クライアントをアプリケーション リスクから守る戦略 エンドポイント・セキュリティ デル株式会社 ソフトウェア事業本部 守川 啓 マーケティング部 アジェンダ セキュリティ対策の考え方 ファイアウォールの強化 アプリケーションリスク 脆弱性を防ぐエンドポイント・セキュリティKACE エンドポイントセキュリティ & ネットワークセキュリティ Japan Marketing セキュリティ 対策の考え方 Japan Marketing 3 セキュリティ侵害の影響 IT部門だけの問題では収まらない 利益の損失 評価の低下 投資家信頼度 の低下 顧客信頼度の 低下 法的責任 Japan Marketing 4 個人情報の 流出 企業秘密の 流出 トレードオフを考慮する 安全性を高めることは、使いやすさ(利便性) を低下させることに影響を与える 何度もユーザー名とパスワードを入力 空港の手荷物検査と金属探知が厳しくなる 車のシートベルトの義務化 スクーターのヘルメット義務化 トレード オフ 安全性 の向上 利便性 の向上 使いやすさ 機能性 セキュリティ プライバシー Japan Marketing 5 どこから?どこまで? セキュリティ対策の費用対効果 効 果 そして・・・ 永遠に100%に 到達しない • ある時点から、投資対効果が頭打ちに Japan Marketing 6 セキュリティ投資 防御は攻撃より難しい • 攻撃側 –攻撃箇所は一つで十分 –自由度(時間、方法)がある –征服欲、達成感 –インパクト • 防御側 –すべてのスキを 見つけなければならない –攻撃があって活きる投資 –常に緊張 –重圧とリスク Japan Marketing 7 グローバルのセキュリティトレンド マルウェア APT攻撃 DOS/DDOS攻撃 悪意のあるソフト ウェアでコンピュータ 操作を不能にし、機密 情報を収集または コンピュータへ不正 アクセスする 標的型攻撃 DOS (Denial-of-service) DDOS (Distributed denial-of-service) コンピュータウイルス、 ワーム、トロイの木馬、 スパイウェア、 アドウェア 先進的、組織的な サイバー攻撃で、 侵入したコンピュー タから遠隔操作で情 報を盗む Japan Marketing 8 コンピュータやネッ トワークリソースを 特定のユーザーに使 用不能にする攻撃 サイバー戦争 政治的な目的で ハッキングを行い、 システムの無力化や スパイ行為を目論む セキュリティにおける多層防御 Defense in Depth (D-in-D) • 多数存在するセキュリティソリューションは 夫々の目的と利便性バランスがあり、 単体で完全な防御はできません • 複数のセキュリティソリューションを併用する ことにより、各層の突破を困難にします • セキュリティ管理のプロセスに関与する必要 のある度合いはお客様によって異なります • Q: Why D-in-D? 要するに、絶対・確実に守るのはほぼ無理 いかに攻撃者を「めんどくさく」させるか 攻撃をあきらめさせれば勝ち Japan Marketing 9 $ セキュリティ対策の考え方 効果的なものから取組み もれ落ちる部分を別途対策 脆弱性 対策2 対策1 Japan Marketing 10 どこから?どこまで? セキュリティ対策の費用対効果 効 果 そして・・・ 永遠に100%に 到達しない • ある時点から、投資対効果が頭打ちに 必須の作業・対策がある 1. ウイルス対策ソフトウェアの導入 2. ファイアウォールの強化 3. 脆弱性を防ぐ(セキュリティパッチ) そのための現状把握から!! Japan Marketing 11 セキュリティ投資 ファイア ウォールの 強化 Japan Marketing アプリケーションはセキュアな環境を蝕む Allow ports 80/443 Web 2.0トンネルアプリ ファイル転送, ビデオ, 音 声, チャット, ブラウザ ゲーム,メール, CRM, etc… すべてを許可 HOW? 許可できるアプリ Japan Marketing HOW? 