アカマイエンタープライズ脅威保護者の続報
SmartNews は、Akamai Enterprise Threat Protector (ETP) の新機能である「Enterprise Client Connector」のバージョンアップにより、社外ネットワーク環境下でも自動アップデートに対応し、DNS クエリを介したマルウェア対策が有効になることを検証しました。
キーポイント
社外ネットワークでの ETP 利用実現
Enterprise Client Connector を PC にインストールすることで、外部 DNS サーバではなく直接 ETP へクエリを送信し、テザリング環境下でも怪しいドメインへの通信をブロック可能になります。
自動アップデート機能の実装
旧バージョンの課題であった手動更新が解消され、バージョン 2.x で「On Demand」や「Force Upgrade」による管理画面からの自動アップデート機能が実装されました。
可視化と管理機能の強化
Client Connector を経由したクエリにより、ETP 管理画面で特定の PC から怪しいドメインへのアクセスが行われたかを特定可能になり、インストール状況も一元管理できるようになります。
怪しいURLの検出とPC名の紐付け
ETP管理画面では、検出された怪しいURLの一覧に該当するPC名が直接表示され、感染源の特定が容易になります。
Client Connectorの導入状況可視化
管理画面から、Client ConnectorをインストールしているPCのリストを一覧で確認でき、セキュリティ対策の適用範囲を把握できます。
影響分析・編集コメントを表示
影響分析
この記事は、クラウド型脅威対策ソリューションをオンプレミスや社外ネットワーク環境へ拡張する実用的な手法を示しており、リモートワークが定着した現代の企業セキュリティ運用において重要な知見を提供します。特に自動アップデート機能の実装により、セキュリティポリシーの適用漏れを防ぐ運用コストの削減に寄与すると考えられます。
編集コメント
セキュリティ対策ツールの導入事例として、単なる機能紹介ではなく「運用上の課題(手動更新)」と「解決策(自動アップデート)」の具体例が示されており、実務者にとって非常に参考になる内容です。
こんにちは、Corporate Engineering Teamの和田です。当社ではマルウェアやランサムウェアなどの対策として、Akamaiさんが提供する Enterprise Threat Protector (ETP)を昨年頭から導入しております。詳しくは、以前投稿した「Akamai Enterprise Threat Protector (ETP) を導入しました」をご覧ください。
ETP自体は、設定も手軽で非常に効果的な対策ではありますが、リモートワークや出張時などで社外のネットワークにPCを接続してしまうと、ETPの恩恵を受けることが出来ませんでした。それを解決するためにETPが持つEnterprise Client Connector(以下Client Connector)というソフトウェアがあります。このソフトウェアをPCにインストールすると、社外のネットワークからでもETPを使うことは出来るのですが、自己アップデートできないという課題があり、当社では導入に至っておりません。
しかし最近、このClient Connectorが2.xにバージョンアップし、この課題が解消されたとAkamaiさんからご紹介を受けましたので、改めて本当に社外のネットワークでもETPが利用できるのかを確認してみました。
Enterprise Client Connectorとは
ETPの管理画面からダウンロードすることができるソフトウェアで、PCに直接インストールして使います。これをPCにインストールすると、社外のネットワークに接続していても、そのネットワークで用意されているDNSサーバではなく、ETPに対して直接DNSクエリを投げるようになり、結果的に怪しいドメインへの通信をブロックできるようになります。
Client ConnectorをPCに入れると、そのPCが参照するDNSサーバのアドレスが127.0.0.1に書き換わります。つまりPCは、自分自身にDNSクエリを投げるようになります。自身に投げられたDNSクエリは、Client Connectorが受け取りETPへDNSクエリを投げます。この結果、どのネットワークに接続したとしても、PCはClient Connector経由で、必ずETPに対してDNSクエリを投げるという仕組みになります。実際にはもっと通信が発生していますが、以下のようなイメージとなります。
それでは実際に名前解決をしてみましょう。今回は社外ネットワークにいることを想定したテストを行うため、PCをauのスマートフォンにテザリングしています。実際にETPで検知された怪しいドメインを、digコマンドを使って問い合わせしてみます。
Client Connectorがない場合
auが用意しているDNSサーバからIPが普通に返って来ます。
Client Connectorがある場合
一見IPアドレスが普通に返ってきているように見えますが、返ってきたIPアドレスはAkamaiが用意したIPアドレスで、ETPがちゃんと効いています。
念の為ブラウザでもこのドメインを開いてみると、ETPの警告画面が出てきました。
このように社外であっても、怪しいドメインへの通信がETPによってブロックされることがわかりました。
このように便利なClient Connectorですが、以前のバージョンでは自動アップデート機能がありませんでした。これが出来なければ、もしPCにClient Connectorをインストールしても、バージョンアップするたびに全部手作業で入れ直しする必要があります。
今回バージョン2.xになったことで、この自動アップデート機能が実装され、管理画面からも「On Demand」や「Force Upgrade」といった、アップデート処理に関する項目が追加されていることが確認できました。
実際にどんな感じで自動アップデートされるのか確認したいところですが、次回のClient Connectorのバージョンアップの時にアップグレードの挙動を見てみたいと思います。
他にもClient Connectorを入れることで嬉しい効果が
ETPは、怪しいドメインのクエリが行われた件数は見ることが出来ますが、実際にどのPCから行われたかまでは通常は見ることが出来ません。しかしこのClient Connectorを通じて怪しいドメインをクエリすると、ETPの管理画面でどのPC名から行われたか表示されるようになります。
