メール無害化ソリューション 導入ガイド FortiMailで実現する標的型攻撃メール対策 フォーティネットジャパン株式会社 2016年7月28日 © Copyright Fortinet Inc. All rights reserved. メール無害化ソリューション 概要と要件、導入構成 メールセキュリティ強化が急務!! 背景・概要 » ランサムウェアや標的型攻撃に対して、早急にセキュリティ強化施策が必要 » インターネット経由のメールで、脅威となっている標的型攻撃による情報搾取を防ぐために、 メールを「無害化」してから受信者へ配送する。 メール無害化の要件 ① 添付ファイルを削除(メール無害化) 配送するメールから全ての添付ファイルを削除 ② HTMLメールをテキスト化(メール無害化) FortiMail で 一括対策可能 配送するメールから全てのHTMLタグを削除 3 フォーティネットの提案 メール無害化に特化したソリューションを提供 » » » » 宛先ドメインごとに、メールの添付ファイルを削除できる 宛先ドメインごとに、メールのHTMLタグを無効化できる URIを除去できる 添付ファイルやHTMLタグのついた無害化前の元メールを別途保管もできる Webメールから閲覧することでリスクを低減できる サンドボックス連携で強力なゼロデイ対策を提供 » システムの自動連携で、管理者負担の少ない効率的な運用ができる » サンドボックス検査で「無害性を確認したファイル」のみ配送することができる » サンドボックス検査が終わるまでは配送を一時的に保留できる 4 適用ケース エンタープライズ・メールセキュリティ » 標的型攻撃メール対策の一層の強化 地方自治体向けメール無害化ソリューション » 自治体情報システム強靭性向上モデルに沿ったメールセキュリティ強化 • セキュリティクラウドへの導入 • 地方自治体側への導入 メールによる情報流出リスクを低減 5 エンタープライズ向け導入イメージ 企業のポリシーに合わせた 柔軟な設定が可能!! アンチウイルス +アンチスパム機能 +メール無害化機能 ファイアウォール IPSなど FortiGate FortiSandbox New 危険なメールを ブロック、添付ファイル削除、 隔離、コンテンツの無害化 ゼロデイ攻撃検出 FortiGate FortiMail (Gatewayモード) FortiMail (Serverモード) FortiGate 内部メールサーバ 危険性の低い メールのみアーカイブ 特定通信のみ許可 研究開発 DB セールス 情報 イントラネット メール端末 インターネットメール/情報収集端末 DMZ 6 自治体情報システム 強靭性向上モデル セキュリティクラウドへの導入 外部メールサーバ 情報セキュリティクラウド(都道府県) 凡例: ・添付ファイル及びHTMLタグを削除して宛先MTAへ配送 ・添付ファイル付きの元メールをWebメールサーバへ配送 ・アンチウイルス、アンチスパムおよびサンドボックス検査を実施 元メール 無害化メール メール配送経路 FortiSandbox FortiMail (Gateway) FortiMail (Server) LDAP (User DB) NAS (Mailbox) メール閲覧経路 ・元メールの形式を維持してメールボックスへ保存 ・インターネットセグメントよりWebメールでアクセス インターネット系メールサーバ LGWANメールサーバ 個人番号業務等LAN LGWAN セグメント 業務端末 インターネット接続LAN VDI/RDS インターネット セグメント サーバ 自治体ネットワーク(市町村) 7 自治体情報システム 強靭性向上モデル 地方自治体側への導入 外部メールサーバ 凡例: 情報セキュリティクラウド(都道府県) 元メール 無害化メール メール配送経路 ・クラウド上のメールゲートウェイにより転送。 ・添付ファイル、HTMLタグについては対策なし。 