株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第54回 ~Kaspersky Endpoint Security for CloudにおけるCloud Discovery機能の紹介~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。

今回はKaspersky Endpoint Security for Cloud (KESC) の機能の一つ、Cloud Discoveryを紹介いたします。
(Kaspersky Endpoint Security for Cloudについてはこちらの記事で紹介しております。)
この機能は、クラウドサービスの利用状況の統計を取ったり、特定のクラウドサービスへのアクセスをブロックすることができます
Microsoft365やBox、AWS、Azure等はもちろん、各種SNS、各種動画配信サービスの利用状況までわかってしまうという、使い方次第では社用PCで業務に関係ないサービスを利用していることを暴くことができる機能です。

今回の内容は以下の通りです。

今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●保護対象デバイス
 Windows 10
●保護製品
 Kaspersky Endpoint Security for Windows 11.6.0.394
●利用ライセンス
 Kaspersky Endpoint Security Cloud Plus

1. Kaspersky Endpoint Security for CloudにおけるCloud Discovery機能概要

Kaspersky Endpoint Security for Cloud (以降KESCと記載) におけるCloud Discovery機能は、主に以下の2つを提供します。

  • クラウドサービスの検出:KESCをインストールしたWindowsデバイス (個人用) で、使用されるクラウドサービスを監視し、統計を作成します。
  • クラウドサービスの制御:KESCをインストールしたWindows デバイス (個人用) において、セキュリティプロファイルでブロックと定義したサービスに対するアクセスをブロックします。

2021/11/22現在、クラウドの検出はKESCの無印ライセンスおよびPlusで利用でき、クラウドの制御についてはKESC Plusライセンスでのみ使用できます

クラウドベースのエンドポイントセキュリティ | カスペルスキー

f:id:networld-blog-post:20211124145818p:plain

クラウドの検出 及び クラウドの制御の対象となるサービスはあらかじめKESCで定義されています。
2021/11/22現在、カテゴリはSNS、ファイル共有、メッセンジャー、メール、その他の5個があり、合計776個のサービスが定義されています。
手動で任意のクラウドサービスを追加することはできませんが、追加のリクエストをメーカーに依頼することは可能です。

Cloud Discoveryは前述の通りクラウドの検出とクラウドの制御の2つの機能がありますが、これらを利用できるのはいわゆるクライアント系のWindowsOSのみであり、サーバー系WindowsOSでは利用できません
(この仕様を知らないで延々とWindows Server 2019で「あれ?ブロックされないなーなんでー???」と困りながら検証を続けていた私は一体…。)
詳しくはこちらのオンラインヘルプをご参照ください。

f:id:networld-blog-post:20211124145915p:plain

クラウドの検出で収集したクラウドサービス利用状況は、情報パネルに表示されています。

f:id:networld-blog-post:20211124145929p:plain

クラウドの検出で収集した情報は、定義済のレポートで出力することもできます。
また、レポートを定期的に作成しメールに添付して自動送信することも可能です。
下は弊社検証環境で作成した、クラウドサービスへのアクセス成功のPDFレポートです。
カテゴリ関係なくクラウドサービスの上位5位の棒グラフとアクセス数、各デバイスにおけるクラウドサービス利用状況の一覧表が内容に含まれています。
ブラウザからFacebookに173回接続…とかもバッチリ載っています。

f:id:networld-blog-post:20211124145943p:plain

クラウドの制御機能を用いて実際にTwitchへWebブラウザ (Edge) からアクセスを試行し、ブロックした場合は以下のような画面になります。

f:id:networld-blog-post:20211124190348p:plain

また、ブロックと設定したクラウドサービスに個別のアプリがある場合、この場合はそのアプリの起動自体をブロックする仕様となっているようです。
以下はTwitchのアプリの起動を試行した場合の画面です。
(なお、Twitchのアプリはスタートアップ起動がデフォルトになっていますが、これもブロックされました。)

f:id:networld-blog-post:20211124190408p:plain

概要は以上となります。
以降は実際にKESCでCloud Discovery機能を使う方法や設定する方法を紹介いたします。

2. Cloud Discovery (クラウドの検出) の使い方

ここではまずKESCライセンスであれば無印でもPlusでも利用できるクラウドの検出の使い方について紹介いたします。

2.1. 有効化

KESCのコンソールから[セキュリティ管理]>[セキュリティプロファイル]を開き、変更対象のプロファイル名をクリックします。
ここでは例として規定値のプロファイルを編集していきます。

