユーザーとデバイスの信頼性を確立しながら、どこからでも安全に企業の情報資産へアクセス可能な環境を提供する「ISPM」(Identity Security Policy Manager)と、ID情報を狙う攻撃の検知と対処を行う「Identity Threat Detection and Response」(ITDR)を備える。
ダッシュボードではOSのバージョンなどデバイスに関するさまざまな情報を把握できる。
ゼロトラストを支える認証基盤
ゼロトラストの実現には、ユーザーのIDを基点とした強固な認証基盤が不可欠だ。Cisco Duoは、MFAとシングルサインオンを組み合わせ、クラウドおよびオンプレミスアプリへの安全なアクセスを実現する認証基盤を提供する。ユーザーは専用ポータル「Duo Central」から業務アプリにアクセスでき、一度の認証で登録済みのサービスへシームレスにサインオン可能だ。ユーザーの利便性を維持しつつ、企業全体で統一された認証ポリシーを適用できる。
また、IDを中心としたアクセス制御を導入することで、VPN中心の境界型セキュリティから、ユーザーとアプリ単位でアクセスを制御するゼロトラストモデルへの移行を段階的に進められる。さらに「Cisco Secure Access」と組み合わせることで、ユーザーのアクセス状況やデバイス状態などのコンテキストを考慮した認証ポリシーを適用し、より高度なゼロトラストアクセス制御を行える。Cisco Duoは、ゼロトラストを実現するための第一歩となる認証基盤として、企業のセキュリティ強化とユーザー体験の両立を支える。
Cisco Duoは、1ライセンスから導入できる。大規模組織に限らず、小規模チームや特定部門にも提案を行える製品だ。