F5 Japan Security Forum2016 未知のマルウェア感染に立ち向かう! 仮想化セキュリティを活用した最新のセキュリティ対処策 ヴイエムウェア株式会社 シニアセキュリティソリューションアーキテクト CISSP-ISSJP, 公認情報システム監査人 楢原 盛史(ならはら もりふみ) [email protected] © 2015 VMware Inc. All rights reserved. Agenda 1. 2. 3. 4. 5. 6. はじめに サイバーセキュリティ対策の実情と課題の整理 数年先を見据えたセキュリティ運用の方向性 即時的に対応すべきセキュリティ対策&対処策 仮想化技術によって実現するセキュリティプラットフォームの概説 セキュリティ事案の元凶を可視化する未知のマルウェア感染痕跡分析の考え方 © 2015 VMware Inc. All rights reserved. はじめに はじめに・・・・国内のインシデントレスポンス支援から感じる事 ▼犯罪者側 【組織】 犯罪を目的とした国や 犯罪組織 (圧倒的な組織力) + 【技術】 最先端の 攻撃ツールやプログラム (軍事レベルのツール群) + 【人】 最先端の技術を持つ 頭脳集団 (高度なネットワーク) • そもそも攻撃側と防御側にこれだけの大差がある事を直視する事の重要性 • 真正面から立ち向かうのでなく、リスクの最小化への“マインドチェンジ”が重要 ▼防御側 【組織】 基本は自組織のみの セキュリティチーム (限定的な組織力) + 【技術】 部分的な対策と 運用の欠如 (市販ツール群) + 【人】 専門家でない 兼任者による運用 (限定的な知識) © 2015 VMware Inc. All rights reserved. 本資料のポイント 情報漏洩事故を元凶となる既知/未知のマルウェア感染による情報漏洩事故を 自組織の力で可能な限り未然に防ぎ、対処する上でのポイントを概説致します。 ▼“サイバー攻撃による”情報漏洩事故の根本要因 • 特に“未知”のマルウェア感染に自ら気付く事が出来ない(あるいは見て見ぬフリ) • マルウェア感染によって権限が奪われ、漏れてはならない情報資産が不正に窃取される • インシデントレスポンスの経験不足により、“実戦”での対応が覚束ない ▼情報漏洩(不正な窃取)のプロセス 1. メール/Web/USB等の利用で端末がマルウェア感染する 2. マルウェアが“感染拡散”し犯罪者が攻撃に必要となる権限やシステム情報等を得る 3. 犯罪者が欲しい情報をサーバ等から不正に窃取しネット上の自身のシステムへ転送 4. マルウェアはあらゆるセキュリティツールに捕捉されず、長期にわたって潜伏活動する 5 © 2015 VMware Inc. All rights reserved. サイバーセキュリティ対策の実情と課題 国内の大規模組織におけるセキュリティ対策と 防御力の客観的な数値 最近の脅威への年ごとの対応状況 2010年 ( 脅 威 の 種 類 抜 粋 2011年 2012年 2013年 2014年 備考 2015年 20% 20% 20% 20% 50% 50% 2014年度に Sandbox を導入 感染 Web サイトによる待ち受け型攻撃 30% 30% 30% 30% 70% 70% 2014年度に Sandbox を導入 感染記憶媒体の持込によるウイルス感染 15% 15% 15% 15% 15% 15% 検知できない LAN に不正に接続された端末から ウイルス感染、または、故意の情報漏えい 35% 35% 35% 35% 50% 50% 2014年に市販 SIEM を導入 公開サーバが改ざん 20% 20% 20% 20% 20% 20% 出来ていない ) インターネットからの標的型攻撃メール (添付ファイル、本文内リンク) 対策が不十分で、感染した場合に感染活動を グループ会社も含めて、公開サーバを一元管理 ※引用:2015年S&J社分析データより 7 © 2015 VMware Inc. All rights reserved. サイバー攻撃による情報漏洩が止まらない理由 主たる対策 主たる課題 ▼技術 • そもそもツールで検知出来ない脅威の見逃し • 高度化された各ツール機能を有効活用出来ない • 実装の都度増加する利用者側の利便性低下 多層防衛 ▼運用 管理ツール等 ▼組織 CSIRT • 実装の都度増加する管理ツール群 • SIEM等の台頭により更なる管理負荷の増大 • 生ログを含めたネットワークフォレンジックの必須化 • 専任担当としてアサインするする事が困難な実態 • 犯罪者と同レベルの知識やノウハウの確保が困難 • 的確な脅威の一次切分とその対処が出来ない 未 知 の マ ル ウ ェ ア 感 染 拡 散 情 報 漏 洩 8 © 2015 VMware Inc. All rights reserved. 