みなさん、こんにちは。シトリックスのパートナーSE部の櫻井です。

複雑化するIT環境を利用する現代において、外部からの高度な攻撃や内部不正による情報漏洩リスクに対し、IT管理者には既存のセキュリティ対策から一歩進んだ対策をすることが求められています。

この記事では当社が提供するCitrix Analytics Serviceから、セキュリティ対策にフォーカスしたCitrix Analytics for Securityのご紹介をしたいと思います。今回の記事を作成にあたり、日本のCitrix ディストリビューターの株式会社ネットワールド様と共同検証を行い、その検証結果をもとにした情報をご提供させていただきます。

◆ なぜ、セキュリティ対策にCitrix Analytics が必要なのか?

リモートワークの活用が増える昨今、会社以外の環境で従業員が仕事をするようになったことで、管理者の目が届きにくくなるという意見が出ています。また、従業員が利用するリソースも、従来では社内にあるサーバーのアプリケーションやデータが中心でしたが、今ではクラウドストレージによるファイル共有や、SaaSアプリケーションの利用など、社外のリソースをインターネット経由で利用することが当たり前になってきています。従来のCitrixユーザーにおいても例外ではなく、オンプレミスに構築した仮想デスクトップ環境だけではなく、パブリッククラウド上の環境を併用して利用する、ハイブリット環境で運用するユーザーが最近増えています。

つまり様々なロケーションに分散するアプリケーションやデータを、様々な場所から、様々なデバイスでアクセスする状況において、外部からの攻撃や内部ユーザーの不正などのセキュリティリスクを発見、対策していくには従来の方法だけでは難しく、仮に実現できたとしてもコスト・時間がかかりすぎて現実的ではありません。

Citrix Analyticsソリューションを使うことで、企業や組織は、潜在的な脅威を検出して回避できるようになるほか、内部不正によるセキュリティインシデントが発生する前や、従業員が「仮想デスクトップの動作が遅い!」のようにパフォーマンスの問題をヘルプデスクに申告する前に、問題を察知して迅速に対処できるようになります。

◆ Citrix Analytics for Security のアーキテクチャと動作概要

Analytics for Securityは様々なCitrix製品(および一部のサードパーティ製品)から収集したログをもとに、ユーザーの行動を学習・分析、ポリシーに基づきリスクにつながる行動をしたユーザーに対し、自動アクションを実行します。

以下は製品のアーキテクチャと動作概要を示した図ですが、主要な要素について簡単に解説していきます。

データソース:

Citrix Analyticsが分析するデータ(ログ)を供給するクラウド及びオンプレミスの製品/サービスを指します。例えば仮想クライアント管理サービスのCitrix Virtual Apps and Desktops サービスや、クラウドストレージサービスのContent Collaboration、オンプレミス環境に配置したCitrix Gatewayなどがこれに該当します。

リスクインジケータ:

疑わしいと思われる、または組織にセキュリティ上の脅威をもたらす可能性のあるユーザーアクティビティを検知する指標・基準です。インジケータには定義済みの「デフォルトインジケータ」と、管理者が条件式を使用して作成する「カスタムインジケータ」があります。以下はカスタムインジケータの設定画面(一部)です。

ポリシー:

リスクインジケータとAnalyticsが自動実行するセキュリティアクション(ユーザーの仮想デスクトップセッションをログオフさせる、管理者へ通知する、など)の組み合わせです。簡単に言うと、「ユーザーのこういった行動をAnalyticsで検知したら、このアクションを実行する」という定義情報です。ポリシーの発動条件にはインジケータもしくは、後述の「リスクスコア」が使用可能です。また、複数の条件を組み合わせることも可能です。

さらに、ポリシーにはサービス開始時点で以下の6つのデフォルトポリシーが定義され、有効化されています。

  • 認証情報の不正利用の成功
  • データ流出の可能性
  • 不審な IP からの異常なアクセス
  • 異常な場所からの異常なアプリアクセス
  • 低リスクのユーザー-新しいIPからの初回アクセス
  • デバイスからの初回アクセス

タイムライン:

リスクインジケータにより検知されたユーザーのアクティビティ、およびAnalytics Serviceにより実行された自動アクション、管理者による手動アクションの履歴が表示されたユーザー毎のビューです。

リスクスコア:

