アジェンダ CASB の理理想 CASB 導入後の課題と誤解先を見見据えた境界線を定義する

Size: px

Start display at page:

Download "アジェンダ CASB の理理想 CASB 導入後の課題と誤解先を見見据えた境界線を定義する"

こうじねごろ
5 years ago
Views:

1 CASB の理理想と現実とこれからウェブセキュリティと一体化していく CASB 株式会社シマンテックエバンジェリスト髙岡隆佳

2 アジェンダ CASB の理理想 CASB 導入後の課題と誤解先を見見据えた境界線を定義する

3 CASB の理理想

4 SSL *Bluecoat Systems Lab他社比較テスト結果 DX Digital Transformation: DXとは > ソーシャルを活用した新しいビジネス > クラウド上でのデータ共有 > 顧客ニーズをリアルタイムに満たすもの

5 クラウドシフトに伴うデータの流流出リスク o 主要な 4 つのリスク 1. 低い情報リテラシー 2. シャドーデータ!!!!!!!!! 3. 取引先との重要情報共有 4. 管理理外のデバイスからのアクセス管理理下デバイス管理理外デバイス

6 CASB がもたらすメリット機密情報の自動認識識シャドーユーザの特定社外リソースの制御データ共有先の把握クラウド活用の監視クラウドシフトすればするほど投資効果 = 企業のクラウドシフトを加速化 6

7 CASB 実装方式について管理理者アカウント 1 クラウド上のデータ保護とアクセス制御 à API 2 一元的なセキュリティポリシーの施行行 à Proxy または Agent Proxy CASB Agent 3 シャドー IT 可視化とユーザふるまい分析 à Proxy/FW または Agent のアクセスログオンプレミス在宅宅勤務ユーザ 7

クラウドアプリケーションの整理理 à 活用グレーゾーンを無くしクラウドシフトを促進 YES YES YES コンプライアンスは?

側で責任持ってデータ保護が必要 ( クラウドベンダ側はユーザの利利活用における漏漏洩においては責任を取らない ) o Monitor 監視対象アプリ o

8 クラウドアプリケーションの整理理 à 活用グレーゾーンを無くしクラウドシフトを促進 YES YES YES コンプライアンスは? YES NO アクセス制限可? YES YES 利利用されているクラウドの検出ビジネス上必要か? 安全性評判はどうか? NO ベンダ固定できるか? NO リスクよりもビジネスニーズが上か? NO NO Sanc4oned Monitor Block NO o Sanction 認可アプリ API o 企業が社員に対し投資しているアプリ o IT 側で責任持ってデータ保護が必要 ( クラウドベンダ側はユーザの利利活用における漏漏洩においては責任を取らない ) o Monitor 監視対象アプリ o 業務上止めることができないアプリ o コンプライアンス上害はないと判断されたアプリについては利利用許可 ( ただし監視対象とする ) o Block ブロック対象アプリ Proxy/Agent Proxy o セキュリティ上コンプライアンス上リスクなりうるアプリは利利用の禁止 8

9 CASB 導入後の課題と誤解 9

10 CASB 実装後の課題 Internet 管理理者アカウント 1 機密情報が正しく認識識されず誤検知対応 & 漏漏洩リスク 2 CASB が認識識できないサービスへのアクセスが制御から漏漏れる Proxy CASB Agent 3 新しい Shadow IT の精査と登録が負担オンプレミス在宅宅勤務ユーザ 10

11 CASBはとどのつまりSSL 可視化 +DLP IDと付随するユーザのステータスを元にクラウド利利用を制御 SSL Proxy DLP CASB (Cloud Access Security Broker) SSL(https)

12 CASB だけでは足りない? 場所を問わず企業のセキュリティポリシーを一元的に適用 URL フィルタコンテンツ分析 C&C キルチェーンインターネット / クラウドアクセス CASB SSL Proxy DLP W e b / C l o u d S e 監査 c u r i t y Secure Web Gateway セキュアウェブゲートウェイ ( ハイブリッド ) 本人認証暗号化ネットワーク Network Security 多層防御エンドポイント Endpoint Security 企業 SOHO/ モバイル IoT デバイス

13 SWG v.s. CASB CASBはSWGに包含されて初めて価値が出る C&C DLP API DLP SSL URL SWG セキュアウェブゲートウェイ CASB クラウドアクセスセキュリティブローカー Internet Cloud X X X Users