許可できないアプリ 社員は何をしているか? オフィスの帯域の 25% がビジネス以 外の利用に消費されている • ブログ • Facebook • Twitter • インスタントメッセージ • ビデオ配信 • 音楽配信 50% の企業がすくなくとも 30% の帯域がSNSに消費されている と回答 • ファイルのダウンロード Bandwidth Cost • ゲーム Productivity • Webmail 生産性の向上と帯域やセキュリティの確保が必要 Japan Marketing 標的型攻撃の各手順を検知・防御する次世代 ファイアウォール 侵入 Page Visit URL フィルタリング マルウェア 不正侵入 検知&防御 DPI-SSL Japan Marketing ゲートウエイ脅威防御 クラウド・ アンチウイルス SonicWALLのDPIによるセキュリティサービス 侵入防御 ゲートウェイアンチウィルス ゲートウェイアンチスパイウェア クラウドアンチウィルス コンテンツ/URLフィルタ DPI SSL (SSLインスペクション) アンチスパム アプリケーションの制御 アプリケーションの可視化 Japan Marketing 第3者評価:NSS Labsの「推奨」評価を獲得 次世代ファイアウォールメーカの各製品をテスト 2013 IPS NSS Labs は、信頼 できる IPSプロバイ ダーとして Dell を推奨していま す。 Security Effectiveness Dell SonicWALL SuperMassive E10800 94.80% System or Service Fault Coverage by Target Vendor Resistance to Evasion 100% 100% 100% Product Throughput 18.044 Gbps False Positive Testing 100% Using a tuned policy, the SonicWALL SuperMassive E10800 blocked 97.6% of attacks against server applications, 92.5% of attacks against client applications, and 94.8% overall. The device proved effective against all evaion techniques tested. The device also passed all stability and reliability tests. The Dell SonicWALL SuperMassive E10800 is rated by NSS at 18.044 Gbps, which is higher than then vendor claimed performance (Dell rates this device at 12 Gbps). Japan Marketing アプリケー ションリスク Japan Marketing クライアントアプリの脆弱性 情報処理推進機構が選んだ2013年の10大脅威 1位 「クライアントソフトの脆弱性を突いた攻撃」 2位 「標的型諜報攻撃の脅威」 3位 「スマートデバイスを狙った悪意あるアプリの横行」 4位 「ウイルスを使った遠隔操作」 5位 「金銭窃取を目的としたウイルスの横行」 6位 「予期せぬ業務停止」 7位 「ウェブサイトを狙った攻撃」 8位 「パスワード流出の脅威」 9位 「内部犯行」 10位 「フィッシング詐欺」 Japan Marketing アプリケーションへの攻撃が急増していま す! • サイバー攻撃の99.8%が未更新のソフトウェアを悪用しています(※) – Webサイト快適に利用できるようにする為に多くのサイトでJAVAを採用しています。そ のJAVAを未更新のまま放置すると、フィッシングサイト等で「大事なアカウント情報」 が流出するリスクが高まります! • 55%のAdobe Readerが未更新のまま放置されています(※) – Webサイトで良くダウンロードするPDFファイル。Adobe Readerを未更新のまま放置す ると脆弱性を狙われて「大事なデータ」に脅威が迫ります! ※2013年IPA発表 ブラウザ エクスプロイトキットを 狙われた標的TOP10 出典元:TrendMicro 20 Japan Marketing 脆弱性例:Adobe “米Adobe Systemsが4月28日公開の緊急パッチで対処したバッファオーバーフロー の脆弱性(CVE-2014-0515)が悪用されている。同社の観測によると、攻撃の94% が日本を標的にしており、5月24日から27日にかけては毎日数千件の攻撃が確認 された” – 2014/5/30 ITmedia, Inc. 日本に集中するFlash Player 脆弱性の悪用攻撃、対策は パッチ適用 Dell Software Partner Summit 2014 Japan Marketing 脆弱性例:Java 脆弱性発表の経緯(2013年) • “Java 7 Update10”の脆弱性発覚(1月10日) • Oracleが脆弱性に対するアップデート”Java 7 Update11”を発表(1月 13日) • Twitterが25万人のユーザー情報漏洩の可能性を発表(2月1日) • Facebookがサイバー攻撃を受けたことを発表(2月15日) • Apple、ハッカーの標的に。