InfoCage 不正接続防止紹介資料 2019 年 3 月 NEC

はじめにセキュリティ対策は企業の規模を問わず今やあらゆる企業に欠かせません多くの企業が社内の PC に対してウイルス対策ソフトの導入や外部記録メディアの禁止といった対策を実施していますしかし社外から持ち込まれた PC に対する対策はできていますか? 3 NEC Corporation 2019

持ち込み PC 対策における課題不十分な持ち込み PC 対策によって発生する問題内部犯行による不正アクセスウイルスに感染したPCのネットワーク接続によるウイルスの蔓延持ち込み PC 対策に対するネットワーク管理者の声高価なシステムは簡単には導入できないネットワークの設定変更などはできる限り避けたい不正アクセスやウイルスによる被害は情報漏えい事故を引き起こし損害賠償や社会的信用の失墜に繋がります 4 NEC Corporation 2019

InfoCage 不正接続防止とはネットワークに接続された端末をセンサーが自動的に検知し不正に接続された端末の通信を遮断しますセンサー OK NG NG 正規 PC 持ち込み PC 私有スマートフォン不正な端末のネットワークへの接続を防止し不正アクセスやウイルスからネットワークを守ります 5 NEC Corporation 2019

簡単導入エージェントレスセグメントごとに設置したセンサーが通信を監視するため端末へのソフトウェアのインストールが不要ですネットワーク機器非依存スイッチの機能を使用しないため既存のネットワーク機器の入れ替えや設定変更が不要です構成例管理サーバ L3 スイッチ L2 スイッチセンサー端末端末端末端末センサー 6 NEC Corporation 2019

OT 環境への導入 OT 環境への本製品の導入の有効性を第三者機関 ( ) の検証によって確認しました IP ベースのプロトコルを使用する制御システムにおいて InfoCage 不正接続防止による不正接続の遮断はセキュリティ対策として有効模擬プラントで使用されている各種の制御通信プロトコルの正常動作に干渉せずまたネットワーク負荷にもほとんど影響がないことを確認した評価結果の全文は下記 URL に掲載しています https://jpn.nec.com/infocage/prevention/download/document/sv_cssc.pdf 技術研究組合制御システムセキュリティセンター (CSSC) http://www.css-center.or.jp/ 実際の制御システムを模した 9 種のプラントが設置されておりサイバーセキュリティの演習や検証などに活用されています評価を実施したガスプラントミッションクリティカルな OT 環境にも安心してアドオンで導入いただけるセキュリティ製品です 7 NEC Corporation 2019

機能紹介

端末情報の自動収集ネットワークに接続されている端末の情報を自動収集し管理コンソールに一覧表示しますネットワークにどのような端末が何台接続されているのかを把握できますネットワークに管理外の端末が接続されていないか確認できますネットワークにサポートの切れた古い OS が接続されていないか確認できます状態 MACアドレス IPアドレス OS 種別ポート情報スイッチアドレス OK 0A:00:01:0A:00:01 192.168.0.1 Windows 10 Fa/01 192.168.0.254 OK 0B:00:02:0B:00:02 192.168.0.2 Mac Fa/02 192.168.0.254 OK 0C:00:03:0C:00:03 192.168.0.3 ネットワーク機器 Fa/03 192.168.0.254 NG 0D:00:04:0D:00:04 192.168.1.1 Windows XP 以前 Fa/01 192.168.1.254 NG 0E:00:05:0E:00:05 192.168.1.2 Linux Fa/02 192.168.1.254 NG 0F:00:06:0F:00:06 192.168.2.1 ios Fa/01 192.168.2.254 OS 種別はパケットからの推測であるため環境によって正しく判別できない場合がありますポート情報とスイッチアドレスは通常版でのみ表示できます 9 NEC Corporation 2019