14 CASBのDLPは実用的ではない? データ形式に合わせた適切切な検出ロジックが必要本社拠点モバイルユーザ Discover 8

15 データ経路路の網羅羅性 DLP DLP ENDPOINT DLP STORAGE DLP NETWORK DLP CLOUD MTA or Proxy Roaming à Windows Mac à à à à à NAS SPAN Port or Tap à à à à à à 現場現物に即したデータの棚卸し ( ヒアリングや机上のレビューのみに依存しない ) と台帳化により見見逃しなく対象データを把握管理理対象データに対する適切切な技術的組織的セキュリティ対策を確認し個人情報保護法 /GDPR 要件とのギャップを識識別修正

用の妨げにならないか? 企業としてのクラウド活用指針やデータ取扱い規定を定義しているか?

16 後悔しない CASB 選定のポイント CASB で分類できないクラウドをウェブセキュリティで補完できるか? à SWG 連携多段プロキシなどの URL フィルタ機能で漏漏れなくポリシー施行行できるかデータの分類と制御の精度度は運用の妨げにならないか? 企業としてのクラウド活用指針やデータ取扱い規定を定義しているか? à 幅広いデータ形式の対応 à 社内のデータ端末上のデータにポリシーを適用できるか à 指針がなければ適切切なポリシーもかけられず十分な投資効果が得られないどころか情報流流出のリスクが残る

17 先を見見据えた境界線を定義する

18 企業のセキュリティ課題は多岐にわたる Shadow IT 対策情報流流出 SSL 通信可視化 GDPR クラウドセキュリティ外部共有クラウドマルチクラウドガバナンス過検知誤検知対応スマホのセキュリティインターネット教育オンプレミス人材不不足働き方改革脆弱性対策セキュリティ統制働き方改革クラウドシフト DX ü 企業の守るべきデータは境界線を越えて活用 ü データとユーザを取り巻く脅威は従来の枠組みを超える ü オンプレモバイルクラウド全方位型のセキュリティ対策企業 PC の保護エンドポイント BYOD 対策

19 統合化前提のセキュリティ投資の必要性インシデント最新の攻撃ビジネス継続性コンプライアンスクラウドシフト働き方改革サイバー攻撃対策 \? 情報流流出対策 Orchestra4on & Automa4on メールウェブクラウド PC モバイル VM 統合化基盤 ( セキュリティプラットフォーム ) で投資効果と運用負荷の最小化が必要 19

20 海外とは異異なるデータガバナンス事情データ取扱いに対するポリシー 20

21 製品ではお客様の課題を解決できません UEBA CASB クラウドファーストコンサルティング暗号化 Proxy GDPR 投資効果 SIEM 働き方改革 VDI SD- WAN + 統合化基盤による運用負荷最小化 + サイバー攻撃対策とデータ保護の両立立 SSL 可視化情報流流出対策 Sandbox DLP 標的型対策 MDM Forensics NGFW モバイル保護 MTD NGAV 脅威インテリジェンス複雑化するセキュリティ課題要塞塞化脆弱性対策 AI WAF IoT 認証 EDR SOC/CSIRT MSSP 信頼できるセキュリティ統合ベンダーの選択 = 投資効果をもたらすセキュリティ基盤の構築 21

様々なデータ形式 ( テキスト文章画像データベースフォーム等 ) に対応した DLP エンジンか? 企業の境界線を越えたユーザやデータを漏漏れなく可視化し適切切なリスク分析に対応できるか?

22 各セキュリティ対策の評価ポイントシマンテックのプラットフォームは確かな技術の上に成り立立っています対策サイバー攻撃対策情報流流出対策インシデント対応評価ポイント脅威インテリジェンスの質と量量多様なデータ形式に対応した DLP エンジンユーザとデータのふるまい検出の網羅羅性既知の脅威情報の量量はもちろんのことどのようなロジックで未知の脅威を検出できるのか ( 質 )? 様々なデータ形式 ( テキスト文章画像データベースフォーム等 ) に対応した DLP エンジンか? 企業の境界線を越えたユーザやデータを漏漏れなく可視化し適切切なリスク分析に対応できるか? 適用先 à ウェブメール CASB à エンドポイント à サンドボックス à フォレンジック à SSL 可視化など à ウェブメール CASB à エンドポイント à 暗号化本人認証 à フォレンジック à SSL 可視化など à ウェブメール CASB à エンドポイント à サンドボックス à 暗号化本人認証 à SSL 可視化など

