こんにちは、Corporate Engineering Teamの和田です。 当社ではマルウェアやランサムウェアなどの対策として、Akamaiさんが提供する Enterprise Threat Protector (ETP)を昨年頭から導入しております。 詳しくは、以前投稿した「Akamai Enterprise Threat Protector (ETP) を導入しました」をご覧ください。

ETP自体は、設定も手軽で非常に効果的な対策ではありますが、リモートワークや出張時などで社外のネットワークにPCを接続してしまうと、ETPの恩恵を受けることが出来ませんでした。 それを解決するためにETPが持つEnterprise Client Connector(以下Client Connector)というソフトウェアがあります。このソフトウェアをPCにインストールすると、社外のネットワークからでもETPを使うことは出来るのですが、自己アップデートできないという課題があり、当社では導入に至っておりません。

しかし最近、このClient Connectorが2.xにバージョンアップし、この課題が解消されたとAkamaiさんからご紹介を受けましたので、改めて本当に社外のネットワークでもETPが利用できるのかを確認してみました。

Enterprise Client Connectorとは

ETPの管理画面からダウンロードすることができるソフトウェアで、PCに直接インストールして使います。 これをPCにインストールすると、社外のネットワークに接続していても、そのネットワークで用意されているDNSサーバではなく、ETPに対して直接DNSクエリを投げるようになり、結果的に怪しいドメインへの通信をブロックできるようになります。

実際の仕組み

Client ConnectorをPCに入れると、そのPCが参照するDNSサーバのアドレスが127.0.0.1に書き換わります。つまりPCは、自分自身にDNSクエリを投げるようになります。 自身に投げられたDNSクエリは、Client Connectorが受け取りETPへDNSクエリを投げます。 この結果、どのネットワークに接続したとしても、PCはClient Connector経由で、必ずETPに対してDNSクエリを投げるという仕組みになります。 実際にはもっと通信が発生していますが、以下のようなイメージとなります。

Client Connectorを通じたDNSクエリの流れ

Client Connectorを入れた後のDNSサーバのアドレス

名前解決をしてみる

それでは実際に名前解決をしてみましょう。 今回は社外ネットワークにいることを想定したテストを行うため、PCをauのスマートフォンにテザリングしています。 実際にETPで検知された怪しいドメインを、digコマンドを使って問い合わせしてみます。

Client Connectorがない場合

auが用意しているDNSサーバからIPが普通に返って来ます。

auのDNSサーバからの回答

Client Connectorがある場合

一見IPアドレスが普通に返ってきているように見えますが、返ってきたIPアドレスはAkamaiが用意したIPアドレスで、ETPがちゃんと効いています。

ETPからの回答

念の為ブラウザでもこのドメインを開いてみると、ETPの警告画面が出てきました。

ブラウザ上で表示されたETPの警告画面

このように社外であっても、怪しいドメインへの通信がETPによってブロックされることがわかりました。

課題だったこと

このように便利なClient Connectorですが、以前のバージョンでは自動アップデート機能がありませんでした。 これが出来なければ、もしPCにClient Connectorをインストールしても、バージョンアップするたびに全部手作業で入れ直しする必要があります。

今回バージョン2.xになったことで、この自動アップデート機能が実装され、管理画面からも「On Demand」や「Force Upgrade」といった、アップデート処理に関する項目が追加されていることが確認できました。

新たに追加されたClient Connectorのアップデート管理項目

実際にどんな感じで自動アップデートされるのか確認したいところですが、次回のClient Connectorのバージョンアップの時にアップグレードの挙動を見てみたいと思います。

他にもClient Connectorを入れることで嬉しい効果が

ETPは、怪しいドメインのクエリが行われた件数は見ることが出来ますが、実際にどのPCから行われたかまでは通常は見ることが出来ません。しかしこのClient Connectorを通じて怪しいドメインをクエリすると、ETPの管理画面でどのPC名から行われたか表示されるようになります。

ETP管理画面の怪しいURL検出一覧にPC名が表示されます

またETPの管理画面から、どのPCへClient Connectorをインストールしているか一覧で見ることが出来ます。(インストールされているClient Connectorのバージョンや状態も合わせて見えます)

※今回はテストでMacPCのClientConnectorを無効にしてみましたが、管理画面からもちゃんと無効になっていることが見て取れます。

ETP管理画面からClient ConnectorをインストールしているPCリストが見えます

まとめ

まだしっかり検証できていませんが、このClient Connectorというソフトウェアはとても効果的なソフトウェアだと思います。ゆくゆくは社内の全PCへの展開を考えており、Client Connectorの自動アップデートも含めて引き続き検証していきたいと思います。

当社では多数のポジションで皆様のご連絡をお待ちしております。 まずはカジュアル面談という形で、気軽に会社のことをお聞きいただくことも出来ますので、ご興味持たれた方はぜひご一報下さい。 https://smartnews.workable.com/