不正端末の遮断状態が NG で登録された端末や未登録の端末の接続を防止します不正端末による不正アクセスやウイルス感染からネットワークを守ることができます状態 MACアドレス IPアドレス OK 0A:00:01:0A:00:01 192.168.0.1 OK 0B:00:02:0B:00:02 192.168.0.2 OK 0C:00:03:0C:00:03 192.168.0.3 NG 0D:00:04:0D:00:04 192.168.0.4 NG 0D:00:04:0D:00:05 192.168.0.5 NG 0D:00:04:0D:00:06 192.168.0.6 不正端末不正端末に偽装 ARP を送信することで通信をブロックセンサー不正端末の遮断は偽装 ARP による ARP スプーフィングによって実現しています 10 NEC Corporation 2019

アラート通知不正端末を遮断した際に管理者にアラートを通知できますアラートメールの例不正接続を防止しましたサイト ID:1 サイトアドレス :192.168.0.1 エージェント名 :NQ01 エージェントアドレス :192.168.0.100 設置場所 : 本社管理者氏名 : 日電太郎管理者電話番号 :1-23-45678 エージェント種別 :NQ 管理者アラートメールを送信管理サーバ遮断を通知センサー 11 NEC Corporation 2019

防止メッセージ表示遮断された端末の Web ブラウザに防止メッセージを表示できます画面は自由にカスタマイズできるため連絡先などを表示することもできます 12 NEC Corporation 2019

IPv6 対応 IPv4 と同様に IPv6 の通信も検知遮断できます Windows は Vista 以降で IPv6 が標準で有効なため IPv4 通信を防止していても IPv6 による通信が自動的に行われますこのため現在のネットワーク環境で持ち込み PC の通信を防止するためには IPv6 対応が必須です状態 MACアドレス IPアドレス IPv6アドレス OK 0A:00:01:0A:00:01 192.168.0.1 2001:1234::1 OK 0B:00:02:0B:00:02 192.168.0.2 2001:1234::2 OK 0C:00:03:0C:00:03 192.168.0.3 2001:1234::3 NG 0D:00:04:0D:00:04 192.168.0.4 2001:1234::4 NG 0D:00:04:0D:00:05 192.168.0.5 2001:1234::5 NG 0D:00:04:0D:00:06 192.168.0.6 2001:1234::6 13 NEC Corporation 2019

構成例

構成例 ( 通常版 10 セグメント非タグ VLAN) 製品名個数単価小計保守単価 ( 月額 ) 保守小計 ( 月額 ) InfoCage 不正接続防止 V5.4 メディアキット 1 20,000 20,000 - - InfoCage 不正接続防止 V5.4 マネージャ 1 ライセンス 1 290,000 290,000 3,700 3,700 InterSec/NQ30d 5 178,000 890,000 HW: 800 SW: 1,700 HW: 4,000 SW: 8,500 合計 1,200,000-16,200 InterSec/NQ30d は 1 台で 2 セグメントの管理が可能です 15 NEC Corporation 2019

導入実績導入事例

導入実績 2002 年 12 月の発売以来官公庁製造流通業など業種を問わず多くの導入実績があります NEC グループのネットワークにて 10 万台規模で現在運用中です不正接続防止領域 2016 年度実績 : シェア No.1 出典 : 富士キメラ総研 2017 ネットワークセキュリティビジネス調査総覧 < 検疫ツール不正接続防止ツール > 業種製造プロセス業流通サービス業情報サービス産業電力通信放送業建設業金融証券業学校省庁公共その他企業名 P 社 K 社 O 社 S 社 M 社 D 社 K 社 B 社 I 社 F 社 O 社 C 社 S 社 T 社 N 社 M 社 Oテレビ B 新聞社 P 印刷 I 電力電話会社 O 社 A 社 U 証券 S 証券 N 証券 A 信金 M 信金 O 大学 Z 高校 A 研究所独立行政法人省 T 市役所 Y 市水道局農政局 I 町役場県警鉄道会社製薬会社病院旅行会社運送会社消防所大規模環境での実績 A 社 ( サービス業 ) 435セグメント 49,000 端末 B 社 ( サービス業 ) 270セグメント 40,000 端末 C 社 ( 通信業 ) 600セグメント 45,000 端末 D 省 ( 官公庁 ) 1100セグメント 17 NEC Corporation 2019