3 年年後の未来予想図クラウドシフトがセキュリティ境界線の延伸を加速する CASB DX

流流動的なデータに対して企業は責任ある対応が急務従来のログ分析だけでは脅威がより

による事後対応増加 > オフプレミス環境でのシームレスなセキュリティが必要に ( 全

23 3 年年後の未来予想図クラウドシフトがセキュリティ境界線の延伸を加速する CASB DX 化などの流流れによりクラウドシフトが加速ユーザは場所関わらずクラウド活用が必要に流流動的なデータに対して企業は責任ある対応が急務従来のログ分析だけでは脅威がより見見えなくなるクラウドが業務基盤化企業の境界線の延伸データガバナンスの強制多角的なログ情報によるリスク分析 > US 企業では平均 10~20 アプリを採用 > 企業の外向け通信はほぼ SSL 化へ > 見見えない化による事後対応増加 > オフプレミス環境でのシームレスなセキュリティが必要に ( 全方位のサイバー対策 ) > 守るべきデータを正確に追跡制御がビジネスを左右する ( コンプライアンス対応 ) > セキュリティ BI 時代の到来 (SOC- AI) 23

24 1 境界線の延伸オンプレミスクラウドモバイルをつなぐSWG Secure Web オンプレミス Gateway To クラウド SWG Add on: CloudSOC (CASB) エンドポイント To クラウド Add on: CloudSOC (CASB) クラウドインターネットクラウド > エンドポイントから直接クラウドへ ( アクセス遅延と制限のない環セキュリティレベルの一元化境の提供 ) > SWG 経由でウェブ及びクラウドアクセスの一元的な管理理を実現本社海外拠点グループ企業インターネットリアルタイム URL フィルタリング > 企業の定めたサービス信頼度度に基づく > 今のリスクに基づくリスクを分析シャドー ITの自動制御 > ドメインに依存しない正確なリスクの検知 > DLPポリシー延伸でクラウド活用に > 誤検知過検知の防止とユーザ生産性の維持データガバナンスを > 新規サービスはウェブポリシーで制御多層コンテンツフィルタリング > 二重のアンチマルウェア分析で誤検知低減 > 未知のコンテンツに対して静的分析と動的分析 > エンドポイントへのリスクを極小化オンプレミス IoT デバイスエンドポイント出張者自宅宅勤務モバイルユーザオンプレミスマルチクラウドの可視化と制御 To エンドポイント Add on: WSS (SWG) > 企業の定めた信頼度度に基づくクラウドの精査 > シャドー ITの自動制御とウェブフィルタ連携 > デバイス場所ユーザに基づくアクセス制御 24 > 企業のウェブセキュリティをすべてのエンドポイント (PC, スマホ VM) に適用

99.9% 27% 12% 67% 1% へ ( アクセス遅延と制限のない環 > 新規サービスはウェブポリシーで制御 SOC/CSIRT 境の提供 ) > SWG 経由でウェブ及びクラウドア AV クセスの一元的な管理理を実現 URL エンドポイントインターネット

25 1 境界線の延伸オンプレミスクラウドモバイルをつなぐSWG エンドポイント To クラウド URL Secure Web Gateway SWG Web オンプレミス To クラウド Add on: CloudSOC (CASB) Uncategolized Mid-Risk > 企業の定めたサービス信頼度度に基づくシャドー ITの自動制御 URL Add on: CloudSOC (CASB) AV クラウド > DLPポリシー延伸でクラウド活用に EDR (IR) > エンドポイントから直接クラウドデータガバナンスを 99.9% 27% 12% 67% 1% へ ( アクセス遅延と制限のない環 > 新規サービスはウェブポリシーで制御 SOC/CSIRT 境の提供 ) > SWG 経由でウェブ及びクラウドア AV クセスの一元的な管理理を実現 URL エンドポイントインターネットオンプレミス! ユーザ側はエージェントオンプレミス To エンドポイント Add on: 不不要 WSS (SWG) Pin-Point Approach マルウェアのダウンロードによる感染リスク回避 > 企業のウェブセキュリティをすべてのエンドポイント (PC, スマホ VM) に適用 25

2 リスクの可視化見見えないリスクを可視化し気づきを得るオンプレミス To クラウド / エンドポイント Add on: ICS (DLP/2FA/Encryp4on/Tagging) クラウド > オンプレのデータガバナンスをエンドインターネットクラウドポイントとクラウドにも適用 > 本人認証とデータ機微度度デバイスデータガバナンスの徹底アクセス場所