Mail Gateway メール閲覧経路 FortiSandbox ・添付ファイル及びHTMLタグを削除して宛先MTAへ配送 ・添付ファイル付きの元メールをWebメールサーバへ配送 ・アンチウイルス、アンチスパムおよびサンドボックス検査を実施 FortiMail (Server) LGWANメールサーバ FortiMail (Gateway) NAS (Mailbox) ・元メールの形式を維持してメールボックスへ保存 ・インターネットセグメントよりWebメールでアクセス 業務端末 LGWANセグメント LDAP (User DB) VDI/RDS サーバ インターネットセグメント 自治体ネットワーク (市町村) 8 FortiMailによるメール無害化設定ガイド FortiMail v5.3.4以降 メール無害化サンプル構成図 以下のメール環境における、メール無害化の設定例を示します 送信元メールサーバ 172.16.10.23 メール環境 元メール保全用 メールサーバ FortiSandbox FortiMail ② ”無害化” したメールを配送 (添付ファイル、HTML無効化) ① 元メールを ”変更せずに“ 配送 (添付ファイル、HTML形式を維持) 保護ドメイン example.com 元メール保全用 メールサーバ 172.16.10.23 宛先メールサーバ (無害化メール配送先) 172.16.10.22 172.16.10.22 保護ドメイン:example.com 宛先メールサーバ 10 FortiMail 設定手順 ① 保護ドメインの設定 ② コンテンツプロファイルの設定 (1) (2) (3) (4) 添付ファイル削除用アクションプロファイルを定義 HTML無効化用アクションプロファイルを定義 ファイルフィルタを定義 コンテンツプロファイル定義 ③ 受信メール用ポリシーの設定 コンテンツプロファイルの適用 ④ メール振り分け時の形式設定 メール保全用サーバへは “元メール維持”、宛先サーバへは “無害化” 11 ①保護ドメインの設定 保護ドメイン宛の “無害化” したメールのリレー先を設定 保護ドメイン 保護ドメイン宛メールのリレー先サーバ 12 ②コンテンツプロファイル設定 (1) 添付ファイル削除用アクションプロファイルを作成 プロファイル > コンテンツ > アクション > 新規… を選択 ① ② ③ ④ ⑤ ① ② ③ ④ ⑤ ⑥ プロファイル名を入力 件名にタグ付けに☑、次の値:にタグ付けしたいワードを設定 別サーバーにリレーに☑、リレーするサーバーのIPアドレスを設定 Deliver to original host に☑ 置換に☑ 作成ボタンをクリック ⑥ 13 ②コンテンツプロファイル設定 (2) HTML無効化用アクションプロファイルを作成 プロファイル > コンテンツ > アクション > 新規… を選択 ① ② ④ ③ ① ② ③ ④ ⑤ プロファイル名を入力 件名にタグ付けに☑、次の値:にタグ付けしたいワードを設定 別サーバーにリレーに☑、リレーするサーバーのIPアドレスを設定 Deliver to original host に☑ 作成ボタンをクリック ⑤ 14 ②コンテンツプロファイル設定 (3) ファイルフィルタを作成 コンテンツ > ファイルフィルタ > 新規… を選択 ① ④ ② ⑤ ③ ① ② ③ ④ ⑤ プロファイル名を入力 ユーザー定義:に全ファイル指定の「*」を入力 右矢印をクリック 全ファイル指定「*」が選択済みに移動 作成ボタンをクリック *は、すべてのメールが対象になります。 15 ②コンテンツプロファイル設定 (4) コンテンツプロファイル作成 -1 コンテンツ > コンテンツ > 新規… をクリック ① ② ③ ① プロファイル名を入力 添付ファイルのスキャンルールで新規をクリック 添付ファイルのスキャンルール作成 ③ ② 16 ②コンテンツプロファイル設定 (4) コンテンツプロファイル作成 -2 前ページの続き ④ Detect HTML contentに☑、アクションを選択 (1) Convert HTML to text ・HTMLタグをすべて削除 ・MIME Content-Typeをtext/plainに変更 (2) Sanitize HTML content ・HTML形式を維持して、リンクを無効化 (共通オプション) Remove URIs ・リンク無効化時にURIも削除 ⑤ 作成ボタンをクリック ④ ⑤ 17 ③受信用ポリシー設定 ポリシー > ポリシー > 受信者ポリシー > 新規… ① ① ② ③ 対象の保護ドメインを選択 作成したコンテンツプロファイルを選択 作成ボタンをクリック ② ② 18 ④メール振り分け時の形式設定 メール保全用サーバへは “元メール維持”、宛先サーバへは “無害化” メール設定 > 設定 > 設定 ① ② ① Deliver to altemate host で“Unmodified copy”を☑(元メール維持) Deliver to original host で“Modified copy”を☑(無害化) ② 適用ボタンをクリック 19 コンテンツプロファイル処理フロー インターネットメール受信 添付ファイルあり? YES 元メールのアーカイブ: ・Webメールサーバへ配送 NO 無害化: ・件名タグ付け [attachment] ・添付ファイル削除 HTMLタグあり? NO YES 元メールのアーカイブ: ・Webメールサーバへ配送 無害化: ・件名タグ付け [html] ・HTMLの無効化 宛先へ配送 20 メール無害化のサンプル ・元メール ・ユーザーが受信するメール テキストに変換 添付ファイルが削除されたことを通知する メッセージに差し替え 21 Webメールによる保全された元メールへのアクセス 元メール保全用メールサーバーがFortiMail(サーバーモード)のときのみ。 