必要とされる Fortinetの最新セキュリティソリューション

コーポレートアップデート設立 2000年 NASDAQ上場 2009年 $ $ 1B 1.16B 現金資産売上高 30%+ の成長率本社所在地カリフォルニア州サニーベール 100+ 世界各国事業所数 4,100+ 従業員数 265,000+ 230万台以上全出荷台数 #1 世界のセキュリティ市場シェアNo.1 In Security Appliance (IDC) 市場をリードする技術の特許 278 特許取得 236 特許出願中顧客数 2

Fortinet HP Enterprise アライアンスフォーティネットとHP Enterpriseは両社の最先端のテクノロジーと卓越した専門性を包括的で革新的なセキュリティソリューションとしてお客様に提供するためグローバルなアライアンスを結んでいます 3

2015年トピックスお陰様で国内セキュリティ機器市場でシェア No.1 日本のセキュリティ機器市場でベンダー売上額出荷台数ともにシェアNo.1を達成日本セキュリティ機器市場日本セキュリティ機器市場ベンダー売上額 2014年Q3 ベンダー売上額 2015年Q3 Fortinet 15% A社 19% Others 37% Others 36% A社 12% Fortinet 12% B社 9% B社 8% F社 5% E社 6% D社 6% C社 7% F社 6% E社 6% C社 8% D社 8% Source: IDC s Worldwide Quarterly Security Appliance Tracker 2015Q3 4

フォーティネットのソリューションによる課題の克服ビジネスを加速させる拡張性に優れた高性能セキュリティビジネスを保護する実績ある認証済みセキュリティビジネスを簡素化するグローバルなサイバーセキュリティプラットフォーム 5

拡張性に優れた高性能セキュリティパフォーマンスを劇的に向上させるFortiASIC SSL NP 6 CPU 10 Gbps 9 Gbps IPS VPN CP 8 IPS 6 Gbps 2 Gbps 3.5 Gbps FW FW VPN IPS 40 Gbps 25 Gbps FW VPN IPsec ベースラインデータセンター向けファイアウォールのパフォーマンスが10倍に NGFWのパフォーマンスが5倍に帯域幅要件の増加に対応するセキュリティ CPU ネットワークプロセッサコンテンツプロセッサ 6

実績のある認証済みセキュリティさまざまなセキュリティテクノロジーをFortiOSに統合 FortiGuard Labs脅威インテリジェンスが情報を提供ファイアウォール VPN ソフトウェア対応のセキュリティモジュールアプリケーション制御アプリケーションアンチ制御ウイルスアンチスパム IPS Webフィルタリングアンチマルウェアモバイルセキュリティ WANアクセラレーション IPS Webアプリデータベースデータ漏えい防止 Wi-Fiコントローラ必要な機能を必要な場所に導入高度な脅威保護 ATP SaaSゲートウェイ Web フィルタリング脆弱性管理 IP レピュテーション 7

実績ある認証済みセキュリティ業界第三者機関の規格認定実績 Fortinet Check Point Cisco Palo Alto Networks Juniper FireEye NSS - Firewall NGFW 推奨推奨推奨どちらでもない課題あり課題あり NSS - Firewall DC 推奨 NSS - Breach Detection 推奨推奨課題あり NSS - WAF 推奨 NSS Net Gen IPS 推奨推奨どちらでもない課題あり 95 過去最高 53 Poor ICSA Firewall ICSA IPS ICSA Antivirus ICSA WAF VB 100 課題あり AV Comparative Common Criteria FIPS 各種の認定 NSS - IPS DC BreakingPoint Resiliency 8

NSS Labsによって実証されたフォーティネットの利点主要な競合他社とは違いフォーティネットは推奨を継続して認定 NGFW X軸 = 保護されたMbpsあたりのTCO 価値右上のエリア = 推奨左下のエリア = 課題あり Y軸 = セキュリティの効果それ以外のエリア = どちらでもない Breach Detection ブリーチ検知 Net Generation IPS 次世代IPS 9

フォーティネットのセキュリティ機器本社 FortiAP ワイヤレスセキュリティ FortiSwitch PoE給電 FortiGate-VM クラウドFW データセンター Cloud FortiManager FortiAnalyzer デバイス管理統合ログ管理統合 FortiWLC ワイヤレス管理 FortiWeb WAF FortiGate 内部セキュリティ FortiGate DCFW FortiGate NGFW+ATP+VPN FortiDDoS DDoS対策 FortiSandbo FortiMail 標的型攻撃対策メールセキュリティ支店 FortiToken 二要素認証 FortiClient エンドポイントセキュリティリモートアクセス FortiWiFi UTM ワイヤレスセキュリティ 10

経済産業省サイバーセキュリティ経営ガイドライン

内部ファイアウォール

一般的な内部ネットワークには入り口がいくつもある既存のFirewallは境界線として内と外しかチェックしない境界外部内部ネットワークを信頼するモデルが成立たなくなりつつあるネットワークへの入り口が結果としていくつも存在している Email (Phishing) 攻撃 Web からの脅威 1 攻撃を仕掛ける内部ソーシャルエンジニアリング (&Zero Days) 感染 2 情報を狙う犯罪組織結果一度内側に入った脅威が広がってしまう 4 抜き出し外部へ勝手に接続 3 機密入手隠れる広げる改変する接続する Botnetへ連絡する自らを変異する漏洩 14