26 2 リスクの可視化見見えないリスクを可視化し気づきを得るオンプレミス To クラウド / エンドポイント Add on: ICS (DLP/2FA/Encryp4on/Tagging) クラウド > オンプレのデータガバナンスをエンドインターネットクラウドポイントとクラウドにも適用 > 本人認証とデータ機微度度デバイスデータガバナンスの徹底アクセス場所アプリケーションに応じたアクセス制御の提供本社海外拠点グループ企業データ Informa4on Centric Security ICS データの自動認識識 ( 機械分析 + タグ ) > データの形式に応じた多角的な分析で高精度度な検出 > テキスト文書データベース画像フォーム > 組織ごとに指定されたタグに基づいたポリシー試行行本人認証の徹底 ( ふるまい認証 ) > ログイン時だけでなくオンデマンドの認証実行行 > 機密データアクセス時ふるまいリスク検知時オンプレミス > オフプレミス環境におけるデータ保護の実現 To エンドポイントオンプレミス Add on: Symantec SEP & ATP (EDR) IoT デバイスエンドポイント出張者自宅宅勤務モバイルユーザ > すべてのエンドポイント (PC, スマホ, VM) をデータに紐紐づく暗号化オンプレミスと同レベルまで多層防御化 > EDRにより端末内の未知のふるまいについて可視化し遠隔からシンプルに対処の実行行 > DLPポリシーに応じたファイルの暗号化 > 暗号データと鍵の分離離漏漏洩ファイルの無効化 > 別名保存第 3 者転送におけるポリシー強制 26

27 データ可視化と検閲ポイントの連携データの自動分類 DLP 本人認証 VIP PGP 暗号化ファイル Access Granted Denied 破棄パートナー顧客ベンダー同僚僚

Add on: ICA (UEBA) > オンプレミスとオフプレミスすべてのイベントを統合しリスク分析を実行行 ( 攻撃 & 内部不不正双方の観点から ) > ユーザおよびデータについてリスクがある場合はSWGやEPP/EDR

28 3 対応の自動化ユーザとデータに紐紐づくリスク対応の自動化 DLP (Symantec DLP) クラウド Informa4on Centric Analysis ICA データエンドポイント (Symantec SEP) ウェブ (Symantec CASB,ProxySG) オンプレミスデータ暗号化 (Symantec ICE) ユーザ認証 (AD 等 ) エンドポイント / クラウド SIEM To オンプレミスネットワークその他セキュリティ製品ログ Add on: ICA (UEBA) > オンプレミスとオフプレミスすべてのイベントを統合しリスク分析を実行行 ( 攻撃 & 内部不不正双方の観点から ) > ユーザおよびデータについてリスクがある場合はSWGやEPP/EDR アラートを通じて直接必要なポリシーを施行行 ( 隔離離暗号化アクセス制限など ) 管理理者ブラックリスト追加エンドポイントアップロード制御暗号化復復号追加認証 SWG SEP EDR 連携 ( ブラックリスト追加 ) ( 隔離離 ) 28

29 これからのセキュリティ (UEBA) 負の誘因セキュリティ適用状況教育モラルグループ権限ポリシー違反歴アクセス場所利利用デバイス ID 悪意ある対象利利用アプリデバイスの今のふるまい共有先共有元今のリスクは? 現在の信頼度度データ機微度度 29

30 統合化基盤を目指したセキュリティ投資インシデント最新の攻撃ビジネス継続性コンプライアンスクラウドシフト働き方改革サイバー攻撃対策 \? Security Pla]orm 各センサーに対するポリシーの統合とリスクの可視化運用負荷最小化情報流流出対策メールウェブクラウド PC モバイル VM 統合化基盤 ( セキュリティプラットフォーム ) で投資効果と運用負荷の最小化を実現 Copyright 2017 Symantec CorporaSon SYMANTEC PROPRIETARY- LIMITED USE ONLY 30

