※ 2020 年 7 月 1 日現在の情報をもとに作成しています
1. はじめに
過去 2 回の記事で、Network Identity を登録することで使用できる SWG の 2 種類の導入方法 (PAC ファイルと Proxy Chaining) について紹介しました。
今回の記事では、AnyConnect 4.8 MR1 で導入された、Identity として Roaming Computers を使用できる「AnyConnect Umbrella SWG Agent」(以下 Umbrella SWG Agent) について紹介します。
Cisco AnyConnect Secure Mobility Client リリース 4.8 管理者ガイド
https://www.cisco.com/c/ja_jp/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8/b_AnyConnect_Administrator_Guide_4-8_chapter_01001.html#id_123966
2. Umbrella と AnyConnect
VPN 接続を行うためのソフトウェアである AnyConnect には、様々な追加モジュールが用意されており、セキュリティ面などの機能を拡張することが可能です。
以前の記事で AnyConnect に用意されている Umbrella Roaming Security Module について紹介しました。このモジュールを利用することで、スタンドアローンの Roaming Client とほぼ同等の機能を AnyConnect 上で使用すること可能になります。
そして、Umbrella Roaming Security Module も AnyConnect の追加モジュールの一つであり、AnyConnect インストール時に (またはインストール後に別途) インストールすることが可能です。

今回紹介する Umbrella SWG Agent は、Umbrella Roaming Security Module などのモジュールとは扱いが異なり、AnyConnect のインストーラー画面にその選択肢がありません。
これは、Umbrella SWG Agent が Umbrella Roaming Security Module に含まれており、Umbrella Roaming Security Module をインストールすると、Umbrella SWG Agent も一緒にインストールされるためです。言い換えれば、Umbrella SWG Agent を単体でインストールすることはできません。なお、以下の画像のとおり、サービスとしては別々に動作します。

3. Umbrella SWG Agent の役割
Umbrella SWG Agent は PC 上を流れる HTTP (TCP 80)/HTTPS (TCP 443) 通信をクラウド上の SWG (Web プロキシ サーバー) に転送する機能を持ちます。これにより、SWG 側で通信の安全性を確認し、必要に応じて対処をすることができます。
前述の Umbrella Roaming Security Module は DNS 通信をクラウド上の Umbrella DNS サーバー (208.67.222.222/208.67.220.220) に転送しますので、Umbrella Roaming Security Module をインストールするだけで Web 通信および DNS 通信の両方のセキュリティ レベルを上げることが可能となります。
なお、Umbrella SWG Agent を利用するには SIG Essentials などの SIG 機能を利用するためのサブスクリプション契約が必要となります。もし、必要な契約がない場合、Umbrella SWG Agent 自体はインストールされますが、機能が有効になりません。
4. 利用方法
Umbrella SWG Agent を利用するためには、Umbrella Dashboard で機能を有効にする必要があります。具体的な手順は以下になります。
- Umbrella Dashboard で Deployments -> Roaming Computers を開く
- 右上の Settings ボタンをクリックする
- AnyConnect Roaming Client タブをクリックする
- Secure Web Gateway を有効にする

これにより、Umbrella SWG Agent は有効になります。AnyConnect のステータス画面でも、機能が有効 (Protected) になっていることを確認できます。
