クラウドを取り巻く環境とセキュリティ対策近年迅速にシステム構築運用が可能なインフラとしてパブリッククラウドが企業ユーザに普及パブリッククラウドではOS/アプリケーションレベルのセキュリティ対策はユーザ側に委ねられている場合が多い仮想化技術の特性に起因するリスクも想定されるパブリックク

Size: px

Start display at page:

Download "クラウドを取り巻く環境とセキュリティ対策近年迅速にシステム構築運用が可能なインフラとしてパブリッククラウドが企業ユーザに普及パブリッククラウドではOS/アプリケーションレベルのセキュリティ対策はユーザ側に委ねられている場合が多い仮想化技術の特性に起因するリスクも想定されるパブリックク"

みりあいざわ
5 years ago
Views:

管理サーバ不要のサーバ向けクラウド型セキュリティサービス Trend Micro

2 クラウドを取り巻く環境とセキュリティ対策近年迅速にシステム構築運用が可能なインフラとしてパブリッククラウドが企業ユーザに普及パブリッククラウドではOS/アプリケーションレベルのセキュリティ対策はユーザ側に委ねられている場合が多い仮想化技術の特性に起因するリスクも想定されるパブリッククラウド利用であっても情報に対する最終責任を負うのはユーザです従来のオンプレミス環境同等またはそれ以上のセキュリティをパブリッククラウドという IT環境で実現することがユーザ側に求められます参考パブリッククラウドで想定されるセキュリティリスク(例) 仮想化技術の特性発生し得るリスクインフラを複数の仮想OSで共有 ( マルチテナント環境異なる組織間で利用する際のリソース分離やデータの保護が徹底できない懸念が残るリソースを動的に変化させ各OSに配分するため仮想OS単位でパフォーマンスが維持できない仮想OSの操作をコンソール越しに一元でおこなう仮想OSをイメージとして保存し容易に複製が可能 2017/7/3 管理コンソールの権限奪取により仮想OS自体の起動停止削除などの操作がされてしまうマスターイメージが侵害されると複製全てのセキュリティが低下停止中の仮想OSのセキュリティ機能が更新されず次回起動時にセキュリティが低下 Copyright 2014 Trend Micro Incorporated. All rights reserved. 2

3 パブリッククラウド環境でのセキュリティ対策ポイント仮想OS DSaaSによる仮想OS単位のホスト型セキュリティ対策の実装ホスト型IPS/IDS IaaS アプリケーションデータランタイムミドルウェア OS 利用者が対策を行う範囲ホスト型ファイアウォールプライベートクラウドセグメンテーションとファイアウォールパブリッククラウドリソースへのアクセス管理不正プログラム対策ソフトウェアのアップデートアプリケーションランタイムミドルウェア OS セキュリティログの収集管理データの暗号化ウイルス対策 etc システム上の変更監視セキュリティログ監視 Webレピュテーション仮想化サーバストレージ 3 パブリッククラウド事業者が対策を行う範囲ネットワーク Copyright 2015 Trend Micro Incorporated. All rights reserved. Copyright 2014 Trend Micro Incorporated. All rights reserved. 3

パブリッククラウド環境でのセキュリティ対策比較 Gateway型による対策 (GW型/Host型) 1. スケールアウトを考慮した設計が必要 2. 単一障害ポイントとなりうる 3.

Zone Host型による対策 1. インスタンスの増減に対して考慮が不要 2. 障害時の影響もインスタンス単位である 3.

Gateway型ではスケールアウトを考慮した設計と単一障害ポイントへの備えとしてインスタンスの増加 Copyright 2015 Trend Micro Incorporated.

4 パブリッククラウド環境でのセキュリティ対策比較 Gateway型による対策 (GW型/Host型) 1. スケールアウトを考慮した設計が必要 2. 単一障害ポイントとなりうる 3. 2 の対策インスタンス増費用がかさむパブリッククラウド Gateway型 IDS/IPS Web Server App Server DB Server Availability Zone Host型による対策 1. インスタンスの増減に対して考慮が不要 2. 障害時の影響もインスタンス単位である 3. 必要な時に必要なだけ = クラウド向きパブリッククラウド Web Server App Server DB Server Availability Zone Gateway型ではスケールアウトを考慮した設計と単一障害ポイントへの備えとしてインスタンスの増加 Copyright 2015 Trend Micro Incorporated. All rights reserved. 4 が避けられませんその点 Host型では必要な時に必要なだけというクラウド向きの対策が可能です 2017/7/3 Copyright 2014 Trend Micro Incorporated. All rights reserved.

