延命セキュリティ二つの対策方法 対策 1 ホワイトリスト型 概要 : 動作させてもよいアプリケーションのみ許可し それ以外の全ての動作をブロックすることで 不正な動作を防止します 特長 : 特定用途やスタンドアロンの PC の延命に効果的です リストに登録されたアプリケーションのみ許可 アプリケーション起動制御 不許可アプリケーションは防止 対策 2 仮想パッチ型 概要 : OS アプリケーションの脆弱性を狙った通信をブロックし 正規パッチを当てた場合と同等のセキュリティを提供します 特長 : PC への影響が小さいため 最小限の評価で適用可能です クラッカー ボット 攻撃 仮想パッチ Page 92 NEC Corporation 2014
延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC 仮想パッチ型 Trend Micro ウイルスバスターコーポレートエディション脆弱性対策オプション Trend Micro Deep Security Virtual Appliance ネットワーク接続がある物理 PC VMware 上で動作する VPC 同 Server 2003 Server 2003 Page 93 NEC Corporation 2014
ホワイトリスト型セキュリティ McAfee Embedded Control 概要 / 導入メリット 予め登録した実行ファイルやスクリプトのみを動作させるホワイトリスト型セキュリティ 登録したファイルの改ざんも防止することで なりすましやシステムの破壊も防止 メモリ保護機能を実装し バッファオーバフロー攻撃や DLL を悪用する攻撃など脆弱性を利用した攻撃からもシステムを保護 定義ファイルの定期更新が不要なため インターネットへの接続が不要 動作イメージ クラッカー 攻撃 Server 2003 マシン内を検索しアプリケーションを登録 リストに登録外のアプリケーションは動作不可 ボット メモリ保護機能 運用イメージ Server 2003 ホワイトリストの作成 システム保護 アプリケーションの追加 更新 ( ホワイトリストは自動更新 ) Page 94 NEC Corporation 2014
McAfee Embedded Control の特長 McAfee Embedded Control は ホワイトリスト方式 を採用しているので システム変更が少ない旧 OS 延命提案に最適なセキュリティ対策ソフトです 導入効果 1. セキュリティパッチを適用しない状態で高いセキュリティを確保 あらかじめ動作させるプログラムを登録 (= ホワイトリスト ) 登録されていないプログラムの起動を検知し 強制的に停止 2. 未知のウイルスや脆弱性攻撃からもサーバを保護 未知のウイルスは未登録のプログラムとして扱い 動作を停止 メモリ保護機能により OS のバッファオーバーフロー脆弱性への攻撃を無効化 3. サーバの処理性能への影響は軽微 アンチウイルスのようなディスクスキャンはなく メモリ消費は 12MB 程度 OEM 品の取り扱いはサーバベンダでは NEC のみ Page 95 NEC Corporation 2014
ホワイトリスト型セキュリティ Trend Micro Safe Lock 概要 / 導入メリット 予め許可リストに登録したアプリケーション以外をブロックするロックダウン型セキュリティ 定義ファイルの定期更新や構成変更が不要な制御系端末など特定用途やスタンドアロンの PC/ サーバ延命に効果的 不正侵入対策機能や外部デバイスの不正実行防止機能もあり さらに安全に利用可能 動作イメージ 運用イメージ Server 2003 マシン内を検索しアプリケーションを登録 システムをロックダウン リストに登録外のアプリケーションは動作不可 システムのロックダウン 許可リストの再作成 登録済みアプリケーションの更新 変更 * ロックダウン型セキュリティ : ホワイトリスト型と同義 Page 96 NEC Corporation 2014
仮想パッチ型セキュリティ Trend Micro ウイルスバスターコーポレートエディション脆弱性対策オプション 概要 / 導入メリット - クライアント OS に特化した仮想パッチで 正規パッチと同等のセキュリティを提供 - 仮想パッチは OS の構成変更 ( インストール ) は行わないため システムへの影響が少なく 最小限の評価で適用可能 - ウイルスバスター Corp. にオプションとして適用するので 既にウイルスバスター Corp. をご利用のお客様であれば導入が容易 動作イメージ クラッカー ボット 攻撃 仮想パッチ 端末 運用イメージ 脆弱性情報公開 仮想パッチ提供開始 一定期間テストモードで影響を確認 この期間も攻撃の監視は行われる 推奨検索 検証 適用 セキュリティを確保 緊急度に応じて 0 日 ~1 か月で提供 Page 97 NEC Corporation 2014