それ以外の場合は配送先で保存メールを確認してください。 22 FortiMail サンドボックス連携設定手順 アンチウイルスとFortiSandbox アンチウイルスシグネチャーはFDN経由で配信されます。 » FDNの通信ポート : UDP 53, 8888, 8889, 9443 / TCP 443 アンチウイルスエンジンによるウイルスの検知とFortiSandbox 連携による未知のマルウエア検知がサポートされます。 設定は下記の順番でアンチウイルスプロファイルでおこないます。 » プロファイル設定 » アクション定義 » ポリシー作成 » プロファイル適用 » FortiSandbox連携設定 24 ウイルススキャン設定 - ①AVプロファイル 新規プロファイル生成 受信ドメイン名 プロファイル名 アクション名 ①配信されたシグネチャーDBで検査 AVエンジン有効化 ① ② ③ ④ (既知のマルウェア) ②ヒューリスティックエンジンで検査 (CPU-Intensive resource) ③ユーザ定義のシグネチャーで検査 (SHA-1 ファイルシグネチャー) ④グレーウェアスキャンを有効化 (mail bomb等を検知) 25 ウイルススキャン設定 – ②アクション 受信ドメイン名 プロファイル名 ① ② 複数アクション選択可能 シングルアクション選択のみ ③ ① ウイルスを取り除き差し替えメッ セージを挿入 (差し替えメッセージは日本語カスタ マイズが可能) ②ウイルス検出時通知メール送信 (送信者、受信者、その他の受信者) 管理者権限で検体を取り出しは可能 ③ ウイルス検出時システム隔離 (ユーザ隔離は不可能) 26 ウイルススキャン設定 – ③適用ポリシー作成 IPポリシー » IPセグメント/ グルップ / プール単位でプロファイル適用 受信者ポリシー (一般的な設定) » 受信メールドメイン単位でプロファイル適用 27 ウイルススキャン設定 – ④プロファイル適用 作成されたアンチウィルスのプロファイルを適用 28 FortiSandboxとの連携 – 接続設定 FortiSandbox接続テスト スキャンするファイル形式を指定します。 FortiSandboxのIPを設定 ① ② ③ ④ ① FortiSandboxからのレポートや通知メール を受けるメールアドレスを指定 ② FortiSandbox 統計取得インターバル 未レーティングのURIのみをスキャンします。 ③ Fortisandboxからの判定結果待ち時間 Submit and wait for result :ファイル送信 & 判定結果待ち Submit Only :ファイル送信のみ (タイムアウトされた場合はメールリレー) ④ 判定結果を維持する時間 – キャッシュ (重複ファイルに効果的) 29 FortiSandboxとの連携 – スキャン条件設定 スキャン対象のファイル形式を指定 ①ユーザ定義のファイルパターンを設定 ② FortiSandboxに送信するファイルサイズを制限 ① メール本文にあるURIをスキャン 例 :マリシャス、フィッシングサイ ト ② AVプロファイル適用要 ① ② ③ ④ ① スキャンするメール対象を定義 ② 未レーティングのURIのみをスキャン (例 : Fortiguard上でカテゴリーされなかったサイ ト) ③ FortiGuardからレーティングの結果を得られな かった時 (例 : Fortiguardとの通信切断) ④すべてのURIをスキャン 30 FortiSandboxとの連携 – AVプロファイル適用 アンチウイルスプロファイルから、 「FortiSandbox」を有効化 サンドボックスのスキャン結果に より、アクションを選択 (例:強く疑わしい場合は破棄、や や疑わしい場合はタグ付け) 31 FortiSandbox Cloudとの連携 Fortisandbox Cloudを選択 FortiSandbox Cloudの特徴 