またETPの管理画面から、どのPCへClient Connectorをインストールしているか一覧で見ることが出来ます。(インストールされているClient Connectorのバージョンや状態も合わせて見えます)
※今回はテストでMacPCのClientConnectorを無効にしてみましたが、管理画面からもちゃんと無効になっていることが見て取れます。
まだしっかり検証できていませんが、このClient Connectorというソフトウェアはとても効果的なソフトウェアだと思います。ゆくゆくは社内の全PCへの展開を考えており、Client Connectorの自動アップデートも含めて引き続き検証していきたいと思います。
当社では多数のポジションで皆様のご連絡をお待ちしております。まずはカジュアル面談という形で、気軽に会社のことをお聞きいただくことも出来ますので、ご興味持たれた方はぜひご一報下さい。 https://smartnews.workable.com/
原文を表示
こんにちは、Corporate Engineering Teamの和田です。 当社ではマルウェアやランサムウェアなどの対策として、Akamaiさんが提供する Enterprise Threat Protector (ETP)を昨年頭から導入しております。 詳しくは、以前投稿した「Akamai Enterprise Threat Protector (ETP) を導入しました」をご覧ください。
ETP自体は、設定も手軽で非常に効果的な対策ではありますが、リモートワークや出張時などで社外のネットワークにPCを接続してしまうと、ETPの恩恵を受けることが出来ませんでした。 それを解決するためにETPが持つEnterprise Client Connector(以下Client Connector)というソフトウェアがあります。このソフトウェアをPCにインストールすると、社外のネットワークからでもETPを使うことは出来るのですが、自己アップデートできないという課題があり、当社では導入に至っておりません。
しかし最近、このClient Connectorが2.xにバージョンアップし、この課題が解消されたとAkamaiさんからご紹介を受けましたので、改めて本当に社外のネットワークでもETPが利用できるのかを確認してみました。
Enterprise Client Connectorとは
ETPの管理画面からダウンロードすることができるソフトウェアで、PCに直接インストールして使います。 これをPCにインストールすると、社外のネットワークに接続していても、そのネットワークで用意されているDNSサーバではなく、ETPに対して直接DNSクエリを投げるようになり、結果的に怪しいドメインへの通信をブロックできるようになります。
Client ConnectorをPCに入れると、そのPCが参照するDNSサーバのアドレスが127.0.0.1に書き換わります。つまりPCは、自分自身にDNSクエリを投げるようになります。 自身に投げられたDNSクエリは、Client Connectorが受け取りETPへDNSクエリを投げます。 この結果、どのネットワークに接続したとしても、PCはClient Connector経由で、必ずETPに対してDNSクエリを投げるという仕組みになります。 実際にはもっと通信が発生していますが、以下のようなイメージとなります。
それでは実際に名前解決をしてみましょう。 今回は社外ネットワークにいることを想定したテストを行うため、PCをauのスマートフォンにテザリングしています。 実際にETPで検知された怪しいドメインを、digコマンドを使って問い合わせしてみます。
Client Connectorがない場合
auが用意しているDNSサーバからIPが普通に返って来ます。
Client Connectorがある場合
一見IPアドレスが普通に返ってきているように見えますが、返ってきたIPアドレスはAkamaiが用意したIPアドレスで、ETPがちゃんと効いています。
念の為ブラウザでもこのドメインを開いてみると、ETPの警告画面が出てきました。
このように社外であっても、怪しいドメインへの通信がETPによってブロックされることがわかりました。
このように便利なClient Connectorですが、以前のバージョンでは自動アップデート機能がありませんでした。 これが出来なければ、もしPCにClient Connectorをインストールしても、バージョンアップするたびに全部手作業で入れ直しする必要があります。
今回バージョン2.xになったことで、この自動アップデート機能が実装され、管理画面からも「On Demand」や「Force Upgrade」といった、アップデート処理に関する項目が追加されていることが確認できました。
実際にどんな感じで自動アップデートされるのか確認したいところですが、次回のClient Connectorのバージョンアップの時にアップグレードの挙動を見てみたいと思います。
他にもClient Connectorを入れることで嬉しい効果が
ETPは、怪しいドメインのクエリが行われた件数は見ることが出来ますが、実際にどのPCから行われたかまでは通常は見ることが出来ません。しかしこのClient Connectorを通じて怪しいドメインをクエリすると、ETPの管理画面でどのPC名から行われたか表示されるようになります。
またETPの管理画面から、どのPCへClient Connectorをインストールしているか一覧で見ることが出来ます。(インストールされているClient Connectorのバージョンや状態も合わせて見えます)
※今回はテストでMacPCのClientConnectorを無効にしてみましたが、管理画面からもちゃんと無効になっていることが見て取れます。
まだしっかり検証できていませんが、このClient Connectorというソフトウェアはとても効果的なソフトウェアだと思います。ゆくゆくは社内の全PCへの展開を考えており、Client Connectorの自動アップデートも含めて引き続き検証していきたいと思います。
当社では多数のポジションで皆様のご連絡をお待ちしております。 まずはカジュアル面談という形で、気軽に会社のことをお聞きいただくことも出来ますので、ご興味持たれた方はぜひご一報下さい。 https://smartnews.workable.com/
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み