Citrix Analytics for Security

継続的なリスク評価

ポータブルコンピューティングデバイスとインターネットの使用が増加すると、Citrix Workspace ユーザーは、ほぼすべての場所とデバイスから作業できます。この柔軟性の課題は、リモートアクセスは、データの漏洩、盗難、破壊行為、サービスの中断などのサイバー犯罪行為を通じて、機密データをセキュリティリスクにさらすことです。組織内の従業員もこの被害の一因になりそうです。

このようなリスクに対処する従来の方法には、多要素認証、ショートサインインセッションなどを実装する方法があります。これらのリスク評価方法では、より高いレベルのセキュリティが保証されますが、ユーザーの初期検証後の完全なセキュリティは提供されません。悪意のあるユーザーがネットワークへのアクセスに成功すると、組織に有害な機密データを悪用します。

セキュリティの側面を強化し、ユーザーエクスペリエンスを向上させるために、Citrix Analytics は継続的なリスク評価のソリューションを導入しています。このソリューションは、OR Citrix DaaS (以前のCitrix Virtual Apps and Desktopsサービス) Citrix Virtual Apps and Desktops を使用しているユーザーのリスクエクスポージャーが、初期段階で検証されたときと同じ状態を維持することで、外部のサイバー犯罪者と悪意のある内部関係者の両方からデータを保護します。ユーザーに毎回証明するよう要求する。このソリューションは、セッション中に危険なイベントを継続的に評価し、組織のリソースがさらに悪用されるのを防ぐためのアクションを自動的に適用することで実現されます。

継続的なリスク評価

使用例

Adam Maxwell というユーザーについて考えてみましょう。Adam Maxwell は、通常の動作に反する異常な場所からのサインイン試行が複数回失敗した後、初めてネットワークにアクセスできました。また、この場所はサイバー攻撃の実績があります。このシナリオでは、Adam のアカウントがさらに悪用されないように、直ちに行動を取る必要があります。アダムのアカウントをロックして、実行されたアクションについて彼に通知することができます。このアクションは、ユーザーのアカウントに一時的にサービスの中断を引き起こす可能性があります。ユーザーは、管理者に連絡してアカウントを復元できます。

Adam が新しいデバイスと新しい IP から初めてネットワークにアクセスした別のシナリオを考えてみましょう。アダムに連絡して、このアクティビティを特定しているかどうかを確認することができます。もしそうなら、アダムが自分の作業デバイスを変更し、ホームネットワークから作業している可能性があります。このアクティビティは、組織のセキュリティに害を及ぼすものではなく、無視してもかまいません。ただし、ユーザーがこのアクティビティを実行しなかった場合は、アカウントが侵害されている可能性があります。このシナリオでは、ユーザーのアカウントをロックして、それ以上の損害を防ぐことができます。

主な機能

継続的なリスク評価は、ポリシーと可視性ダッシュボードに関連する機能の一部を自動化します。

複数の条件をサポートする

ポリシーを作成または変更する場合、最大 4 つの条件を追加できます。条件には、デフォルトのリスク指標とカスタムリスク指標、ユーザーリスクスコア、またはその両方の組み合わせを含めることができます。

詳細については、「 ポリシーとは」を参照してください。

アクションを適用する前にユーザーに通知する

ユーザーのアカウントに適切なアクションを適用する前に、ユーザーに通知し、検出された異常なアクティビティの性質を評価できます。

詳細については、「 エンドユーザーへの応答をリクエストする」を参照してください。

アクションの適用後にユーザーに通知する

一部のアクティビティでは、アクションを適用する前にユーザーの応答を待っていると、ユーザーのアカウントと Organization のセキュリティが危険にさらされる可能性があります。このようなシナリオでは、異常なアクティビティを検出したときに中断アクションを適用し、ユーザーに同じことを通知できます。

詳細については、「 中断アクションを適用した後にユーザーに通知する」を参照してください。

強制モードと監視モード

要件に基づいて、ポリシーを強制モードまたは監視モードに設定できます。強制モードのポリシーは、ユーザーのアカウントに直接影響します。ただし、ポリシーを実装する前にポリシーの影響または結果を評価する場合は、ポリシーをモニタモードに設定できます。

詳細については、「 サポートされるモード」を参照してください。

アクセスダッシュボードとポリシーダッシュボードの可視化

Access Summary ダッシュボードを使用すると、ユーザーによるアクセスの試行回数に関する洞察を得ることができます。詳細については、「 アクセスの概要」を参照してください。

[ ポリシーとアクション ] ダッシュボードを使用すると、ユーザーアカウントに適用されているポリシーとアクションに関する洞察を得ることができます。詳細については、「 ポリシーとアクション」を参照してください。

既定のポリシー

Citrix Analytics には、 デフォルトでポリシーダッシュボードで有効になっている定義済みのポリシーが導入されています 。これらのポリシーは、事前定義された条件としてリスク指標とユーザーリスクスコアを使用して作成されます。グローバルアクションは、すべてのデフォルトポリシーに割り当てられます。

詳細については、「 ポリシーとは」を参照してください。

次のデフォルトポリシーを使用することも、要件に基づいて変更することもできます。

ポリシー名 条件 データソース アクション
認証情報の不正利用の成功 [過剰な認証失敗][疑わしいログオンリスク] インジケータがトリガーされたとき Citrix Gateway ユーザーのロック
データ流出の可能性 潜在的なデータ漏洩リスク指標がトリガーされたとき Citrix Virtual Apps and Desktopsおよび Citrix DaaS ユーザーのログオフ
疑わしいIPからの異常なアクセス 疑わしいログオン」および「疑わしい IP からのログオン 」リスク指標がトリガーされたとき Citrix Gateway ユーザーのロック
低リスクユーザー-新しい IP からの初回アクセス ゲートウェイ-リスクスコアが 70 未満のユーザーに対して、新しい IP リスク指標からの初回アクセスがトリガーされたとき Citrix Gateway エンドユーザーへの応答をリクエストする
デバイスからの初回アクセス CVAD-新しいデバイスリスク指標からの初回アクセスがトリガーされたとき Citrix Virtual Apps and Desktopsおよび Citrix DaaS エンドユーザーへの応答をリクエストする
通常の場所以外からの異常なアプリアクセス 異常なアプリケーションアクセス時間 (仮想/SaaS)および疑わしいログオンのリスク指標がトリガーされたとき Citrix Virtual Apps and Desktopsおよび Citrix DaaS、Citrix Gateway ユーザーのロック

[ 異常な場所からの異常なアプリアクセス ] ポリシーの場合、このリスク指標は非推奨であるため、[ アプリケーションアクセスの異常時間 (仮想/SaaS) ] 条件を満たすことができません。このポリシーの適用を続行する場合は、この条件を別のリスク指標で変更します。

継続的なリスク評価

この記事の概要