Integrated Cyber Defense ICD Pla]orm ビジネス革新に沿ってセキュリティ境界線を延伸

セキュリティ監視育成インシデント対応脅威インテリジェンスサイバーレジリエンスクラウド ESS CloudSOC

モバイル EDR Cloud エージェントレス EDRサービス製品 Consul4ng セキュリティコンサルティング

クラウドサービス WSS セキュアウェブサービスオンプレミス DLP 情報漏漏えい対策 ProxySG/ASG

SSLVA SSL可視化 SA ネットワークフォレンジック ATP 標的型攻撃対策 SEP エンドポイント保護

31 Integrated Cyber Defense ICD Pla]orm ビジネス革新に沿ってセキュリティ境界線を延伸 CSS (MSS/IR) 運用支援 Premium Support GIN 運用支援サービスインテリジェンスセキュリティ監視育成インシデント対応脅威インテリジェンスサイバーレジリエンスクラウド ESS CloudSOC 認証 DLP CASB メール保護サービス UEBA 暗号化タグ SEP Mobile スマートデバイス防御サービスモバイル EDR Cloud エージェントレス EDRサービス製品 Consul4ng セキュリティコンサルティング脆弱性診断 3rd- PT Security Products / SIEM DCS/CWP データセンター堅牢牢化クラウドサービス WSS セキュアウェブサービスオンプレミス DLP 情報漏漏えい対策 ProxySG/ASG セキュアウェブゲートウェイ CA コンテンツ多層分析 ICS データ中心の保護サービス SWI ウェブ分離離 SSLVA SSL可視化 SA ネットワークフォレンジック ATP 標的型攻撃対策 SEP エンドポイント保護エンドポイント Copyright 2017 Symantec CorporaSon SYMANTEC PROPRIETARY- LIMITED USE ONLY 31

32 ICD Pla]ormがもたらすメリット複雑化するビジネス課題を解決しビジネスを加速化させる CSS (MSS/IR) 運用支援 Premium Support GIN インテリジェンスセキュリティ監視育成インシデント対応脅威インテリジェンス ü 情報流流出対策 ü DLP ü ESS 高いセキュリティレベルが本社拠点端末間で一元化 ü メール保護サービスされる ü UEBA ü 暗号化 ü ゼロデイ対策がウェブメールエンドポイントで可能に ü タグ ü SEP Mobile ü スマートデバイス防御サービス ü WSS ü PacketShaper ü 帯域アプリ制御 ü あらゆる場所のデータが可視化され事前対応が可能に ü CASB ü クラウド ü SMG ü メールフィルタ ü オンプレミス ü SSLVA ü DLP ü クラウドシフト加速化で利便性向上とコスト ü SSL可視化 ü 情報漏漏えい対策削減 ü ProxySG/ASG ü CA ü SA ü SWI ü ATP ü セキュアウェブ ü コンテンツ ü データの機微度やユーザのリスクに応じた制御が可 ü ネットワーク ü ゲートウェイ ü 多層分析フォレンジック能に ü ICS ü データ中心の ü 保護サービス ü 標的型攻撃対策 ü エンドポイントはシングルエージェントでサイバー対策と情報流出対策が可能に ü セキュアウェブサービス ü EDR Cloud ü モバイル ü エージェントレス ü SEP EDRサービス ü エンドポイント ü 既存投資したセキュリティ投資からのフィードをリスク分析に活用し分析精度を向上させることが可能保護 ü ウェブ分離離 3rd- PT Security Products / SIEM サイバー攻撃対策 ü DCS/CWP ü SOC/CSIRTで対応が必要なアラートが最小化され ü データセンター ü 堅牢牢化 ü 認証る ü CloudSOC サイバーレジリエンス Consul4ng セキュリティコンサルティング脆弱性診断 ü エンドポイント ü SOC自動運用へのシフトチェンジに対応できる統合化基盤の構築で先につながるセキュリティ投資が可能 32

33 お客様のビジネス革新をナビゲートシマンテックは将来に繋がるセキュリティを提案します一元化可視化自動化 Navigate to the Future of Security オンプレミスモバイルクラウドを業界トップの技術でつなぐお客様の財産であるデータと人の保護とガバナンスを提供するシマンテックはお客様のビジネス革新をナビゲートします 33

34 Thank You!

PowerPoint プレゼンテーション

PowerPoint プレゼンテーションビジネス革新と投資効果を見据えて設計する 3 年後のセキュリティ境界線株式会社シマンテックエバンジェリスト高岡隆佳セキュリティ予算に纏わる現実クラウドシフトが生み出す新しいジレンマセキュリティ運用コスト既存のセキュリティ投資新規のセキュリティ投資 (CASB or EDR or DLP...?) 新しい規制への対応運用への投資 ( 人件費 ) 現在のセキュリティ予算年間予算増加 6-8%

アジェンダ CASB の理理想 CASB 導 入後の課題と誤解 先を 見見据えた境界線を定義する

アジェンダ CASB の理理想 CASB 導入後の課題と誤解先を見見据えた境界線を定義する