(2月19日) 対策 • JavaのUpdateを実行 • Javaを無効にする Japan Marketing 22 高まるアプリケーションリスク » ソーシャルネットワークのアプリケーション は95%の組織で使用されています。* » 78%のWeb 2.0アプリはファイル転送をサ ポートしています。* » 2/3 のアプリケーションは脆弱性が発見され ています。* » 28% のアプリケーションは、過去マルウェ アを繁殖させる事例が報告されています。* * Palo Alto Networks Application Survey 2009, 2010 23 Japan Marketing 増えるウェブアプリケーションの脆弱性 Increasing # of Web App Vulnerabilities IBM X-Force 2 4 Japan Marketing ウェブアプリケーションはウイルス攻撃の的 現在仕事で使用されているアプリケーションは 相互に関連し / ブラウザーベースで / オープンソース Source: Verizon, 2010 Data Breach Investigations Report ソーシャルコミュニティ、ガジェット, ブログ、ウィジェット ネットワークを日々リスクにさらしています 2 5 Japan Marketing 簡単ではないパッチ管理 –ITリソース、ネットワークリ ソースの制限 › エンドポイントのセキュリティを強 化する壁 –可視化と実行の困難 › 情報システム担当者とセキュリティ 担当者は必ずしも連携しているわけ ではない › コンプライアンスと情報漏洩リスク を組織的に管理する方法の確立が急 務 26 Japan Marketing 脆弱性対策 資産の可視化 アセスメント • 全てのIT資産を把握し、 • IT資産を定期的に精査 台帳管理する(ハード し、脆弱性を把握する ウェア、OS、アプリ • リスク、監査やビジネ ケーション等) スへのインパクトを考 • 外部の脆弱性、マル 慮し、修正作業にプラ ウェア情報、またその イオリティを付ける 修正情報を確認 修正 定期的な実行 • 修正作業を実行 • 修正作業の実施状況を 確認 • 情報システム管理者や エンドユーザーに情報 管理のトレーニングを 実施 • 全てのIT資産を定期的 に精査し、パッチや バージョンを確認する Source: Aberdeen Group, Managing Vulnerabilities and Threats (No, Anti-Virus is Not Enough), December 2010 27 Japan Marketing • 監査用のレポートを作 成 • 継続して、アセスメン ト、プライオリティ、 修正を実行する 脆弱性を防ぐ エンドポイン トセキュリ ティKACE Japan Marketing Dell KACEアプライアンス K1000 管理アプライアンス • デスクトップPC、ノートPC、サーバやタブ レットを管理するシステム管理製品。セ キュリティ強化や資産台帳管理、ユーザー のヘルプデスクを実現します。 K2000 導入アプライアンス • システムの導入・展開を実現するアプライ アンス。イメージの展開、OSのインストー ルや移行、またイメージのリカバリでビジ ネスの素早いリストアを可能にします。 K3000モバイル管理アプライアンス • 拡張された管理機能で、iOSとAndroidモバ イル端末の資産管理、セキュリティ強化や ポリシーに基づいた管理等が可能です。 Japan Marketing マルチデバイス、マルチOSの運用管理 物理もしくは仮想アプライア ンスとして利用が可能です 30 Japan Marketing KACEでエンドポイントセキュリティを強化 資産の可視化 • 何がネットワークにアクセスしているか? • クライアントPC上で何が起動しているか? • 構成上で何か脆弱性はないか? 現状をアセスメ ント • どれだけの脆弱性があるか? • OSのパッチ適用漏れはあるか? • ソフトウェアはアップデートされているか? セキュリテイの ギャップを修復 • 脆弱性を修復 • ソフトウェアをアップデート • パッチを適用 エンドポイント のセキュリティ を強化 Japan Marketing • USBポートの制御 • 標準構成の推進 • 検疫 7割のお客様が1週間で導入完了 • 機能がすでに組み込まれたアプライアンス製品はシステム構築の手間がかかりません。 ①「KACEを設置する!」 32 ②「KACEにLAN ケーブルをさす!」 管理ソフトウェア データベース サーバOS サーバOS CAL CAL ハードウェア ハードウェア Japan Marketing vs ③「KACEを利用す る!」 