資料はこちらから - F5 Networks, Inc.

F5 のセキュリティ戦略及び
顧客向け提案サンプルのご紹介
近藤学
セキュリティスペシャリスト
セキュリティビジネス統括
F5 ネットワークスジャパン合同会社
サイバーセキュリティはどんどん複雑化している
79% のセキュリティ担当者が，「ネットワークに関するセキュリ
ティは 2 年前に比べて複雑化してきた」と考えている
80% のセキュリティ担当者が，「エンドポイントセキュリティは
2 年前に比べて複雑化してきた」と考えている
60% のインフラ担当者が，「IT によるサプライチェーンのセ
キュリティは 2 年前に比べて複雑化してきた」と考えている
© 2015 by The Enterprise Strategy Group, Inc.
2
クラウド時代における挑戦・課題
60% のセキュリティ担当者は，「クラウドコンピューティングに
おいては，ネットワークセキュリティオペレーションの自動化
やオーケストレーションがまだまだ不足している」と考えている
60% のセキュリティ担当者は，「パブリック/プライベートクラウ
ドに対するセキュリティポリシーの適用について，いまだに試
行錯誤中だ」と言っている
60% のセキュリティ担当者は，「On-prem とクラウドで同じレ
ベルの可視化を行うのは困難だ」と言っている
© 2015 by The Enterprise Strategy Group, Inc.
サイバーセキュリティの変化
OLD WAY
NEW WAY
セキュリティは IT リスクだった
セキュリティはビジネスリスクに変わってきた
ある程度対応していれば ok
強固なセキュリティ対策の必要性．57% の企業がサ
イバーセキュリティ関連予算を増額
対応ポイント別でバラバラなソリュー
ション
統一連携されたソリューション
脅威を防ぐことに予算の大半が消費さ
れていた
インシデント発生，感染発生を前提とし，その早期検
知および早期対応への予算配分へもシフトしはじめる
「自社のみで全部やる」スタイルが大
半
ベンダーやスペシャリストとのパートナーシップやマ
ネージドサービスの利用
© 2015 by The Enterprise Strategy Group, Inc.
敵を知り己を知れば...
サイバー犯罪
ハクティビズム
知的財産奪取
Goal
•
組織的犯罪集団による資金
獲得
•
メッセージを広め，政治課題
とさせることを目的とする
•
情報資産の獲得や競合に対する
優位性の確保
How
•
脅迫/企業レピュテーショ
ンの低下
•
Web ページの書き換えや企業
内情報のリークなど
•
ターゲット企業内に侵入し，
密かにデータを盗み出す
•
防御が堅い場合はターゲッ
トを迅速に変更する
•
同情や共感を急速に獲得し
やすい
•
最新の攻撃は 200 日以上もイ
ンストールされ続けるようなも
のも．資金面リソース面ともに
豊富．
© F5 Networks, Inc
CONFIDENTIAL
5
http://mainichi.jp/select/news/20151124k0000e040174000c.html
© F5 Networks, Inc
CONFIDENTIAL
7
あらゆるポイントに種々の脅威が存在
Clientside Attacks
Data
Network attacks
Session attacks
Application attacks
Data
DNS Attacks
Malware
Stolen User
Credentials/
Fraud
© F5 Networks, Inc
Man In The
Browser
Phishing
Botnet/SPAM
Recon.
Port scan
DNS
Amplification/
Cache
Poisioning
Network
DDoS
Attacks
Man in the
Middle
Application
DDoS Attacks
Attacks
against SSL
Vul
Business
Logic Abuse
Application
Vuln Exploits
OWASP top 10 /
8
F5 によるカバレッジ
ATTACKS ARE DISPROPORTIONTELY TARGETING THESE AREAS
Data
Clientside Attacks
Network attacks
Session attacks
Application attacks
Data
DNS Attacks
Man In The
USER ACCESS
Malware
Browser
AND CREDENTIALS
Stolen User
Credentials/
Fraud
© F5 Networks, Inc
Phishing
Botnet/SPAM
DNS
Amplification/
Cache
Poisioning
DNS Attacks
Man in the
Middle
Application
DDoS Attacks
Business
LAYER
Logic
Abuse7
APPLICATION
PROTECTION
Recon.
Port scan
Network
DDoS
AVAILABILITY
Attacks
Attacks
against SSL
Vul
Application
Vuln Exploits
OWASP top 10 /
9
なぜ F5 がセキュリティやアクセス管理を語るのか?