仮想パッチ型セキュリティ Trend Micro Deep Security Virtual Appliance 概要 / 導入メリット - 仮想アプライアンス型保護により ハイパーバイザ上の仮想マシンをエージェントレスの仮想パッチで一括保護 仮想化による 延命案件のセキュリティ保護に最適 - 脆弱性保護の他にアンチウイルス 変更監視 ファイヤウォールなどでセキュリティリスクの高い を多面的に防御 - 仮想パッチは Server 2003 の延命にも拡張可 動作イメージ クラッカー DSVA 仮想マシン AP 仮想マシン AP ボット 攻撃 仮想パッチ ハイパーバイザ 運用イメージ 脆弱性情報公開 仮想パッチ提供開始 一定期間テストモードで影響を確認 この期間も攻撃の監視は行われる 推奨検索 検証 適用 セキュリティを確保 緊急度に応じて 0 日 ~1 か月で提供 Page 98 NEC Corporation 2014
InfoCage 不正接続防止 ~ NEC のネットワークを 10 年間以上守り続けている不正接続防止製品 ~ ( 参考 ) 旧 OS 遮断 < 製品概要 > セキュリティアプライアンス InterSec/NQ30 が 外部から持ち込まれる脅威からネットワークを守ります ü ネットワークに接続されている機器のIPアドレス MACアドレスや OS 種別を一覧表示し ネットワークを可視化します ü 登録外の持込みPCをネットワークから遮断し 不正アクセスやウイルスの二次感染からネットワークを守ります ü エージェントが不要 既設ネットワーク機器の設定変更が不要なため 簡単に導入できます Web コンソール InfoCage 不正接続防止マネージャ < 端末接続防止ソリューション > ü ü <PC 管理製品連携ソリューション > V4.0 NEW サポートの切れる 端末の ネットワークへの接続を防止します 持込みPCの完全な排除の困難な 大学などの準オープンなネットワーク環境におすすめです V4.0 NEW ü 新規に接続してきたPCのWebブラウザに 資産管理ソフトウェアや検疫エージェントなどのPC 管理製品のインストール画面を表示し クライアントソフトウェアの導入の徹底と展開コストの削減を行います ü 連携製品 : LanScope Cat SKYSEA ClientView InfoCage PC 検疫 InterSec/NQ30c NEC 優位性 正規 PC 持込み PC 10 年間以上の販売実績と信頼性 10 万台規模での運用実績 IPv6 に業界で先行して対応 私有スマートフォン 2014 年 4 月中旬 V4.0 リリース 動作環境 : Server 2012 R2/2012/2008 R2/2008/2003 価格 :48.8 万円 ~ URL: https://www.intra.nec.co.jp/infocage_prevention/ Page 99 NEC Corporation 2014
活用例 端末接続防止ソリューション ~ サポート切れ OS からネットワークを守ります ~ ( 参考 ) 旧 OS 遮断 のサポートは 2014 年 4 月で終了です 対策は完了しましたでしょうか? A 大学様の事例 サポート切れ OS はネットワークに接続させたくない だけど 大学のネットワークは学生が利用するし 端末の入れ替わりが多くてとても管理しきれない 端末を自動的に検出し ネットワークから遮断 7 InterSec/NQ30c 状態 MACアドレス IPアドレス 機器種別 NG 00:00:00:00:00:01 192.168.0.1 SP3 OK 00:00:00:00:00:02 192.168.0.2 7 SP1 OK 00:00:00:00:00:04 192.168.0.4 ios OK 00:00:00:00:00:05 192.168.0.5 ネットワーク機器 OK 00:00:00:00:00:06 192.168.0.6 Linux サポート切れ OS をネットワークから遮断 Page 100 NEC Corporation 2014