Deep Security as a Serviceとは DSaaS ディーサース DSaaSはトレンドマイクロが管理サーバをクラウド上で提供するサーバ向けクラウド型セキュリティサービスですサーバ保護に必要なセキュリティ機能を一元的に提供しますまた導入にあたり管理サーバを構築する必要がないため手軽に利用できますお客さまは

5 Deep Security as a Serviceとは DSaaS ディーサース DSaaSはトレンドマイクロが管理サーバをクラウド上で提供するサーバ向けクラウド型セキュリティサービスですサーバ保護に必要なセキュリティ機能を一元的に提供しますまた導入にあたり管理サーバを構築する必要がないため手軽に利用できますお客さまはトレンドマイクロがクラウド上で提供する管理サーバにログインすることでセキュリティ設定の変更やログ管理を行うことができます ① 1本から導入可能でスモールスタートできる ② トレンドマイクロがDeep Securityマネージャ(DSM)を管理 Amazon Web Services ③ 月額ライセンスでご利用可能対応クラウド Microsoft Azure 事業者 vcloud Air その他国内クラウド事業者クラウド上の仮想サーバ DSM DSM 管理マネージャインフラの運用管理トレンドマイクロ Copyright 2014 Trend Micro Incorporated. All rights reserved. Deep Security エージェントを仮想サーバにインストール運用管理お客様エージェントの死活監視ログの確認等の日常運用 5

提供するセキュリティ機能クラウドに最適なエラスティックなセキュリティソリューションホストベースでのネットワークアイソレーションを実現

Web レピュテーション不正プログラム対策不正プログラムの侵入配置を検出し隔離削除ログエントリーから不審な振舞いを検出し管理者に通知

不正プログラム対策 6Web レピュテーションセキュリティログ監視 Copyright 2014 Trend Micro Incorporated.

6 システム上の変更監視攻撃を受ける機会を軽減します内容 OS 内の不正な変更行為を検出監視対象はディレクトリファイルプロセスサービス

6 提供するセキュリティ機能クラウドに最適なエラスティックなセキュリティソリューションホストベースでのネットワークアイソレーションを実現ホスト型ファイアウォール IDS/IPS ( 侵入防御 ) OS, ミドルウェアの脆弱性を狙った攻撃を検出防御不正な URL への接続をブロック Web レピュテーション不正プログラム対策不正プログラムの侵入配置を検出し隔離削除ログエントリーから不審な振舞いを検出し管理者に通知多層防御セキュリティ機能 1 ホスト型ファイアウォール 2 仮想パッチ (IDS/IPS) 3 セキュリティログ監視 4 システム上の変更監視 5 不正プログラム対策 6Web レピュテーションセキュリティログ監視 Copyright 2014 Trend Micro Incorporated. All rights reserved. 6 システム上の変更監視攻撃を受ける機会を軽減します内容 OS 内の不正な変更行為を検出監視対象はディレクトリファイルプロセスサービスレジストリなど仮想パッチ技術を用いて脆弱性を突いた攻撃からサーバを保護します重要なセキュリティイベントを早期に発見しますファイル等の改ざんを早期に発見しますマルウェア攻撃からの保護および不正 URL へのアクセスをブロックします不正な URL への接続をブロックします

7 仮想パッチによる脆弱性の保護ハッカーウィルスクラッカー日々脆弱性が発見されるなか緊急パッチ適用作業はお客様にとって運用上の負荷であり課題です既知の脆弱性からシステムを保護 Deep Security の仮想パッチ仮想パッチを適用することで緊急パッチの回数を減らしお客さまの運用負荷を軽減脆弱性が悪用される前に迅速にシステムを保護します 7

8 仮想パッチとは? 脆弱性を狙う攻撃コードをネットワークレベルでブロックする機能例えるならば傷口に貼る絆創膏 ( バンソウコウ ) Windows, Linux, Solaris 等主要なサーバ OS を始め Apache, BIND, Microsoft SQL, Oracle 等 100 以上のアプリケーションに対応 8