• Big-IP は社内外を隔てるポイントに設置され，すべてのトラフィックをさばい
ている
• ということは，あらゆる In-Out のパケットを通しているわけで，その中身を
チェックしたり，止めたりという処理が可能
↓
セキュリティ対策や
アクセス管理ができる!
HTTP
SSL
TCP
© F5 Networks, Inc
HTTP
L4 から L7 までを
すべてカバー
SSL
TCP
10
F5 のソリューションがどう当てはまるのか?
Attack
クレデンシャル情報の取得
XSS などによるログイン情報の取得
How F5
Can
Mitigate
より強固な認証手段の導入による
セキュリティ強化
クリティカルなアプリケーションに
対する L7 攻撃の検知と防御
©F5
F5Networks,
Networks,
©
IncInc
DDoS 攻撃
オンプレ + クラウドでの
ハイブリッド型 DDoS 対策
11
1st mile から Last mile までを包括的にカバー
アプリケーショ
ン
シングルサインオンアクセス管理
APPLICATION ACCESS
SSLVPN
© F5 Networks, Inc
モバイルアクセス
管理
ネットワーク
ファイア
ウォール
トラフィック
マネージメント
DDoS
対策
不正送金対策
APPLICATION PROTECTION
セキュア
DNS セキュリティ
ウェブゲート
ウェイ
SSL 可視化
WAF
12
アプリケーション防御に関するソリューション群を
ワンプラットフォームで
One Platform
Network
Firewall
Traffic
Management
Application
Security
Access
Control
DDoS
Protection
SSL
DNS
Security
EAL2+
EAL4+ (in process)
© F5 Networks, Inc
Web Fraud
Protection
DC FW (in process)
WAF (in process)
DDoS (pending)
13
10 Solutions
お客様への提案サンプルとして
© F5 Networks, Inc
セキュリティ
BtoB
ワークスタイル改革/ユーザビリティ向上
/ BtoC
コスト削減
企業統合/コンプライアンス
クラウド
データセンター
関心
課題
自社Webシ
ステムの情
報漏えいリ
スクの把握
F5
offering
①
Assessment
Service for
Web server
F5製品
LTM
ASM (AFM)
© F5 Networks, Inc
DDoS攻撃
対策
②
DDoS
Protection
LTM,
AFM, ASM
Silverline
アプリケー
ション開発
の短納期化
による脆弱
性リスク
③
SSLに潜む
脅威への対
策
④
Multi-layered SSL
defense on
Inspection
Application
development
process
ASM
LTM
SSL FW
proxy
マルチデバ
イス、
BYODの業
務活用
⑤
仮想デスク
トップの利
用
⑥
Multi device/ Secure VDI
BYOD
With
Security With VMware
Vmware
APM
(LTM)
APM
(LTM)
クラウド時代、 Office365活
マルチデバイ用における
ス環境おける ADFSの課題
認証と認可
⑦
Next
generation
SSO & SAML
Federation
for SaaS
APM
(LTM)
⑧
サイロ型シス
テム構築への
課題
Hybrid
Cloudへの取
り組み
⑨
⑩
SAML
ADC
Federation for Consolidation
Offce365 and
Improvement
of ADFS
issues
APM
(LTM)
LTM
(AFM)
Cloud
Networking
/SDN
VE
BIG-IQ
15
BIG-IPをお使いのお客様へ
Webシステムのセキュリティ導入を
客観的に判断できる「指標」とは！？
F5ネットワークスジャパン合同会社
WAFを導入したいけれど有効性の説明が難しい。
「リスクの根拠」と「投資対効果」を明示できなくてお困りではありませんか。
CIO
Webセキュリティは万全に頼むよ！
投資対効果は明確にしてね！
セキュリティ強化
CFO
ITコスト抑制
システムご担当者
「WAFを導入したくてもリスクの根拠や投資対効果を明示できない」
そんな、あなたのジレンマを解消する方法があります。
© F5 Networks, Inc
17
専門家による「アセスメント」をご活用ください。
現状のリスクを洗い出し、投資対効果まで「可視化」できます。
《診断レポート》
◎リスクの明示
◎最適な防御方法
◎継続的な改善方法
◎投資対効果の測定
POINT
アプリケーションレベルでの攻撃の有無がわかります。
攻撃に対するリスク分析、具体的な対処法立案をご支援します。
© F5 Networks, Inc
18
既存のBIG-IPに「WAF機能を追加」しませんか。
BIG-IPのWAF機能は、アクティベーションするだけで使えます。
BIG-IPをお使いのお客様へ
いまお使いのBIG-IP LTM
ロードバランサー
[BIG-IP Local Traffic Manager]
WAF（Web Application Firewall）
[BIG-IP Application Security Manager]
BIG-IPのWAF機能をONしよう!
