Commercial NB snapshot

クライアントをアプリケーション
リスクから守る戦略
エンドポイント・セキュリティ
デル株式会社
ソフトウェア事業本部
守川 啓
マーケティング部
アジェンダ
セキュリティ対策の考え方
ファイアウォールの強化
アプリケーションリスク
脆弱性を防ぐエンドポイント・セキュリティKACE
エンドポイントセキュリティ & ネットワークセキュリティ
Japan Marketing
セキュリティ
対策の考え方
Japan Marketing
3
セキュリティ侵害の影響
IT部門だけの問題では収まらない
利益の損失
評価の低下
投資家信頼度
の低下
顧客信頼度の
低下
法的責任
Japan Marketing
4
個人情報の
流出
企業秘密の
流出
トレードオフを考慮する
安全性を高めることは、使いやすさ(利便性)
を低下させることに影響を与える
何度もユーザー名とパスワードを入力
空港の手荷物検査と金属探知が厳しくなる
車のシートベルトの義務化
スクーターのヘルメット義務化
トレード オフ
安全性
の向上
利便性
の向上
使いやすさ
機能性
セキュリティ
プライバシー
Japan Marketing
5
どこから?どこまで?
セキュリティ対策の費用対効果
効
果
そして・・・
永遠に100%に
到達しない
• ある時点から、投資対効果が頭打ちに
Japan Marketing
6
セキュリティ投資
防御は攻撃より難しい
• 攻撃側
–攻撃箇所は一つで十分
–自由度(時間、方法)がある
–征服欲、達成感
–インパクト
• 防御側
–すべてのスキを
見つけなければならない
–攻撃があって活きる投資
–常に緊張
–重圧とリスク
Japan Marketing
7
グローバルのセキュリティトレンド
マルウェア
APT攻撃
DOS/DDOS攻撃
悪意のあるソフト
ウェアでコンピュータ
操作を不能にし、機密
情報を収集または
コンピュータへ不正
アクセスする
標的型攻撃
DOS
(Denial-of-service)
DDOS (Distributed
denial-of-service)
コンピュータウイルス、
ワーム、トロイの木馬、
スパイウェア、
アドウェア
先進的、組織的な
サイバー攻撃で、
侵入したコンピュー
タから遠隔操作で情
報を盗む
Japan Marketing
8
コンピュータやネッ
トワークリソースを
特定のユーザーに使
用不能にする攻撃
サイバー戦争
政治的な目的で
ハッキングを行い、
システムの無力化や
スパイ行為を目論む
セキュリティにおける多層防御
Defense in Depth (D-in-D)
• 多数存在するセキュリティソリューションは
夫々の目的と利便性バランスがあり、
単体で完全な防御はできません
• 複数のセキュリティソリューションを併用する
ことにより、各層の突破を困難にします
• セキュリティ管理のプロセスに関与する必要
のある度合いはお客様によって異なります
• Q: Why D-in-D?
 要するに、絶対・確実に守るのはほぼ無理
 いかに攻撃者を「めんどくさく」させるか
 攻撃をあきらめさせれば勝ち
Japan Marketing
9
$
セキュリティ対策の考え方
効果的なものから取組み
もれ落ちる部分を別途対策
脆弱性
対策2 対策1
Japan Marketing
10
どこから?どこまで?
セキュリティ対策の費用対効果
効
果
そして・・・
永遠に100%に
到達しない
• ある時点から、投資対効果が頭打ちに
必須の作業・対策がある
1. ウイルス対策ソフトウェアの導入
2. ファイアウォールの強化
3. 脆弱性を防ぐ(セキュリティパッチ)
そのための現状把握から!!
Japan Marketing
11
セキュリティ投資
ファイア
ウォールの
強化
Japan Marketing
アプリケーションはセキュアな環境を蝕む
Allow ports
80/443
Web 2.0トンネルアプリ
ファイル転送, ビデオ, 音
声, チャット, ブラウザ
ゲーム,メール, CRM, etc…
すべてを許可
HOW?
許可できるアプリ
Japan Marketing
HOW?
許可できないアプリ
社員は何をしているか?