9 9 仮想パッチ機能の優位性推奨設定機能推奨設定機能を使うことで Agent が自動でサーバ内のシステム情報を Scan しサーバ上にある脆弱性の穴を見つけますまたそこに対する必要なシグネチャー仮想パッチを自動で適用します結果的にサーバは必要な保護だけを適切に自動で受けることが可能となります DSaaS 管理マネージャ CVE CVE Web サーバ DSaaS の Agent がサーバの OS 上の各種情報起動サービスインストールモジュール設定情報などを取得それら情報を基にサーバ内にある脆弱性を見つけその情報を管理マネージャに送信します管理マネージャはサーバ側で発見された脆弱性に対するシグネチャー " 仮想パッチ " のリストを Agent へ配信します結果サーバの脆弱性は必要な仮想パッチを用いて必要な保護を受けることができます CVE CVE データベースサーバ解決可能なペインポイント管理者様はサーバ内の脆弱性の管理や脆弱性を狙った攻撃から解放されます最小限の負荷で最適な保護を受けることが可能ですこれまでの IDS/IPS などの製品では管理者様自身でシグネチャーの適用を行っていましたがその運用負荷から解放されます

10 10 仮想パッチを導入することによるメリット 1. ベンダーの正規パッチリリースが遅れても未然に脆弱性を保護できる 2. 正規パッチの適用作業スケジュールを柔軟にコントロールできる脆弱性発覚! 公的 DB 登録 Deep Security 仮想パッチリリース各ベンダー正規パッチリリース経過時間お客さまの作業仮想パッチ適用正規パッチ検証作業正規パッチ適用仮想パッチ解除慌てず安心して検証作業可能!

ServerProtect ではなく脆弱性をついた攻撃や Web の改ざん情報漏洩等 Server を取り巻くサイバー攻撃が多様化する中

Security に搭載されているプラスアルファの機能ここが重要ここが重要ここが重要脆弱性対策と言ってもどこにどんな脆弱性が残っているのかを探し出すのかも

Deep Security なら OS, ミドルウェアの脆弱性を狙った攻撃を検出し防御さらにどこに脆弱性があるのかも可視化します Web の改ざん

11 ServerProtect ではなく脆弱性をついた攻撃や Web の改ざん情報漏洩等 Server を取り巻くサイバー攻撃が多様化する中それらの課題にオールラウンドで対応できる新しいソリューションが必要ですそれができるのがそしてそのクラウドモデルがです SP にはない Deep Security に搭載されているプラスアルファの機能ここが重要ここが重要ここが重要脆弱性対策と言ってもどこにどんな脆弱性が残っているのかを探し出すのかもむずかしいのではないでしょうか? Deep Security なら OS, ミドルウェアの脆弱性を狙った攻撃を検出し防御さらにどこに脆弱性があるのかも可視化します Web の改ざん等のサイバー攻撃を防御 OS 内の不正な変更行為を検出します監視対象ディレクトリファイルプロセスレジストリなど Server へのログエントリーから不審な振舞いを検出し管理者に通知不正な動きを見張ります Copyright 2014 Trend Micro Incorporated. All rights reserved. 11

Deep Securityと従来のウイルスバスターシリーズとの違い機能概要ウイルス対策マルウェア対策ファイアウォール IPアドレス MACアドレスプロトコルごとのファイルによる制御 IPS/IDS 不正侵入防御 OSの脆弱性やアプリケーションの脆弱性を保護 Webアプリケーション保護 SQLインジェクションや XSSなどWeb

ウイルスバスターCrop Server Protect オプションオプション Windows XP 2003 Vista 2008 ウイルス対策だけではなく脆弱性対策も改ざん検知もログ監視も昨今のサイバー攻撃からServerを守るた Copyright 2014 Trend Micro Incorporated.

12 Deep Securityと従来のウイルスバスターシリーズとの違い機能概要ウイルス対策マルウェア対策ファイアウォール IPアドレス MACアドレスプロトコルごとのファイルによる制御 IPS/IDS 不正侵入防御 OSの脆弱性やアプリケーションの脆弱性を保護 Webアプリケーション保護 SQLインジェクションや XSSなどWeb アプリケーションの脆弱性を保護アプリケーションコントロールアプリケーションの通信を検知制御変更監視改ざん検知ファイルやレジストリ等の変更を監視セキュリティログ監視 OSのイベントログやアプリケーションのログを統合監視デバイスコントロール USB CD-ROM SDカードなど外部メディアの制御対応プラットフォームウイルスバスターCrop Server Protect オプションオプション Windows XP 2003 Vista 2008 ウイルス対策だけではなく脆弱性対策も改ざん検知もログ監視も昨今のサイバー攻撃からServerを守るた Copyright 2014 Trend Micro Incorporated. All rights reserved. めにはその対策がとても重要です Deep Security サーバ向 Web, App, AD 機能名 Windows XP 2003 Vista 2008 け等 Windows RedHat SuSE Linux Solaris HP-UX* AIX*

DSaaSとDSライセンス版との違い DSaaS DSaaSはトレンドマイクロのデータセンタ上で管理サーバを提供しますお客さまは自社で管理サーバを構築運用することなく