© F5 Networks, Inc
19
セキュリティ評価は「全体視点」が重要です。
BIG-IPなら機器構成を変更することなく、シンプルにサーバーを保護できます。
BIG-IPなら3つの機能を1台に
SSL
SSLアクセラレーター
WAF
Web Application Firewall
LB
他社製品では･･･
複数のアプライアンスによる
数珠つなぎ構成に
▲保守管理する機器が増加
▲異なるベンダーごとのサポート
▲機器構成の変更による影響
ロードバランサー
トラフィックはSSLが前提です。機器構成の複雑化を招かないために
WAF単独ではなく「全体視点での最適化」をご検討ください。
© F5 Networks, Inc
20
アプリケーション開発の短期化に
「多層防御」による安心を！
F5ネットワークスジャパン合同会社
セキュアコーディングに完璧はありません。
事実、開発の短納期化で脆弱性リスクが残る可能性が高まっています。
セキュアコーディングの難しさ
品質とセキュリティの担保が困難
脆弱性リスク
アプリケーション開発の短納期化
工数とコスト、スケジュール優先
《取扱いが長期化(90日以上経過)しているウェブサイトの経過日数と脆弱性の種類》
アプリケーションの脆弱性を30日以内に修正できたWEBサイトは、全体の半数に達しません。
ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート[2014 年第3 四半期（7 月～9 月）] https://www.jpcert.or.jp/press/2014/vulnREPORT_2014q3.pdf
© F5 Networks, Inc
22
「多層防御」でリスクを低減しませんか。
コーディングにより解決しきれない脆弱性は「WAF」で補完できます。
セキュア
コーディング
WAF
Web Application Firewall
知財
顧客情報
ビジネスプロセス
取引情報
WAF（Web Application Firewall）
Webサーバーが利用するポート80番、443
POINT
セキュアコーディングとWAFの多層防御により、
無理のないスケジュールでアプリケーションを改修できます。
番のトラフィックを双方向で監視し、SQL
インジェクションやクロスサイト・スクリ
プティング等の攻撃からWebアプリケー
ションとデータを守ります。
© F5 Networks, Inc
23
「緊急パッチ」という解決策をご存知ですか。
診断ツールが発見した脆弱性を「時間差なし」でWAFに反映できます。
緊急パッチ
診断結果をインポート
脆弱性診断ツール（DAST）
WAF
DAST: Dynamic Application Security Testing
BIG-IP ASM
POINT
診断ツールによる脆弱性の発見から
アプリケーションの改修完了までには時間を要します。
POINT
F5の統合型WAF「BIG-IP ASM」なら
診断ツールが発見した脆弱性に対し、即座に「緊急パッチ」で対応できます。
© F5 Networks, Inc
知財
顧客情報
ビジネスプロセス
取引情報
24
最短「4時間」で緊急パッチを提供できます。
「緊急パッチ」の開発はわずか4時間、ゼロデイ攻撃にも対処可能です。
アプリ改修のリードタイム
アプリ改修の工数
被害損失額見込み
90日
10人月
1億円
4時間
0.5人月
0円
大手通販サイトを運営するA社では、
Webアプリケーション脆弱性への対応を
90日から4時間に短縮しました。
オンラインゲームサイトを運営するB社では、
Webアプリケーション改修の工数を
1/20以下に削減しました。
ポータルサイトを運営するC社では、
ゼロデイ攻撃を未然に防ぎ
実質的な損失ゼロで危機を乗り越えました。
F5の統合型WAF「BIG-IP ASM」の詳しい資料や、事例コンテンツをご用意しています。
どうぞお気軽にお申し付けください。
© F5 Networks, Inc
25
ビジネスを守れ！
DDoS攻撃の最新動向と対策
F5ネットワークスジャパン合同会社
その対策で本当にDDoS攻撃に耐えられますか？
DDoS攻撃の量と質が激変し企業単独の対策では対応できなくなっています。
攻撃の大規模化
攻撃の複雑化
数百GBpsの攻撃もあたりまえに
「マルチベクトル攻撃」が急増
ボリューム攻撃
～400Gbps
×
企業システム
(データセンター)
大規模攻撃による回線のパンクは
セキュリティ機器では防げません