Dell KACE IT資産管理への新しいアプローチ 従来のソフトウェアベースの管理ツール 機能重視 アプライアンスベースの管理ツール 使いやすさ重視 管理コンソール vs. サーバ アプライアンスサーバ データベース リモートサイト用のインフラ • 長時間の導入 • 複雑で時間を消費するメンテナンス • 最適ではない、パフォーマンスとセキュリティ 33 Japan Marketing • 迅速な導入 • 容易なメンテナンスと管理 • 高いパフォーマンスとセキュリティ マルチベンダー環境のシステム管理 ウィンドウズ、 マック、リナッ クスOS マルチベンダー のハードウェア Japan Marketing ウィンドウズ、 マックのアプリ ケーション Step1:KACEによるパッチ管理 一般的なパッチ管理のPDCAサイクル 全PCのパッチ適用状況に合 わせ必要なパッチ配布を計画 全社適用前のテストの実施 展開マニュアルに沿った展開 計画の立案 Visualize 全てのマシンのパッチ適用 状況を定期的に抽出し監査 が必要 Plan 決められた運用ルールに則 り、ターゲットPCグループ に対し定期的なパッチ更新 を実行 (マニュアル操作が必要) Dell Software Partner Summit 2014 Japan Marketing Check Deploy 各アプリケーションメーカが 公開するパッチ情報 PC環境に合わせた必要なOS 要件、必要アプリごとのパッ チのダウンロード(手動) Step2:KACEによるパッチ管理 セキュリティ・アセスメント OVALスキャンでデバイスをセキュリティテスト デバイスの脆弱性を数値化 Dell Software Partner Summit 2014 Japan Marketing Step3:KACEによるパッチ管理 パッチの自動ダウンロード KACE上に格納された結果 Dell Software Partner Summit 2014 Japan Marketing ダウンロード対象を設定 Step4:KACEによるパッチ管理 可視化と定期レポート Dell Software Partner Summit 2014 Japan Marketing Step5:KACEによるパッチ管理 パッチの自動配布 ダイナミックグルーピングの機能によりパッチ配布対象グループを定義 配布スケジュール設定 Dell Software Partner Summit 2014 Japan Marketing 国内の資産管理からグローバル資産管理へ • 日本本社の全体管理者に加えて、拠点側の管理者 を置き、拠点内のPCのみ管理を行なうよう設定 K1000がアクセスする外部サイト (各種情報のダウンロード) 社内ネットワーク Dell Pcの ドライバ 保守情報 全体管理者 UI:日本語 中国語、英語など 各国言語のデータ が参照化 全PCの集中管理 脆弱性テスト パッチ情報 インターネット接続拠点 拠点側管理者 (必要に応じて用意) 管理 エージェントイン ストール後は、社 内ネットワーク上 のPCと同様の管理 が可能 UI:中国語 中国のPCのみ管理 SW配布、パッチ適 用に使用するモ ジュールをあらかじ め拠点側に複製 社内ネットワーク上のPC Dell Software Partner Summit 2014 社内ネットワーク上のPC、インターネット 接続PCともKACEから同等の管理を行なうこ とができます。 Japan Marketing インターネット接続PC KACE& SonicWALL Japan Marketing デルの多層的なセキュリティソリューション • ゲートウェイ対策(SonicWALL) • パッチ、エンドポイントセキュリティ(KACE) ゲートウェイ対策 ウイルス対策ソフト セキュリティパッチ 攻撃メール ビジネスソフトウェア セキュリティパッチ自動配信 Japan Marketing KACE+SonicWALL エンドポイントセキュリティ • 脆弱性テスト • OS・アプリのパッチ • アプリの起動やUSBポート を制御 43 Japan Marketing ネットワークセキュリティ • 次世代ファイアウォール • リモートアクセス • メールセキュリティ リモートアクセス管理 • KACEのエージェントがイン ストールされていない端末を 検知・ネットワークから遮断 • ユーザーにKACEポータルへ 誘導 • KACEエージェントをインス トールし、セキュアな状態を 維持 Japan Marketing まとめ 1 OS 2 3 4 IT Japan Marketing ご清聴ありがとう ございました Japan Marketing
© Copyright 2024 ExpyDoc