経営者目線による“ITシステム利用”における “最大”のセキュリティ脅威は一体なんでしょうか? 今回のフォーカスポイント ▼組織(事業体)が守らなければならない情報の漏洩 ※個人情報や知的財産といった情報資産の漏洩等 • 外部犯行:対象システムをマルウェア(不正プログラム)感染させ遠隔から不正に情報の窃取 • 内部犯行:組織内の人間が不正に情報資産を窃取 ▼ビジネスの可用性(BCP)に悪影響を与えるサイバー攻撃 ※Webサイトをダウンさせサイト経由のビジネスや業務がすべて停止 • 外部犯行:対象のWebサイトを閲覧出来なくする特殊なサイバー攻撃(DDoS)の仕掛け • 内部犯行:※基本的に内部犯行による攻撃ケースは困難 6 © 2015 VMware Inc. All rights reserved. 代表的な外部犯行(マルウェア感染)の概説 外部犯行の三大攻撃の種別 1. メール(添付ファイル)経由によるマルウェア感染(させ制御を奪い情報を窃取) 2. Webアクセスによるマルウェア感染(させ制御を奪い情報を窃取) 3. USB等のリムーバブルメディア経由によるウイルス感染(させ制御を奪い情報を窃取) マルウェア感染から情報窃取までの攻撃プロセス ▼マルウェアの感染 攻撃対象のシステム情報やセキュリティ 対策を把握し、以降の攻撃手法を精査 ▼マルウェアの感染拡散 情報窃取に必要な権限を得る為に 横感染やADサーバ等へ拡散 ▼情報資産の窃取 窃取したい情報を取得し永続的に 情報窃取する為のプラットフォームを形成 7 © 2015 VMware Inc. All rights reserved. 数年先を見据えたセキュリティ運用の方向性 数年先を見据えた セキュリティ運用(対策/対処)の方向性 • 外部犯行という脅威(未知のマルウェア感染)自体の総量を削減し、 発生した脅威を 自ら把握することが出来、更にそのインパクト(情報漏洩等)の影響範囲を最小化出来る • 削減し切れない脅威を“残存リスク”として定義し、“専門家”でなくとも自組織(CSIRT)で セキュリティ対処まで包含したセキュリティ運用を実現出来る 組織内CSIRTで制御可能である事 脅威自体の 無害化 (脅威)影響範囲の 最小化 汚染環境の 健全化 8 © 2015 VMware Inc. All rights reserved. 未知のマルウェア感染における “影響範囲の最小化”の考え方 未知のマルウェア感染を前提とした “端末単位”のセキュリティゾーニング ※感染における影響範囲の最小化 マルウェアの感染拡散の事実を 横拡散のDropログから自動的に把握 ※実現可能なセキュリティ運用 © 2015 VMware Inc. All rights reserved. 13 “未知の不正マルウェア感染”を前提とした セキュリティ対処の“あるべき”運用プロセス概念図 “過剰”な多層防衛は投資&運用コスト(管理ツールやログ量)の増加とユーザ側の利便性低下を招く 絶対的な攻撃総量の低下は望めるものの、ツールで捕捉出来ない深刻な脅威の見落としに気付けない ▼内部側 (脅威の最小化と健全化) ▼入口&出口側 (目指すは攻撃の無害化) FW/IPS/IDS NGFW 各種コンテンツ フィルタリング • • すり抜けた 攻撃 ・メール ・Web 標的型 攻撃 インターネット 分離 USB 感染 マルウェア感染のより脅威の最小化 ネットワーク切り離し ウイルス対策等で 汚染端末の健全化 捕捉困難な脅威 脅威の無害化 無害化できない脅威は 内部側へ到達 感染拡散の防止 エンドポイントへの攻撃が到達する前提 © 2015 VMware Inc. All rights reserved. 