システムより評価されるユーザーのリスクの総レベルです。リスクインジケータによってトリガーされるユーザーアクティビティによって上昇し、時間経過により徐々に下降します。(リスクスコアを上昇させるアクティビティが無い場合です)。クレジット会社がユーザーにつける信用スコアのようなもので、言い換えるとそのユーザーの潜在的な危険度を指します。リスクスコア毎のユーザー数は、Analyticsの管理画面のダッシュボードに表示され、ここから各ユーザーのタイムラインにアクセスし、より詳細な情報を確認できます。

ウォッチリスト:

簡単に言うと、「要注意/要監視ユーザー」のリストです。ポリシーで定義されたアクション「Add to watchlist」より自動的に追加されるか、管理者が手動でこのリストに追加することもできます。

———————————-

Citrix Analyticsの利点の一つは違反ユーザーに対するアクションの自動化を複雑な手順を必要とすることなく実現できることです。この機能を有効に活用するためには、

・どのようなログが取得できるのか

・ログ上のどのパラメータを検知対象とするのか

・検知後のアクションをどのように定義するのか

・アクション実行後の管理者の運用をどうすべきか

ということを踏まえて現実の課題への対応策を検討することになります。そのため、今までにご紹介してきた各機能の関連性について理解する必要があります。

とはいえ、今一つイメージがつきにくい部分もあるかと思いますので「どういったシチュエーションで利用できるのか?」といった一例として弊社の検証例をご紹介いたします。

◆ 検証内容

仮想デスクトップ一つとっても色々なセキュリティ製品が導入されているかと思いますが、Citrix Analyticsにはユーザーの使い方にフォーカスしているという点で設計にも特徴があります。その違いを実感して頂くために、今回の検証は一般的なセキュリティ上の課題に対して本製品がどのような対応策を提示できるのか、という課題を用意しました。

以下の結果からCitrix Analyticsの具体像が見えてくるかと思いますので、ぜひご確認ください。

シナリオ1:機密情報を持ち出しているユーザーを要注意人物として記録する

リモートワークを行ううえで情報の持出しをどこまで許可するのかは重要な課題でありますが、社外への公開資料も含め持出しを完全に制限してしまうと業務の生産性低下につながってしまいます。本シナリオに対するアプローチとして以下のようなポリシーを定義してみました。

条件:カスタムインジケータ「仮想デスクトップでドライブリダイレクト使用時に、特定の文字列を含むファイルがローカルPC側にダウンロードされた。」

アクション: Add to Watchlist(そのユーザーのウォッチリストへ追加する)

Analyticsではユーザーが特定の名称を付けたファイル(機密ファイルを想定)をローカルデバイスのドライブにダウンロードしたことを検知することができますので、上記のポリシーから「Confidential」を含んだファイルの持ち出しを検知するようにし、そのユーザーを要注意リストであるウォッチリストに自動的に追加することで運用ルールを守れているかどうか確認できるようにしました。

社内におけるファイルの命名ルールに依存するところはありますが、DLP(Data Loss Prevention) のようなサードパーティ製品を使わずに検知・確認ができる方法を容易な手段で導入することが可能です。

シナリオ2:海外からの不正アクセスを検知し、そのユーザーの動向を監視する

リモートワークにおいてはユーザーアカウントを乗っ取られるリスクも頭を悩ませる課題です。管理者の立場では全てのユーザーのアクセス状況を一つ一つ確認して把握するわけにもいきませんので、乗っ取られていたとしても問題が浮上するまでその事実を認識することが困難です。

本シナリオに対しては”異常なアクセスを検知する”という観点から国外からのアクセスを対象とした以下のポリシーを定義してみました。

条件:カスタムインジケータ「Citrix Virtual Desktopsのセッションを起動した接続元の国が日本以外であることを検知する」

アクション: Start Session Recording(そのユーザーのセッションを録画して保存する)

もし、国外からのアクセスがあった場合Analytics側のCVADログには「Country」パラメータが「Japan」以外の状態で上がってきます。このログがカスタムインジケータによって検知され、その状況をSession Recording Serviceに動画として保存することで不正なアクセスの監視を実現する環境を構成しました。その結果、事実として何が起こっていたのかを詳細に追うことが可能になり、かつ怪しいと思われるユーザーの挙動のみを録画することによって確認の手間を減らすことができます。