イニシャルコストを抑えたスモールスタートが可能ですトレンドマイクロデータセンタパブリック/プライベートクラウド DSM Deep Security ライセンス版

提供モジュールはAgent型だけでなくVirtual Appliance型にも対応しており物理/仮想/クラウドといった様々なお客さまITインフラに対応します DSM

13 DSaaSとDSライセンス版との違い DSaaS DSaaSはトレンドマイクロのデータセンタ上で管理サーバを提供しますお客さまは自社で管理サーバを構築運用することなくパブリック/プライベートクラウドに実装されたを管理することが可能ですまた 1本から導入可能かつ月額課金という販売体系で提供するため管理サーバ費用と合わせイニシャルコストを抑えたスモールスタートが可能ですトレンドマイクロデータセンタパブリック/プライベートクラウド DSM Deep Security ライセンス版パブリック/プライベートクラウド自社構築管理サーバ Deep Securityライセンス版は管理サーバをお客さま側で構築運用いただきますまた提供モジュールはAgent型だけでなくVirtual Appliance型にも対応しており物理/仮想/クラウドといった様々なお客さまITインフラに対応します DSM 物理サーバ IT管理者 Copyright 2014 Trend Micro Incorporated. All rights reserved. 社内ユーザお客さま IT管理者 13 DSVA 仮想サーバお客さま社内ユーザ

14 DSaaS と DS ライセンス版の比較 DSaaS Deep Security ライセンス版 DSMの場所トレンドマイクロがホストエンドユーザ DSMの運用トレンドマイクロエンドユーザ提供モジュール DSVA/ 提供機能全機能全機能販売単位 1 から 1 からライセンス / 課金体系 Service Provider License 月額 / 年額パッケージ年額シートコントロール無無ログの保存期間 4 週無制限 ( お客さま設定に依存 ) ターゲットサーバ主にクラウド上の仮想サーバ物理仮想クラウド Copyright 2014 Trend Micro Incorporated. All rights reserved. 14

15 DSaaS: 利用における留意点ご利用になられる前に DSaaS 体験版をご利用いただくことをおすすめいたします体験版はからご利用ください DSaaS で提供しているのシステム要件はこちらを参照してくださいをインストールするサーバから DSaaS 管理マネージャにアクセスできることをご確認ください agents.deepsecurity.trendmicro.com:443 relay.deepsecurity.trendmicro.com:443 FAQ: ( プロキシサーバを経由する場合など設定の詳細については DSaaS のオンラインヘルプをご参照くださいプロキシサーバを経由する際の認証は Basic 認証のみ利用できます Digest 認証と NTLM 認証はサポートしていませんをインストールするサーバにおいてネットワークの一時的な切断または OS の NW ドライバーが他のプログラムによってロックされている場合 OS の再起動が求められる場合があります DSaaS の UI の一部通知メールなどが英語で表記されておりますご了承ください DSaaS で提供される機能の一部は日本ではサポートされないものが含まれておりますご了承ください DSaaS アカウントを作成するとがインストールされたデモ用の仮想サーバ (AWS インスタンス ) が提供されますこれは 30 日間利用が可能なデモ用インスタンスですデモ用仮想サーバのも 1 ユニットとしてカウントされるためご利用前にデモ用仮想サーバを削除して利用開始してください Copyright 2015 Trend Micro Incorporated. All rights reserved.

16 企業向けサーバセキュリティ市場6年連続世界No.1 トレンドマイクロはサーバセキュリティ市場において世界トップシェアを誇るリーディングカンパニーです企業向けサーバセキュリティ世界売上額シェア 2014年その他 22.7% トレンドマイクロトレンドマイクロ 27.5% 30.3 D社 6.8% C社 7.6% B社 A社 12.4% 20.2% 出典 IDC, Worldwide Endpoint Security Market Shares, 2014: Success of Midsize Vendors, IDC #US , December Copyright 2016 Trend Micro Incorporated. All rights reserved.

延命セキュリティ製品製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

延命セキュリティ製品製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC 延命セキュリティ二つの対策方法対策 1 ホワイトリスト型概要 : 動作させてもよいアプリケーションのみ許可しそれ以外の全ての動作をブロックすることで不正な動作を防止します特長 : 特定用途やスタンドアロンの PC の延命に効果的ですリストに登録されたアプリケーションのみ許可アプリケーション起動制御不許可アプリケーションは防止対策 2 仮想パッチ型概要 : OS アプリケーションの脆弱性を狙った通信をブロックし