オフィスの帯域の 25% がビジネス以
外の利用に消費されている
• ブログ
• Facebook
• Twitter
• インスタントメッセージ
• ビデオ配信
• 音楽配信
50% の企業がすくなくとも
30% の帯域がSNSに消費されている
と回答
• ファイルのダウンロード
Bandwidth Cost
• ゲーム
Productivity
• Webmail
生産性の向上と帯域やセキュリティの確保が必要
Japan Marketing
標的型攻撃の各手順を検知・防御する次世代
ファイアウォール
侵入
Page Visit
URL
フィルタリング
マルウェア
不正侵入
検知&防御
DPI-SSL
Japan Marketing
ゲートウエイ脅威防御
クラウド・
アンチウイルス
SonicWALLのDPIによるセキュリティサービス
侵入防御
ゲートウェイアンチウィルス
ゲートウェイアンチスパイウェア
クラウドアンチウィルス
コンテンツ/URLフィルタ
DPI SSL (SSLインスペクション)
アンチスパム
アプリケーションの制御
アプリケーションの可視化
Japan Marketing
第3者評価:NSS Labsの「推奨」評価を獲得
次世代ファイアウォールメーカの各製品をテスト
2013 IPS
NSS Labs は、信頼
できる IPSプロバイ
ダーとして
Dell を推奨していま
す。
Security
Effectiveness
Dell SonicWALL SuperMassive E10800
94.80%
System or Service Fault
Coverage by Target Vendor Resistance to Evasion
100%
100%
100%
Product
Throughput
18.044 Gbps
False Positive Testing
100%
Using a tuned policy, the SonicWALL SuperMassive E10800 blocked 97.6% of attacks against server
applications, 92.5% of attacks against client applications, and 94.8% overall. The device proved effective
against all evaion techniques tested. The device also passed all stability and reliability tests. The Dell
SonicWALL SuperMassive E10800 is rated by NSS at 18.044 Gbps, which is higher than then vendor claimed
performance (Dell rates this device at 12 Gbps).
Japan Marketing
アプリケー
ションリスク
Japan Marketing
クライアントアプリの脆弱性
情報処理推進機構が選んだ2013年の10大脅威
1位 「クライアントソフトの脆弱性を突いた攻撃」
2位 「標的型諜報攻撃の脅威」
3位 「スマートデバイスを狙った悪意あるアプリの横行」
4位 「ウイルスを使った遠隔操作」
5位 「金銭窃取を目的としたウイルスの横行」
6位 「予期せぬ業務停止」
7位 「ウェブサイトを狙った攻撃」
8位 「パスワード流出の脅威」
9位 「内部犯行」
10位 「フィッシング詐欺」
Japan Marketing
アプリケーションへの攻撃が急増していま
す!
• サイバー攻撃の99.8%が未更新のソフトウェアを悪用しています(※)
– Webサイト快適に利用できるようにする為に多くのサイトでJAVAを採用しています。そ
のJAVAを未更新のまま放置すると、フィッシングサイト等で「大事なアカウント情報」
が流出するリスクが高まります!
• 55%のAdobe Readerが未更新のまま放置されています(※)
– Webサイトで良くダウンロードするPDFファイル。Adobe Readerを未更新のまま放置す
ると脆弱性を狙われて「大事なデータ」に脅威が迫ります!
※2013年IPA発表
ブラウザ
エクスプロイトキットを
狙われた標的TOP10
出典元:TrendMicro
20
Japan Marketing
脆弱性例:Adobe
“米Adobe Systemsが4月28日公開の緊急パッチで対処したバッファオーバーフロー
の脆弱性(CVE-2014-0515)が悪用されている。同社の観測によると、攻撃の94%
が日本を標的にしており、5月24日から27日にかけては毎日数千件の攻撃が確認
された”
– 2014/5/30 ITmedia, Inc.