© F5 Networks, Inc
アプリケーション層攻撃
一般的なセキュリティ機器では
アプリケーション層攻撃に対応できません
27
クラウドサービスなら最新の攻撃に対応できます。
F5 Silverlineは、最新のDDoS攻撃に対応したクラウド型防御サービスです。
データセンターの
Webアプリケーション
DDoS
Protection
F5F5Silverline
Silverline
インターネット
クラウド上の
Webアプリケーション
利用者
攻撃者
POINT
DDoS攻撃（大規模攻撃＆マルチベクトル攻撃）
業界最強クラスの帯域対応で、大規模攻撃を防御
2.0Tbps以上のDDoS攻撃にも対応
POINT
POINT
DDoS攻撃対策だけの専用サービス
通信業者やISPのサービスと異なり、
DDoS攻撃対策だけを今すぐ利用可能
高度なWAFサービスで、マルチベクトル攻撃を防御
実績あるBIG-IP ASMのセキュリティ機能をクラウドに実装
© F5 Networks, Inc
28
柔軟な運用ができるハイブリッドソリューションです。
2つのサービス提供形態とオンプレミス機能から、ニーズに合わせて選べます。
DDoS
Protection
F5 Silverline
Always Available
Always On
（有事防御）
（常時監視&防御）
DDoS攻撃対策の監視と防御を
24時間365日実施
DDoS攻撃の時だけ
全トラフィックをSilverline経由に切り替え
BIG-IPとの
連携
© F5 Networks, Inc
オンプレミスでの攻撃検知により
クラウド対応に切り替え
29
攻撃を可視化することで防御を進化させます。
見えにくいDDoS攻撃の実態を解析することで、有効な対策が可能になります。
Silverline AttackView ポータル
SOCエキスパートによるサポート
DDoS
Protection
F5 Silverline
攻撃タイプやサイズ、発信元、
アタックベクタを解析
© F5 Networks, Inc
攻撃状況の分析や対策についての
アドバイスをリアルタイムに入手
30
あなたの知らない「HTTPSの弱点」
暗号化通信に潜む脅威を可視化せよ！
F5ネットワークスジャパン合同会社
暗号化通信が「攻撃の隠れ蓑」だとしたら。
HTTPSプロトコルによる暗号化通信は安全、というのはもはや幻想です。
暗号化されたトラフィックに潜む「見えない脅威」
HTTPS暗号化トラフィック（SSL/TSL）
機密情報
情報資産
Internet
HTTPSトラフィックは
FWやIPSによる復号化は
HTTPSを利用した
復号化しない限り
パフォーマンスの
攻撃の80%が
IPSやWAFで検疫できない
大幅な低下を招く
検出を逃れている
「2017年までにネットワーク攻撃の50%以上がHTTPSを介して行われる」と調査会社は警告しています。
© F5 Networks, Inc
32
HTTPSを可視化して「100%検疫」しませんか。
BIG-IPなら、HTTPS復号化⇒検疫⇒トラフィック管理までを集約できます。
DMZ
次世代IPS
◎高度なインテリジェンス
◎不正な通信を検知し通知・遮断
◎シグネチャ自動チューニング
◎誤検知の大幅な低減
復号化（平文）
復号化
検疫（WAF）トラフィック管理
再暗号化
暗号化通信（SSL/TSL）
BIG-IP
Internet
POINT
機密情報
情報資産
BIG-IP上で復号化したトラフィックを
セキュリティ監視機器に振り向けます。
© F5 Networks, Inc
POINT
HTTPS可視化に際して
パフォーマンス低下を起こしません。
33
HTTPS可視化は「情報漏えい対策」にも有効です。
BIG-IPなら、PCのウィルス感染等によるリスクも軽減できます。
次世代FW
◎URLフィルタリング
◎アプリケーションレベルでの識別と制御
◎ポリシーベースのアクセス制御
復号化（平文）
再暗号化
代理署名
トラフィック管理
LAN
復号化
暗号化通信（SSL/TSL）
SNS、掲示板、ブログ
動画サイト、ゲームサイト
オンラインストレージ
POINT
Internet
BIG-IP
User
BIG-IPでHTTPSを可視化することにより、
アプリケーションレベルでのフィルタリングとアクセス制御が有効になります。
© F5 Networks, Inc
34
HTTPS可視化は、BIG-IPにお任せください。