小中規模(SMB)を対象としたソリューション アプライアンスと同等の機能を提供 URIスキャンはサポートしていません 32 機器選定ガイドラインと推奨 大規模ネットワーク導入例 (~3,000 ユーザ) FortiSandbox-3000D メールサーバ FortiMail-1000D ゲートウェイモード ユーザー数:3,000名以下 34 中規模ネットワーク導入例 (~1,000 ユーザ) FortiSandbox-1000D メールサーバ FortiMail-400E ゲートウェイモード ユーザー数:1000名以下 35 小規模ネットワーク導入例 (~400 ユーザ) FortiSandbox Cloud or FortiSandbox-VM メールサーバ FortiMail-200E ゲートウェイモード ユーザー数:400名以下 36 FortiMail サイジング参考値 FortiMail-200E FortiMail-400E FortiMail-1000D FortiMail-3000D メール・トランザクション数/時 80,000 157,000 680,000 1,500,000 アンチスパム 71,000 147,000 620,000 1,400,000 アンチスパム+ アンチウイルス 61,000 126,000 500,000 1,300,000 400人以下 1000人以下 3000人以下 3000人以上 (お問い合わせください) 150 400 1,500 3,000 推奨ユーザ数 (ゲートウェイモード) メールボックス数 (サーバーモード) 37 メール無害化対応製品一覧 ソリューションコンポーネント FortiMail:メールセキュリティ » 機能 メール無害化に対応 » 添付ファイル削除 » HTMLタグ無効化 アンチスパムが標的型攻撃メールや ランサムウェアをブロック (VB100テストでスコア100.00) サンドボックス連携機能 » ラインアップ FortiMail FortiMail FortiMail FortiMail FortiMail 200E 400E 1000D 3000D VM » ユーザにメールが届く前に検査 メールサーバ機能 » Webメール機能提供 http://www.fortinet.co.jp/products/fortimail/ 39 ソリューションコンポーネント FortiSandbox:サンドボックス » 機能 ゼロデイマルウェア検知 FortiMailとの連携による検査中のメールの配送保留 添付ファイルなどに脅威を検出すると管理者へアラートメール送信 ゼロデイ検出時にFortinet製品へローカルシグネチャ配信 » ラインアップ FortiSandbox 1000D FortiSandbox 3000D FortiSandbox VM http://www.fortinet.co.jp/products/fortisandbox/ 40 ソリューションコンポーネント FortiGate:次世代ファイアウォール » 機能 ファイアウォール VPN IPS(不正侵入検知) アプリケーション制御 Webフィルタリング アンチマルウェア アンチウィルス DLP(情報漏えい防止) Webプロキシ » ラインアップ デスクトップモデル ミドルレンジモデル ハイエンドモデル 仮想アプライアンス http://www.fortinet.co.jp/products/fortigate/ 41 ソリューションコンポーネント FortiAnalyzer:ログ解析/セキュリティレポート » 機能 セキュリティレポート 脅威の把握 » いつ、どこから、被害者は? 脅威への素早い対応 » ラインアップ FortiAnalyzer FortiAnalyzer FortiAnalyzer FortiAnalyzer 1000E 3000E 3500E VM http://www.fortinet.co.jp/products/fortianalyzer/ 42 ご参考資料 ソリューションブリーフ » http://www.fortinet.co.jp/doc/SB_Todofuken.pdf » http://www.fortinet.co.jp/doc/SB_SJSS.pdf 製品マニュアル » http://docs.fortinet.com/fortimail/admin-guides » http://docs.fortinet.com/fortisandbox/admin-guides 43
© Copyright 2024 ExpyDoc
