TechLeague

    Cisco

    Cisco Umbrella SIG: 高性能SASEアーキテクチャの設計 (2026年版)

    TechLeague Editorial··14 分で読了

    長年にわたり、Cisco Umbrellaは「UIが改善された単なるRecursive DNS」と不当に低く評価されてきました。2026年において、もしあなたがまだUmbrellaを単純なDNSシンクホールとして扱っているなら、それはアーキテクチャ上の過失です。Cisco Umbrella Secure Internet Gateway (SIG) は、完全なSASEの強力な中核へと成熟しており、Catalyst SD-WANやDuoと適切に統合することで、APIレイテンシやベンダー間の責任転嫁によって破綻するような断片的な「Best-of-Breed」スタックよりも、より一貫性のあるセキュリティ態勢を提供します。

    DNSからフルスタックSIGへの進化

    現代のエンタープライズ境界防御は、データセンターからユーザーのローカルブレイクアウト (DIA) へと変化しました。Cisco Umbrella SIGはもはやアドオンではなく、すべてのトラフィックの宛先です。このアーキテクチャの中核的な変化は、単純なDNSレイヤー保護から、Secure Web Gateway (SWG)、Cloud-Delivered Firewall (CDFW)、Data Loss Prevention (DLP) エンジンを使用した100%検査モデルへと移行することにあります。

    DNSレイヤーは依然として第一防衛線であり、解決段階でマルウェアの90%以上をブロックしますが、IPダイレクトなコールバックや暗号化されたペイロードのデータ流出には対応できません。2026年のSIG展開では、Tunnel-basedリダイレクト (IPsec/GRE) またはAnyConnect (Secure Client) SWGモジュールを使用したAlways-On環境が必須となり、HTTPSトラフィックでさえ復号、検査、ログ記録が確実に行われるようにします。

    高性能トンネリング: 2026年におけるIPsec vs. GRE

    ブランチオフィスをUmbrella SIGに接続するには、堅牢な転送戦略が必要です。Catalyst 8300または8500シリーズエッジの場合、IPsecとGREの選択は、単に暗号化だけでなく、スループットとフラグメンテーション管理にも関わってきます。

    • IPsec (IKEv2): パブリックインターネットがトランスポートを提供する標準的なDIAに最適です。CPUオーバーヘッドを最小限に抑えるには、AES-GCM-256を備えたIKEv2を活用する必要があります。vManage (Catalyst SD-WAN) のCiscoの「Auto-Tunnel」機能はIKEネゴシエーションを簡素化しますが、サイレントなパフォーマンスキラーであるICMPブラックホールやフラグメント再構築を回避するために、MTUを1400に手動で調整すべきです。
    • GRE: クリーンで高帯域幅のプライベート回線や、暗号化が別の場所で処理されるレイヤー2ハンドオフで実行している場合、GREはIPsecのオーバーヘッドを排除することで、より高いスループットを提供します。しかし、Zero Trustの世界では、GREにはネイティブな暗号化がないため、使用されることはますます少なくなっています。
    # 標準的なUmbrella SIG向けIPsecトンネル構成
crypto ikev2 proposal SIG-PROPOSAL
 encryption aes-gcm-256
 prf sha512
 group 19
crypto ikev2 policy SIG-POLICY
 proposal SIG-PROPOSAL
crypto ikev2 profile SIG-PROFILE
 identity local address 203.0.113.1
 match identity remote fqdn sig-east.cisco.com
 authentication remote pre-share
 authentication local pre-share
 keyring SIG-KEYS

    より深い検査: Remote Browser Isolation (RBI)

    SIGの武器の中で最も活用されていないものの一つが、Remote Browser Isolationです。2026年には、危険なカテゴリを単に「許可」または「ブロック」するだけでなく、「分離」します。金融従業員や特権管理者といった高リスクプロファイルが、未分類または「新規に確認された」ドメインにアクセスする際には、自動的にRBIセッションをトリガーすべきです。これにより、ユーザーのブラウザは独立し、WebサイトはCiscoクラウド内の使い捨てコンテナでレンダリングされ、ピクセルのみがエンドポイントにストリーミングされます。これにより、ゼロデイブラウザエクスプロイトやドライブバイダウンロードは無関係になります。

    Data Loss Prevention (DLP) と「シャドーIT」の危機

    生成AIやSaaSプラットフォームを介したデータ流出は、今日の主要な脅威ベクトルです。適切なSIGポリシー戦略には、不正なLLMへのPOSTリクエストの検査を含める必要があります。UmbrellaのインラインDLPを使用することで、ユーザーが調査のためにChatGPTにアクセスできるようにしつつ、PCI-DSSや独自正規表現パターンに一致する文字列のアップロードをブロックするポリシーを作成できます。

    これを実装するには、SSL復号を有効にする必要があります。それがなければ、DLPは形だけのものになります。2026年では、選択的な復号戦略を推奨します。金融や医療などの機密カテゴリをバイパスしてプライバシーコンプライアンスを維持しつつ、「ファイルストレージ」、「ソーシャルネットワーキング」、「生成AI」カテゴリの100%を復号します。

    Catalyst SD-WANとUmbrella SIGの統合

    ハードウェアの最適化は重要なポイントです。Catalyst 8000Vまたは8300シリーズルータを使用している場合、App-Route Policiesに移行すべきです。これにより、特定のアプリケーショントラフィック (O365やSalesforceなど) をSaaSプロバイダーに直接転送し、その他の「信頼できない」WebトラフィックはUmbrella SIGトンネル経由でルーティングできます。これにより、ミッションクリティカルなアプリケーションのレイテンシを削減しつつ、他のすべてのトラフィックに対してきめ細やかなセキュリティ監査証跡を維持できます。