10 仮想化技術によって実現する セキュリティプラットフォームの概説 防御し切れない標的型攻撃の無害化を目指し 未知のマルウェア感染リスクの最小化と健全化を実現するNSX 各種 標的型攻撃 既存のセキュリティ対策 ※インターネット分離による無害化 感染 脅威自体の最小化 ※感染拡散の防止 各社仮想セキュリティ対策ツールによる防御 仮想デスクトップ単位での封じ込め (インターネット分離はVMware Horizon View) (VMware NSX:マイクロセグメンテーション) 物理実装やハイパーバイザ上で実装 (ハイパーバイザ:VMware ESXi) 汚染環境の健全化 ※100%のマルウェア駆除 クリーンなOSや アプリケーションの強制適用 (VMware Horizon View) ハイパーバイザ上で実装 (VMware ESXi) 16 © 2015 VMware Inc. All rights reserved. 【参考】標的型攻撃の攻撃ステップ別のテクノロジーカバレッジ ■標的型攻撃のステップ(Kill - Chain Model) 攻撃対象の 確認 マルウェア作成 防御テクノロジー(通常) マルウェア配信 マルウェア感染 端末の制御 奪う システムの 制御を奪う 統合ログ分析システム(SIEM) • ファイアウォール • 不正侵入検知システム(IDS/IPS) • 各種コンテンツフィルタ NSXログとSIEM連携により、マルウェア 感染被害によるインシデントレスポンスの 確実性と効率性を飛躍的に向上 マルウェア対策(エンドポイント) 防御テクノロジー(高度) メール無害化ツール(今後) Web無害化ツール ※INTERNET分離(VMware Hirzon) 次世代型ファイアウォール 情報 漏洩 マイクロセグメンテーション(VMware NSX) 感染拡散の最小化 感染端末の健全化 感染拡散時に発生するログからマルウェア感染事実を把握 振る舞い検知(エンドポイント) © 2015 VMware Inc. All rights reserved. VMware NSX のお客様事例と実績 NSX のお客様 900 社以上 本番環境での展開 150 社以上 (四半期ごとに 25 ~ 50 の増加) NSX に 100 万ドル以上投資した企業 50 社以上 18 © 2015 VMware Inc. All rights reserved. セキュリティ事案の元凶を可視化する 未知のマルウェア感染痕跡分析の考え方 ※VMwareの新しいセキュリティサービス マルウェア感染痕跡分析サービス(近日リリース予定)の概要 サービスの概要 マルウェア感染痕跡分析サービス(以降、サービス)は、弊社が独自開発したインストール不要の実行形式型の情報収集ツール(以降、 PAM)を組織内の全数端末で実施頂くことより、組織内に潜んでいる未知のマルウエアの感染痕跡や脅威を評価するサービスです。 PAMをWindows系PC/サーバ上で実行することにより、 マルウェアの感染実態把握に必要なシステム情報およびファイル情報を自動収集 します。収集された情報をインシデントの対応経験が豊富なアナリストが全数分析を行うことで、調査対象組織の情報システム担当者に過 大な負荷を強いることなく、利用者の利便性も損なわずに、組織内の全数端末のマルウェア感染痕跡を評価します。 • サービス提供期間: 約3か月程度(お客様の調査期間を3週間程度と仮定) • サービス提供費用: ※個別見積り(最低の調査対象PC台数は1000台~) サービスによる効果 • • • • 組織内の既知/未知のマルウェアの感染実態を客観的且つ定量的に把握及び評価が可能となり、この評価データを元に現状のセキュリ ティレベルの客観的評価や、今後のセキュリティ対策/対処の強化に向けた定量的な分析情報として活用する事が可能です。 従来は実質不可能であった組織内の全数端末調査が容易に可能です。 同サービスを定期的に実施する事で、セキュリティ対策の有効性の経年比較が出来ます。 インターネットと接続出来ないクローズド環境やVDIとFAT混在環境でも本サービスは提供可能です。 16 © 2015 VMware Inc. All rights reserved. 本サービスの実施ステップ(イメージ) サービスの実施方法 実施ステップ 実施内容 実施期間 実施対象 1.アドバイザリ 本サービスの目的、実施方法、費用、免責事項等の合意 N/A 両社 2.PAMのテスト評価 調査対象端末でのPAM実施時間と分析対象用データの 弊社サーバとの疎通確認 1週間程度 御社 3.PAMの実施 PAMの調査対象となる全数端末でPAMの実施 2-3週間程度 御社 4.PAMの分析と評価 御社のPAM調査完了報告を経て、弊社内でPAMの全数 分析と評価を実施し報告書を作成 5.