社内LANやSaaSへのアクセスを制御するクラウド型ゲートウェイ「BlackBerry Gateway」

[ 新製品・サービス ] 社内LANやSaaSへのアクセスを制御するクラウド型ゲートウェイ「BlackBerry Gateway」 2021年8月27日(金) 日川 佳三(IT Leaders編集部) BlackBerry Japanは2021年8月27日、セキュリティゲートウェイサービス「BlackBerry Gateway」を発表した。社内LANへのアクセスやSaaSへのアクセスを仲介するアクセス仲介ゲートウェイを、クラウドサービスとして提供する。テレワーク環境のセキュリティを確保する狙いがある。価格はオープン。  

Source: 社内LANやSaaSへのアクセスを制御するクラウド型ゲートウェイ「BlackBerry Gateway」 | IT Leaders

カナダのBlackBerryは、マシンラーニング(機械学習)によるマルウェア検出ソフトウェアを手がける米Cylanceを買収し、EDR(エンドポイントによる検知と対処)などのエンドポイント向けセキュリティ製品群を提供している。今回、足りなかったピースとして、ネットワーク上でセキュリティを担保するゲートウェイサービス「BlackBerry Gateway」を用意した(図1)。図1:エンドポイント向けのセキュリティ製品群に加えて、新たにネットワーク上でセキュリティを確保する「BlackBerry Gateway」を用意した(出典:BlackBerry Japan)
拡大画像表示

図1:エンドポイント向けのセキュリティ製品群に加えて、新たにネットワーク上でセキュリティを確保する「BlackBerry Gateway」を用意した(出典:BlackBerry Japan)

 BlackBerry Gatewayは、クラウド型のネットワークゲートウェイである。専用のエージェントソフトウェアを導入したクライアント(記事執筆現在はWindows/Mac、次期版でiOS/AndroidとLinuxを追加)が、BlackBerry Gatewayを介して社内LANやSaaSなどにアクセスする形になる(図2)。仲介するプロトコルに制約はなく、WebシステムやC/Sシステムなど各種のアプリケーションを仲介できる。図2:BlackBerry Gatewayのネットワークアーキテクチャ(出典:BlackBerry Japan)
拡大画像表示

図2:BlackBerry Gatewayのネットワークアーキテクチャ(出典:BlackBerry Japan)

 クラウドを介して社内LANにアクセスするための仕掛けとして、社内LAN上のLinuxサーバーにインストールするクラウド接続ソフトウェア「Gateway Connector」を用意している(図3)。Gateway Connectorからクラウド上のBlackBerry Gatewayに対してアウトバウンド接続して張ったネットワークコネクションをトンネルとして利用し、社外から社内にアクセスする。図3:社内LANからクラウドに張ったコネクションを利用して社外から社内LANにアクセスできるように、クラウド接続ソフトウェア「Gateway Connector」を用意している(出典:BlackBerry Japan)
拡大画像表示

図3:社内LANからクラウドに張ったコネクションを利用して社外から社内LANにアクセスできるように、クラウド接続ソフトウェア「Gateway Connector」を用意している(出典:BlackBerry Japan)

ネットワーク上の振る舞いを基にアクセスを制御

 BlackBerry Gateway上では、ネットワーク上の振る舞いに応じてアクセスを制御できる(図4)。デバイスの健全性、ユーザーの行動、ネットワークやアプリケーションのアクセスパターンなど、複数の要素に基づいてアクセスを制御する。ネットワークパケットを解読することなく、AIを活用してネットワークの脅威を検知する。図4:BlackBerry Gatewayのセキュリティ機能(出典:BlackBerry Japan)
拡大画像表示

図4:BlackBerry Gatewayのセキュリティ機能(出典:BlackBerry Japan)

 悪意のあるインターネット接続先のリストを、マシンラーニング(機械学習)、IPレピュテーション、リスクスコアリングなどを使って常に更新する。また、マシンラーニングを用いて、ユーザーのネットワーク利用パターンが過去の行動と一致しない場合に、ネットワークアクセス制御ポリシーを動的に上書きし、接続をブロックする。

 BlackBerry GatewayからSaaSにアクセスする際のソースIPアドレスを固定できるので、SaaS側でのアクセス制御に利用できる。BlackBerry Gateway以外の接続元からのアクセスを一律ブロックすることで、BlackBerry Gatewayの利用を強制できる。また、エージェントソフトウェアとの連携により、特定のサイトについてはBlackBerry Gatewayを経由せずに直接インターネット上のリソースにアクセスさせられる。

Leave a Reply