f:id:networld-blog-post:20211124152436p:plain

[Windows]>[管理設定]>[Cloud Discovery]を開き、[Cloud Discovery] を有効化します。

f:id:networld-blog-post:20211124152452p:plain

なお、上の画面で「暗号化された接続のスキャンを有効にすることを推奨します」とありますが、これを有効にする場合は[Windows]>[詳細]>[脅威と除外]を開き、[暗号化された接続のスキャン] を有効化してください。
この設定は任意です。

f:id:networld-blog-post:20211124152506p:plain

[保存] をクリックします。

f:id:networld-blog-post:20211124152517p:plain

以上で有効化は完了です。

2.2. コンソールでの確認方法

Cloud Discoveryで検出したクラウドサービスへのアクセスは、[情報パネル]>[監視]タブから確認することができます。

f:id:networld-blog-post:20211124150137p:plain

この欄の統計はデフォルトでは過去30日間の情報が表示されています。
各カテゴリを選択すると、上位5つのサービスを一覧で表示することができます。

f:id:networld-blog-post:20211124150220p:plain

さらに具体的なサービス名をクリックすると、使用頻度が高いユーザーとデバイスを表示することができます。

f:id:networld-blog-post:20211124150235p:plain

2.3. レポート出力方法

続いてCloud Discovery (クラウドの検出) で検知したクラウドサービスへのアクセスをレポートにして出力する方法を紹介いたします。
KESCのコンソール画面の[情報パネル]>[レポート]タブを開きます。

f:id:networld-blog-post:20211124150307p:plain

[Cloud Discovery:クラウドサービスへのアクセスの成功] の [PDF] か [CSV] をクリックします。
ここでは例としてPDFをクリックします。

f:id:networld-blog-post:20211124150329p:plain

以下のように上位5位のサービスとその利用状況の棒グラフ、それから各デバイスとユーザーのクラウドサービスへのアクセス回数一覧がレポートされます。

f:id:networld-blog-post:20211124150341p:plain

定期的にレポートを自動生成しメールなどで通知したい場合は、[情報パネル]>[レポート]タブ>[レポート配信] をクリックします。

f:id:networld-blog-post:20211124150354p:plain

[+配信を追加] をクリックします。

f:id:networld-blog-post:20211124150405p:plain

配信を有効にします。
[配信名]、[差出人]、[件名]を任意に設定します。

f:id:networld-blog-post:20211124150416p:plain

「レポートがありません」と表示されている下の[設定…]をクリックします。

f:id:networld-blog-post:20211124150425p:plain

形式と言語を任意に設定します。
[Cloud Discovery : クラウドサービスへのアクセスの成功] にチェックを入れ、[OK] をクリックします。
なお、この時別のレポートも一緒に設定することができますので、必要なレポートがあれば任意でチェックを入れてください。

f:id:networld-blog-post:20211124150437p:plain

「受信者がいません」と表示されている下の[設定…]をクリックします。

f:id:networld-blog-post:20211124150448p:plain

受信者リストからレポートを送信したいメールアドレスにチェックを入れ、[OK]をクリックします。

f:id:networld-blog-post:20211124150459p:plain

「スケジュールがありません」と表示されている下の[設定…]をクリックします。

f:id:networld-blog-post:20211124150509p:plain

レポートを送信するスケジュールを設定します。
スケジュールは毎日、毎週、毎月を設定できます。
注意メッセージが出ている通り、同じレポートを1時間以内に2回配信する設定は避けてください。
[OK] をクリックします。

f:id:networld-blog-post:20211124150520p:plain

[適用する]をクリックします。

f:id:networld-blog-post:20211124150530p:plain

レポート設定一覧に先ほどの設定が表示されるようになります。

f:id:networld-blog-post:20211124150541p:plain

実際に送信されてくるメールは以下のようなものとなります。
レポートは添付ファイルとなっています。

f:id:networld-blog-post:20211124150551p:plain

3. Cloud Discovery (クラウドの制御) の使い方

ここではKESC Plusライセンスで利用できるクラウドの制御の使い方について紹介いたします。

3.1. 有効化 と 許可/ブロックのルール設定方法

クラウドの制御を有効化するには、KESCのコンソールから[セキュリティ管理]>[セキュリティプロファイル]を開き、変更対象のプロファイル名をクリックします。
ここでは例として規定値のプロファイルを編集していきます。