日本に集中するFlash Player
脆弱性の悪用攻撃、対策は
パッチ適用
Dell Software Partner Summit 2014
Japan Marketing
脆弱性例:Java
脆弱性発表の経緯(2013年)
• “Java 7 Update10”の脆弱性発覚(1月10日)
• Oracleが脆弱性に対するアップデート”Java 7 Update11”を発表(1月
13日)
• Twitterが25万人のユーザー情報漏洩の可能性を発表(2月1日)
• Facebookがサイバー攻撃を受けたことを発表(2月15日)
• Apple、ハッカーの標的に。(2月19日)
対策
• JavaのUpdateを実行
• Javaを無効にする
Japan Marketing
22
高まるアプリケーションリスク
» ソーシャルネットワークのアプリケーション
は95%の組織で使用されています。*
» 78%のWeb 2.0アプリはファイル転送をサ
ポートしています。*
» 2/3 のアプリケーションは脆弱性が発見され
ています。*
» 28% のアプリケーションは、過去マルウェ
アを繁殖させる事例が報告されています。*
* Palo Alto Networks Application Survey 2009, 2010
23
Japan Marketing
増えるウェブアプリケーションの脆弱性
Increasing
# of Web App Vulnerabilities
IBM X-Force
2
4
Japan Marketing
ウェブアプリケーションはウイルス攻撃の的
現在仕事で使用されているアプリケーションは
相互に関連し / ブラウザーベースで / オープンソース
Source: Verizon, 2010 Data Breach Investigations Report
ソーシャルコミュニティ、ガジェット, ブログ、ウィジェット
ネットワークを日々リスクにさらしています
2
5
Japan Marketing
簡単ではないパッチ管理
–ITリソース、ネットワークリ
ソースの制限
› エンドポイントのセキュリティを強
化する壁
–可視化と実行の困難
› 情報システム担当者とセキュリティ
担当者は必ずしも連携しているわけ
ではない
› コンプライアンスと情報漏洩リスク
を組織的に管理する方法の確立が急
務
26
Japan Marketing
脆弱性対策
資産の可視化
アセスメント
• 全てのIT資産を把握し、 • IT資産を定期的に精査
台帳管理する(ハード
し、脆弱性を把握する
ウェア、OS、アプリ
• リスク、監査やビジネ
ケーション等)
スへのインパクトを考
• 外部の脆弱性、マル
慮し、修正作業にプラ
ウェア情報、またその
イオリティを付ける
修正情報を確認
修正
定期的な実行
• 修正作業を実行
• 修正作業の実施状況を
確認
• 情報システム管理者や
エンドユーザーに情報
管理のトレーニングを
実施
• 全てのIT資産を定期的
に精査し、パッチや
バージョンを確認する
Source: Aberdeen Group, Managing Vulnerabilities and Threats (No, Anti-Virus is Not Enough), December 2010
27
Japan Marketing
• 監査用のレポートを作
成
• 継続して、アセスメン
ト、プライオリティ、
修正を実行する
脆弱性を防ぐ
エンドポイン
トセキュリ
ティKACE
Japan Marketing
Dell KACEアプライアンス
K1000 管理アプライアンス
• デスクトップPC、ノートPC、サーバやタブ
レットを管理するシステム管理製品。セ
キュリティ強化や資産台帳管理、ユーザー
のヘルプデスクを実現します。
K2000 導入アプライアンス
• システムの導入・展開を実現するアプライ
アンス。イメージの展開、OSのインストー
ルや移行、またイメージのリカバリでビジ
ネスの素早いリストアを可能にします。
K3000モバイル管理アプライアンス
• 拡張された管理機能で、iOSとAndroidモバ
イル端末の資産管理、セキュリティ強化や
ポリシーに基づいた管理等が可能です。
Japan Marketing
マルチデバイス、マルチOSの運用管理
物理もしくは仮想アプライア
ンスとして利用が可能です
30
Japan Marketing
KACEでエンドポイントセキュリティを強化
資産の可視化
• 何がネットワークにアクセスしているか?
• クライアントPC上で何が起動しているか?
• 構成上で何か脆弱性はないか?
現状をアセスメ
ント
• どれだけの脆弱性があるか?
• OSのパッチ適用漏れはあるか?
• ソフトウェアはアップデートされているか?
セキュリテイの
ギャップを修復
• 脆弱性を修復
• ソフトウェアをアップデート
• パッチを適用
エンドポイント
のセキュリティ
を強化
Japan Marketing
• USBポートの制御
• 標準構成の推進
• 検疫
7割のお客様が1週間で導入完了
• 機能がすでに組み込まれたアプライアンス製品はシステム構築の手間がかかりません。
①「KACEを設置する!」
32
②「KACEにLAN
ケーブルをさす!」
管理ソフトウェア
データベース
サーバOS
サーバOS
CAL
CAL
ハードウェア
ハードウェア
Japan Marketing
vs
③「KACEを利用す
る!」
Dell KACE
IT資産管理への新しいアプローチ
従来のソフトウェアベースの管理ツール
機能重視
アプライアンスベースの管理ツール
使いやすさ重視
管理コンソール
vs.