年率20-30%で増加するHTTPS通信に、最小のコストで対応できます。
現在の機器構成（例）
①機器のアップグレード
②BIG-IPを追加
暗号化・復号化を超高速にHW処理
性能不足により、増大する
HTTPS通信に応えられない
同一ブランドの上位機種に
リプレースした場合
◎次世代ファイアウォール（2台）
◎1-2Gbps帯域のアップリンク
◎アプリケーション制御とIPSを実装
◎SSLトラフィックは識別対象外
約
2,000万円
上位機種（2台）の定価
既存の機器を活かして
BIG-IPを追加した場合
約
500万円
BIG-IP XXXX（2台）の定価
BIG-IPによる「HTTPS可視化」の詳しい資料や、事例コンテンツをご用意しています。
どうぞお気軽にお申し付けください。
© F5 Networks, Inc
35
マルチデバイス時代の
SSO構築のポイントとは！？
F5ネットワークスジャパン合同会社
マルチデバイスの普及が、新たな問題を生んでいます。
不適切な端末からのアクセスが、セキュリティ上のリスクになっています。
ウイルスソフトが
入っていない端末
OSをバージョンアップ
していない端末
会社支給外の
“野良端末”
Jailbreak
している端末
企業システム全体の
リスクが増加
「ログオン」や「アクセス」だけでなく、
「どの端末からアクセスするか」を含めて考える必要があります。
© F5 Networks, Inc
37
ログオン前の「検疫」で、リスクを低減しませんか。
さらにアクセス制御を組み合わせることで、リスクを大幅に低減できます。
端末の検疫
アクセス制御
誰が、いつ、どこから、どんな端末から
アクセスしたのかをチェックします。
アクセス端末
チェック項目例：iOS
ポリシー例
プラットフォーム情報
iOS
Yamadaというアカウント名のユーザーは、
モデル名
iPhone 4
最新のiOSをインストールした
バージョン情報
4.3
デバイスID"XXXXX"というiPhoneから
8ccaf965e51e3077
でなければアクセスを拒否する
ユニークID(UUID)
JailBreak
ユーザ
yamada
© F5 Networks, Inc
検疫結果とポリシーに基づき
認証と認可を実施します。
チェック項目例：Android
no
プラットフォーム情報
Android
MACアドレス(WiFi)
90:21:55:07:4A:32
モデル名
Galaxy Nexus
バージョン情報
4.0.2
ユニークID
8ccaf965e51e3077
シリアルナンバ
016BEB2097AF1456
IMEI番号
354569041052233
アクセス許可
アクセス拒否
ポリシーエディタ
メッセージ表示
38
おすすめは、マルチデバイス認証対応のSSOです。
BIG-IP APMなら、SSOの利便性と高度なセキュリティを同時に実現できま
す。
BIG-IP Access Policy Manager
Windows
Mac
Linux
IOS
Android
クラウド
アプリケーション
業務
サーバー
Webサイト
BIG-IP プラットフォーム
マルチデバイス端末に
対応
きめ細かな
端末検疫
ポリシーに基づく、
柔軟なアクセス制御
クラウド／オンプレミスの
Webアプリケーションに対応
POINT
BIG-IP APMは、マルチシステム、マルチテナント対応の認証／認可基盤を提供する、
本格的なSSOソリューションです。
POINT
きめ細かな端末検疫とアクセス制御という従来製品にない特長で、
マルチデバイス時代の企業システムのセキュリティを確保します。
© F5 Networks, Inc
39
既存のBIG-IPを使って、今すぐ構築できます。
これにより、従来型のSSO製品にはないメリットを提供します。
TCOの削減
端末検疫
リードタイムの短縮
4,880万円
専用のプロダクトが
別途必要
数ヶ月
2,448万円
ワンストップで
提供
数日
社員 1万人、同時接続4000名のモデル事例で
某SSO製品と
5年間のTCOを比較した場合です。
BIG-IP APMなら、
端末検疫もすぐに利用できます。
追加費用もかかりません。
物理構成のための工程は不要です。
ポリシー設定をするだけで
すぐに使いはじめることができます。
「BIG-IP APM」の詳細資料や、事例コンテンツをご用意しています。
どうぞお気軽にお申し付けください。
© F5 Networks, Inc
40

Download Report