f:id:networld-blog-post:20211124150716p:plain

[Windows]>[管理設定]>[Cloud Discovery]を開き、[Cloud Discovery] を有効化します。

f:id:networld-blog-post:20211124150729p:plain

なお、上の画面で「暗号化された接続のスキャンを有効にすることを推奨します」とありますが、これを有効にする場合は[Windows]>[詳細]>[脅威と除外]を開き、[暗号化された接続のスキャン] を有効化してください。
この設定は任意です。

f:id:networld-blog-post:20211124150743p:plain

再び[Windows]>[管理設定]>[Cloud Discovery]を開き、具体的に各サービスの許可/ブロックを設定します。
デフォルトでは定義されているすべてのサービスが許可されています。
ここでは例としてTwitchをブロックする設定にし、[保存] をクリックします。

f:id:networld-blog-post:20211124150754p:plain

以上でクラウドの制御設定は完了です。

3.2. レポート出力方法

ここでは、Cloud Discovery (クラウドの制御) でのブロック状況をレポートする方法を紹介いたします。
KESCのコンソール画面の[情報パネル]>[レポート]タブを開きます。

f:id:networld-blog-post:20211124150847p:plain

[Cloud Discovery:クラウドサービスへのブロックされたアクセス試行] の [PDF] か [CSV] をクリックします。
ここでは例としてPDFをクリックします。

f:id:networld-blog-post:20211124150901p:plain

上位5位のサービスとその利用状況の棒グラフ、それから各デバイスとユーザーのクラウドサービスへのアクセス回数一覧がレポートされます。
(この環境ではTwitchしかブロックする設定になっていないため、棒グラフも1種類しか出力されていません。)

f:id:networld-blog-post:20211124174608p:plain

定期的にレポートを自動生成しメールなどで通知したい場合は、[情報パネル]>[レポート]タブ>[レポート配信] をクリックします。

f:id:networld-blog-post:20211124150950p:plain

[+配信を追加] をクリックします。

f:id:networld-blog-post:20211124151003p:plain

配信を有効にします。
[配信名]、[差出人]、[件名]を任意に設定します。

f:id:networld-blog-post:20211124151014p:plain

「レポートがありません」と表示されている下の[設定…]をクリックします。

f:id:networld-blog-post:20211124151025p:plain

形式と言語を任意に設定します。
[Cloud Discovery : クラウドサービスへのブロックされたアクセス試行] にチェックを入れ、[OK] をクリックします。
なお、この時別のレポートも一緒に設定することができますので、必要なレポートがあれば任意でチェックを入れてください。

f:id:networld-blog-post:20211124151037p:plain

「受信者がいません」と表示されている下の[設定…]をクリックします。

f:id:networld-blog-post:20211124151049p:plain

受信者リストからレポートを送信したいメールアドレスにチェックを入れ、[OK]をクリックします。

f:id:networld-blog-post:20211124191306p:plain

「スケジュールがありません」と表示されている下の[設定…]をクリックします。

f:id:networld-blog-post:20211124151112p:plain

レポートを送信するスケジュールを設定します。
スケジュールは毎日、毎週、毎月を設定できます。
注意メッセージが出ている通り、同じレポートを1時間以内に2回配信する設定は避けてください。
[OK] をクリックします。

f:id:networld-blog-post:20211124151125p:plain

[適用する]をクリックします。

f:id:networld-blog-post:20211124151136p:plain

レポート設定一覧に先ほどの設定が表示されるようになります。

f:id:networld-blog-post:20211124151147p:plain

実際に送信されてくるメールは以下のようなものとなります。
レポートは添付ファイルとなっています。

f:id:networld-blog-post:20211124175913p:plain

 

今回はKESCの機能 "Cloud Discovery" を紹介いたしました。
昨今の情勢でテレワークやリモートワークを導入なさっている会社も多いと思いますが、社外に持ち出されたデバイスで変なサービス利用してないか…などを簡単に調べることができます!
定義は全てKESC側に登録済み、任意のサービスだけブロックする設定も簡単、レポートもテンプレートがあるので、大変に使いやすい機能となっております
また、KESCは利用開始時から30日間は無料で KESC Plusライセンスを試用できます!
KESCをご検討の方はぜひ試用をしていただき、Cloud Discovery機能をお試しいただければと存じます。

この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

それでは次回の記事でお会いしましょう!