導入事例 : 製造業 A 社様 IPv4 セグメントだけでなく部分的に導入していた IPv6 セグメントについても同様に接続機器の管理と不正接続防止を実現導入の背景セキュリティ対策として登録外の端末の接続を制限したい IPv6 対応製品を開発しているため部分的に IPv6 セグメントが存在している IPv4 通信については接続制限を実施しているが IPv6 通信についても同様の対策が急務選定理由と効果類似製品は多くあるが IPv4 に加えて IPv6 に対応していたことが最大のポイント Windows 7 は標準で IPv6 が有効になっていることを知り従来の対策では不十分だと気づいたが本製品の導入により解決できた IPv6 機器が予想以上に存在することが分かった導入イメージ MAC アドレス IP アドレス IPv6 アドレス 0A:00:01:0A:00:01 1.1.1.1 2001:1234::1 0A:00:01:0A:00:02 1.1.1.2 2001:1234::2 管理コンソール管理サーバ InterSec/NQ30 IPv4 セグメント IPv6 通信未許可 PC IPv4 通信 IPv6 セグメント未許可 IPv6 機器許可済 IPv6 機器 10 拠点 100 セグメントを統合管理 18 NEC Corporation 2019

導入事例 : 医療法人 B 病院様ネットワーク内の端末を InterSec/NQ30 で見える化医師や職員の勝手な機器の持ち込みを制限導入の背景医師や職員が勝手に私有の PC やタブレットを接続している状況のため情報漏洩事故の不安を感じていたネットワークの使用ルールを徹底したいが医師の権限が強いため運用での対策が困難でありシステムでの対策の必要性を感じていた導入イメージ院内ネットワーク InterSec/NQ30 管理サーバ効果許可された端末以外は接続ができなくなることで自然と私有機器の持ち込みはなくなった結果情報漏えい事故のリスクもなくなり安心してネットワーク管理ができている接続端末一覧 MAC アドレス台帳作成私有 PC IP アドレス私有スマートフォン 1 台の InterSec/NQ30 で 10VLAN を管理 OS 種別コンピュータ名 0A:00:01:0A:00:01 1.1.1.1 Windows HOST001 0B:00:02:0B:00:02 1.1.1.2 Windows HOST002 0C:00:03:0C:00:03 1.1.1.3 iphone iphone001 19 NEC Corporation 2019

注意事項 1 V5.3 以前のバージョンでは NetworkAgent ライセンス VLAN 追加ライセンスのシリアル番号をマネージャに登録する必要はありませんでしたが V5.4 からマネージャへの登録が必要になりました登録ライセンス数を超えて NetworkAgent や VLAN を使用している場合製品の使用を継続することができません 90 日間の猶予期間の後動作が停止するのでご注意ください特に V5.3 以前の環境からバージョンアップする際は事前にライセンスが適正になっているかご確認をお願いしますなおマネージャのバージョンアップ時インストールを開始する前に登録が必要なライセンスの一覧が表示されます 20 NEC Corporation 2019

注意事項 2 NEC 製ソフトウェアのサポートポリシーではサポート適用範囲の一貫性を保証するため以下の制約を設けておりますシステム単位でご契約いただくこと原則ご使用中のすべてのソフトウェア製品 ( 待機系での利用含む ) についてご契約いただくこと本製品の場合購入している以下すべてのサポートの契約が必要です InterSec/NQ30 ソフトウェア NetworkAgent マネージャリモートコンソール VLAN 追加ライセンススイッチ連携オプションサポートが受けられないケース ( 例 ) マネージャのサポートは契約しているが InterSec/NQ30 ソフトウェアのサポートを契約していないマネージャ InterSec/NQ30 ソフトウェアのサポートは契約しているが VLAN 追加ライセンスのサポートを契約していないサポート契約が正しく行われていない場合以下のサポートサービスを提供することができませんレスポンスサービスインフォメーションサービスライセンスサービス ( バージョンアップ ) ライセンスサービス ( リビジョンアップ ) 21 NEC Corporation 2019