なお、実際のテストでは海外からのアクセスを模した状況を再現するため、パブリッククラウドの海外のリージョンに仮想マシンをプロビジョニングし、そのマシンから検証用のCitrix Virtual Apps and Desktops (CVAD)環境へ接続しています。

 ※AnalyticsによるSession Recordingの実行にはリソースロケーション側に録画用サーバー等のコンポーネントが必要となります。また、プロダクト版のCitrix Virtual Apps and Desktops 7環境のWorkspaceへの統合(Site Aggregation)が必要です。

シナリオ3:危険性の高いユーザーに仮想デスクトップを利用させない

Analyticsではユーザーがインジケータにて定義されたルールを破るごとにリスクスコアが上昇していきます。言い換えれば、リスクスコアが高いユーザーはシステムを利用するうえでルールが認識できていない、あるいはアカウントが乗っ取られて不正アクセスに利用されているといった判断をすることもでき、問題点がはっきりするまで利用を控えてもらうという運用が一つの対応として考えられます。

そのことを踏まえ、本シナリオに対しては以下のようなポリシーを構成しました。

条件:ユーザーのリスクスコアが80以上になったとき

アクション: User Log-off(そのユーザーのセッションをログオフさせる)

こちらは事前に定義された各インジケータによってリスクスコアが上昇した結果、80以上になったユーザーの仮想デスクトップセッションがAnalyticsによってログオフされるという内容です。

実装の結果ですが、想定通りの動作はするもののユーザーのアクティビティ検知からリスクスコア上昇、そしてログオフの実行までには若干のタイムラグが存在するということが分かりました。そこから、ユーザーログオフといった即時性が求められるアクションでは条件を検知が早くなるようにインジケータベースに変更した方がいいといった意見が出たり、その一方で思い通りの制御ができないのであれば、いっそログオフのようなユーザー業務に影響の出やすいアクションの自動化はやめて「Add to Watchlist」のアクションで一時的にリスクスコアが上昇したユーザーを要監視者リストに入れ、その要因をユーザーのタイムラインから確認・分析のうえ手動で制限をかけるような使い方が良いのでは、といった意見も検証チームから出てきました。

◆ 検証環境

今回使用した検証環境の概要図は以下のとおりです。こちらの環境はネットワールド様にて構築いただき、当社と共同でテストをさせていただきました。ご協力誠にありがとうございました!

今回の検証では、仮想デスクトップ/アプリケーションの配信コントロールをCitrix Cloudで行い、オンプレミス環境のVirtual Apps and Desktops環境を「Site Aggregation」機能で統合しています。また、Cloudとの接点となるCloud Connector、リモートアクセスのためのCitrix ADC、そしてセッション録画を行うSession Recording Serverをリソースロケーション側(オンプレミス)に設置しています。これらコンポーネントとCitrix Analytics Serviceが連携することで、ログの収集およびユーザーセッションに対する自動アクションを実現しています。

◆ まとめ

今回はCitrix Analytics Service for Security の機能、動作概要、シナリオに即した検証結果などをご紹介しました。Citrix Analyticsによるユーザーの行動分析はテレワークの拡大により目の届きにくくなりがちな状況などにおいて、潜在的なリスクに気付ける効果が期待できます。

さまざまなデータソースをサポートするCitrix Analyticsは、製品・サービスが出力するログによりユーザーの行動を分析、自動アクションが取れるため、高度なセキュリティ対応と管理者の負担軽減を両立します。

複数のサービスをデータソースとして活用することがもちろん望ましいですが、今回ご紹介した検証シナリオのようにCitrix Virtual Apps and Desktopsだけをデータソースとしても対応方法を検討することは可能ですので、仮想デスクトップ環境への追加のセキュリティ対策として、ぜひ、Citrix Analytics Serviceをご検討ください!

◆参考

Citrix Analytics 製品紹介 : https://www.citrix.com/ja-jp/analytics/

Citrix Analytics 技術ドキュメント:https://docs.citrix.com/ja-jp/citrix-analytics

本記事の執筆ならびに検証作業に関し、多大なご協力をいただきました株式会社ネットワールドの諌山様、目木様、鈴木様、岩見様、この場を借りてお礼を申し上げます。誠にありがとうございました。