    エッジハードウェアの最適化に関する詳細については、「Catalyst 8000 Edge Performance Tuning」のガイドをご覧ください。Cisco vManage 20.x以降のsdwan-secure-internet-gateway機能を使用すると、SIGデータセンター間のサブ秒単位でのフェイルオーバーが可能になり、セキュリティスタックが単一障害点にならないことが保証されます。

    Zero Trustの収束: Duoとエンドポイントの態勢

    SIGにおける「Secure」は、ユーザーが誰であるか、どのデバイスを使用しているかを知ることから来ています。スタンドアロンのSIGは、認証情報の窃盗に対して脆弱です。Duoを統合することで、Duo Healthチェック (例:OSが最新であること、ディスク暗号化が有効であること、ファイアウォールが有効であること) に合格した場合にのみ、Umbrella SWGがトラフィックを許可するというポリシーを強制できます。

    この2026年のアーキテクチャでは、Cisco Secure Clientが統合エージェントとして機能します。これは、Umbrella DNSのリダイレクト、SWGプロキシ、Duoの態勢テレメトリを処理します。Duoエージェントが侵害された状態を検出すると、Duoクラウドに通知し、DuoクラウドはUmbrellaにSIGセッションを終了するよう信号を送ります。これは、私たちが10年間約束してきた「Identity-to-Cloud」クローズドループシステムです。

    パフォーマンスベンチマーク: 期待されること

    マーケティングの美辞麗句を鵜呑みにしないでください。SSL復号とIPSを含む完全なSIG検査を有効にすると、パフォーマンスが低下します。Catalyst 8300-1N2Sでは、シンプルなルーティングと比較して、純粋なスループットが20〜30%減少すると予想されます。しかし、CiscoのグローバルSIGフットプリントは大幅に拡大しており、ほとんどのユーザーは主要なメトロポリタンエリアの最寄りのSIG POPまで30ms未満のレイテンシを経験します。レイテンシが100msを超える場合、トンネルルーティングが最適ではない可能性があり、不必要に中央ハブを介してトラフィックをバックホールしている可能性があります。

    結論: 「Best of Breed」のパズルを追いかけるのはやめましょう

    2026年におけるCisco Umbrella SIGの議論は、運用上のシンプルさと可視性に関わるものです。専門のベンダーがニッチな分野でわずかにきめ細やかなコントロールを提供するかもしれませんが、CiscoのSD-WANファブリック、DuoのIDスイート、Umbrellaのセキュリティバックボーン間の統合は、ほとんどのITチームが「フランケンシュタイン」スタックで再現できない相乗効果を生み出します。ポリシーの一元化された可視性、単一のサポートポイント、セキュリティ分析のための統合されたデータレイクが得られます。

    組織がまだ断片化されたVPNと一貫性のないブランチセキュリティに苦しんでいるなら、統合されたSIGアーキテクチャに移行する時です。私たちTechLeagueのチームは、これらの複雑なSASEファブリックの設計と展開を支援できます。2026年のセキュリティロードマップに着手するために、techleague.ioで弊社の戦略コンサルティングサービスをご覧ください。

    よくある質問

    2026年にUmbrella DNSレイヤー保護のみに依存できますか?+

    いいえ。DNSセキュリティは不可欠ですが、暗号化されたトラフィックを検査したり、IPダイレクトなコールバックを処理したりすることはできません。真のSIG展開には、完全な可視性のためにSSL復号を備えたSecure Web Gateway (SWG) が必要です。

    SIGにIPsecトンネルとGREトンネルのどちらを使用すべきですか?+

    データのプライバシーと完全性を確保するために、パブリックインターネット上の接続にはIPsec (IKEv2) を使用してください。GREは、最大スループットが必要で、暗号化が別のレイヤーで既に処理されている専用のプライベート回線に予約してください。

    UmbrellaにおけるSSL復号の最大の運用上のハードルは何ですか?+

    GPOまたはMDMを介して、UmbrellaルートCA証明書をすべての管理対象エンドポイントに展開する必要があります。信頼された証明書がなければ、ブラウザは復号されたすべてのサイトで「接続はプライベートではありません」というエラーを表示します。

    Remote Browser Isolation (RBI) はどのようにしてセキュリティを向上させるのですか?+

    RBIは、クラウドで仮想的な隔離されたブラウザセッションを作成します。これは「危険な」または「未分類の」Webカテゴリに最適であり、悪意のあるコードがローカルマシンに到達するのを防ぎつつ、ユーザーがコンテンツを閲覧できるようにします。

    Cisco Umbrella SIGはCatalyst SD-WANとネイティブに統合されますか?+

    vManage (Cisco Catalyst SD-WAN Manager) を介してシームレスに統合されます。SIGトンネルの作成を自動化し、App-Awareルーティングを使用して特定のトラフィッククラスをUmbrellaデータセンターに直接転送できます。

    Duoの態勢評価はSIGアーキテクチャにどのように役立ちますか?+

    Duo Healthアプリを使用することで、エンドポイントがパスワード保護されたOSや最新のアンチウイルスなどの特定のセキュリティ要件を満たしていない場合、Umbrella SIGはインターネットゲートウェイへのアクセスを拒否できます。