サーバ
アプライアンスサーバ
データベース
リモートサイト用のインフラ
• 長時間の導入
• 複雑で時間を消費するメンテナンス
• 最適ではない、パフォーマンスとセキュリティ
33
Japan Marketing
• 迅速な導入
• 容易なメンテナンスと管理
• 高いパフォーマンスとセキュリティ
マルチベンダー環境のシステム管理
ウィンドウズ、
マック、リナッ
クスOS
マルチベンダー
のハードウェア
Japan Marketing
ウィンドウズ、
マックのアプリ
ケーション
Step1:KACEによるパッチ管理
一般的なパッチ管理のPDCAサイクル
 全PCのパッチ適用状況に合
わせ必要なパッチ配布を計画
 全社適用前のテストの実施
 展開マニュアルに沿った展開
計画の立案
Visualize
 全てのマシンのパッチ適用
状況を定期的に抽出し監査
が必要
Plan
 決められた運用ルールに則
り、ターゲットPCグループ
に対し定期的なパッチ更新
を実行
 (マニュアル操作が必要)
Dell Software Partner Summit 2014
Japan Marketing
Check
Deploy
 各アプリケーションメーカが
公開するパッチ情報
 PC環境に合わせた必要なOS
要件、必要アプリごとのパッ
チのダウンロード(手動)
Step2:KACEによるパッチ管理
セキュリティ・アセスメント
OVALスキャンでデバイスをセキュリティテスト
デバイスの脆弱性を数値化
Dell Software Partner Summit 2014
Japan Marketing
Step3:KACEによるパッチ管理
パッチの自動ダウンロード
KACE上に格納された結果
Dell Software Partner Summit 2014
Japan Marketing
ダウンロード対象を設定
Step4:KACEによるパッチ管理
可視化と定期レポート
Dell Software Partner Summit 2014
Japan Marketing
Step5:KACEによるパッチ管理
パッチの自動配布
ダイナミックグルーピングの機能によりパッチ配布対象グループを定義
配布スケジュール設定
Dell Software Partner Summit 2014
Japan Marketing
国内の資産管理からグローバル資産管理へ
• 日本本社の全体管理者に加えて、拠点側の管理者
を置き、拠点内のPCのみ管理を行なうよう設定
K1000がアクセスする外部サイト
(各種情報のダウンロード)
社内ネットワーク
Dell Pcの
ドライバ
保守情報
全体管理者
 UI:日本語
 中国語、英語など
各国言語のデータ
が参照化
 全PCの集中管理
脆弱性テスト
パッチ情報
インターネット接続拠点
拠点側管理者
(必要に応じて用意)
管理
 エージェントイン
ストール後は、社
内ネットワーク上
のPCと同様の管理
が可能
 UI:中国語
 中国のPCのみ管理
 SW配布、パッチ適
用に使用するモ
ジュールをあらかじ
め拠点側に複製
社内ネットワーク上のPC
Dell Software Partner Summit 2014
社内ネットワーク上のPC、インターネット
接続PCともKACEから同等の管理を行なうこ
とができます。
Japan Marketing
インターネット接続PC
KACE&
SonicWALL
Japan Marketing
デルの多層的なセキュリティソリューション
• ゲートウェイ対策(SonicWALL)
• パッチ、エンドポイントセキュリティ(KACE)
ゲートウェイ対策
ウイルス対策ソフト
セキュリティパッチ
攻撃メール
ビジネスソフトウェア
セキュリティパッチ自動配信
Japan Marketing
KACE+SonicWALL
エンドポイントセキュリティ
• 脆弱性テスト
• OS・アプリのパッチ
• アプリの起動やUSBポート
を制御
43
Japan Marketing
ネットワークセキュリティ
• 次世代ファイアウォール
• リモートアクセス
• メールセキュリティ
リモートアクセス管理
•
KACEのエージェントがイン
ストールされていない端末を
検知・ネットワークから遮断
•
ユーザーにKACEポータルへ
誘導
•
KACEエージェントをインス
トールし、セキュアな状態を
維持
Japan Marketing
まとめ
1
OS
2
3
4
IT
Japan Marketing
ご清聴ありがとう
ございました
Japan Marketing