ご報告会 報告書を踏まえ、評価内容を今後の対策強化/改善に向 けた方向性を助言 1ヶ月程度 ※1万台実施時 1日 弊社 両社 本サービスはPAMを1万台実施した際に約2ヶ月から3ヶ月程度の実施期間が目安となります。 17 © 2015 VMware Inc. All rights reserved. F5様との協業ソリューション紹介 ~BIG-IP APMとの連携ソリューション~ VMware Horizon View環境で BIG-IPを利用しない場合 デバイスチェックができない デバイスチェックを実施しないため、許可された端末 以外の端末からでも アクセス可能 User devices セキュリティ 限られた認証方法 セキュリティ ID/パスワード認証、もしくはRSA による認証の二通り ユーザの利便性 対 IT部門の管理性 Centralized Virtual Desktops PCoIP DMZ vCenter VMware infrastructure LB Load Balancer Security Serverが必要 • Windowsサーバのため、脆弱性攻撃の的 になりやすい • Windowsサーバのため、SSL処理によるパ フォーマンス劣化が懸念 セキュリティ パフォーマンス View Security Server View Connection Server Microsoft Active Directory Secure Server : Connection Server = 1: 1 Connection Server1台につき、1台の Secure Serverが必ず必要 複雑(機器が多い) 信頼性(ダウン時のコネクション維持なし) 20 © 2015 VMware Inc. All rights reserved. VMware Horizon View環境での BIG-IP利用のベネフィット デバイスチェック セキュリティ 様々な認証方法 ウィルスチェック、デバイスIDチェックなど、多要素による デバイスチェックによるセキュリティの向上 User devices セキュリティ • 様々な二要素認証 ユーザの利便性 対 IT部門の管理性 • ブルートフォース対策 Centralized Virtual Desktops PCoIP vCenter VMware infrastructure LB Load Balancer Security Serverが不要 • ISCA認定のセキュリティ • DoS対策 セキュリティ View Security Server Local Traffic Manager Access Policy Manager Advanced Firewall Manager View Connection Server Microsoft Active Directory コネクション情報を維持した冗長化 高信頼性 パフォーマンス シンプル 21 © 2015 VMware Inc. All rights reserved. AirWatch利用環境での セキュリティと使い勝手を両立 Per App VPNにより、利用者はリモート接続を意識せずにアクセスできます。 自動的に VPN接続 社内アプリへの アクセス リモートアクセスを 意識せずに アプリを利用 管理アプリの 起動だけでVPN接続 (パスワード不要 管理アプリを 起動 管理アプリと 非管理アプリが セキュアに共存 (BYODに最適) 社内アプリケーション 仮想デスクトップ 社内メール ファイルサーバー ERP CRMなど Per App VPN BIG-IP Platform © 2015 VMware Inc. All rights reserved. AirWatch利用環境での セキュアなSaaSアクセスの実現 SaaSアプリケーションへのアクセスであっても、認証制御が行えます。 端末管理 アプリケーション管理 SaaSへの アクセス制御 主要SaaS マルチデバイスからの アクセスを一元管理 端末情報 アプリ単位の アクセス範囲指定 個人所有端末 社内アプリケーション 会社支給端末 企業ポリシーに 準拠した端末のみ 通信を許可 BIG-IP Platform リモートアクセス(SLL VPN) アプリケーション・アクセス管理 アクセス・ポリシー管理 社内アプリへの SSO接続 仮想デスクトップ 社内メール ERP CRMなど © 2015 VMware Inc. All rights reserved. Thank you
© Copyright 2024 ExpyDoc