インターナルセグメンテーション内部ファイアウォール ISFWの要件を満たすFortiGate インターナルセグメンテーションファイアウォール ISFW CCFW 次世代ファイアウォール NGFW データセンター向けファイアウォール DCFW プライベートクラウド統合脅威管理 UTM 仮想またはクラウドファイアウォール CFW キャリアクラスファイアウォール CCFW FortiGate ISFWの機能: 非常に高い性能超低レイテンシポートの高密度実装 ISFW 1 10 40 100 GbEインターフェース検知とプロアクティブな保護データセンター ISFW ISFW DCFW VFW ISFW ブランチオフィス UTM ISFW WAN ホームオフィス内部ネットワーク迅速な導入と容易な運用実証済みのFortiGuard 脅威インテリジェンスエッジ ISFW 100 Gbps以上 NGFW インターネットクラウド CFW 内部外部 15

ISFW に必要とされる要素 No.1 パフォーマンス Internal Segmentation Firewall (ISFW) ボーダー境界 Firewall (NGFW) Internet 物理インターフェイス 1G 10G, 40G & 100G 物理インターフェイス 1G, 10G ポート数 8 48 1G/10G ポート数 2 to 12 スループット 10Gps to 1Tbps スループット 100Mbps 1Gbps 16

CPU vs カスタム ASIC Ce 社 Ci 社 P 社 CPU Multi Core CPU Optimum Path Processing (OPP) CPU Off the shelf NP 17

ハイパフォーマンスを実現するFortiGateシリーズ別用途 60D 100D 200D 800C CPU 1000D 3810D.. CPU Fortigate 5000 CPU.... デスクトップモデル拠点/SOHO/個人向け FG100DはIntel CPU搭載 Mbps FG800CはNP4 搭載ミッドレンジモデル内部分割ファイアウォール (ISFW) 次世代ファイアウォール (NGFW) データセンターファイアウォール (DCFW) Gbps Fortigate VM/VMX 2 24core 2 ~ 2 ~ 仮想ファイアウォール SDN/Cloud/XaaS East-West Traffic Inter-VM Traffic Tbps 18

ISFW に必要とされる要素 No.2 強固なセキュリティ Firewall 他システムとの連携 VPN 一括管理アプリケーション識別/制御侵入防御 (IPS) Web フィルタリングアンチウィルス/マルウェア AntiSPAM 情報漏洩防止 (DLP) 機能 WiFiコントローラー ATP対応 SaaS ゲートウェイこれらの機能を統合するFortiOS 19

グローバルなセキュリティインテリジェンスがリアルタイムにFortiGateへアップデート - FortiGuard アンチマルウェアアプリケーション識別侵入防御アンチスパム Web セキュリティ Web フィルタリングデータベースセキュリティ脆弱性管理 IPレピュテーション / ジオIP Mobile Security デバイスフットプリント情報 20

ISFWに必要とされる要素 No. 3 可視化と集中管理 Operations 可視化と集中管理 Security Platform 21

FortiGateシリーズ集中管理機能 - FortiManager Feature Benefit わかりやすいポリシーGUI アドレスやサービスなどオブジェクトのドラッグアンドドロップによる直感的なポリシー設定階層構造でのオブジェクト管理組織やADOMで使い回しをしやすい階層構造のオブジェクト構造インラインポリシー編集ポップアップや別窓ではなく一覧でそのままポリシーを編集可能グローバルポリシー作成ローカルポリシーに追加可能な全てのデバイスの適用するグローバルポリシーの作成 22

FortiAnalyzer ログ収集機能 Feature Benefit Fortinetプロダクトのログを一括収集複数のFortigate, FortiClient, FortiMail, FortiWeb 一般的な Syslog デバイスに対応リアルタイムかバッチ処理から選べる収集方法使用する帯域やネットワーク事情に合わせてリアルタイムバッチ処理を選べるログアップロード機能ログの保管と管理 ADOM 管理ドメインで区切って閲覧しログを保存することが可能イベントマネジメントイベントの検索や抽出特定イベント発生時のアクションを選択可能階層構造を取ることによるスケーリング増大 Collectorモードを用いて分散配置することでより柔軟なスケーリングと冗長構成に対応 23

FortiAnalyzer レポート機能 Feature Benefit 見える化に使えるPDFレポートレポートにより期間を区切ったアクティビティや傾向が一目瞭然多彩なテンプレートを用意業務のために複数の視点を持つレポートを作成することで管理者の負担を軽減 UTM解析 VPNレポート Webフィルタレポートワイヤレスクライアントの脅威動向などレポートはスケジュールだけでなくその場生成も可能管理者の役割に合わせたレポート群をスケジュールに合わせて生成必要な際にはその場であるデータをレポートかすることも可能 FortiView ドリルダウンレポート FortiView ドリルダウンによって管理者はリアルタイムに任意のタイミングで状況を把握することも可能カスタマイズによって必要な情報を必要な形で SQLコマンドでデータベースから取り出すことで必要な情報をカスタマイズすることが可能テンプレートはインポート/エクスポート可能 ADOMごとに横展開が可能なので導入がしやすい 24

内部ファイアウォール(ISFW) これまでのFirewallと何が違う? Deployment ISFW NGFW/UTM 中規模大規模もっとも重要な用途内部セグメントの可視化と防御外部からもしくは内部からの脅威に対して可視化と防御外部からもしくは内部からの脅威に対してユーザーレベルの可視化と防御設置レイヤーアクセスエッジレイヤー Internet Gateway ネットワーク形式トランスペアレント構成 NAT/Route構成必要なポート構成高いポート密度ギガビット 10ギガビットポート必要なセキュリティ機能 Firewall, IPS, ATP, Application Control 個人認証Firewall, VPN, IPS, Application Control, その他迅速な展開細かく設定をする必要はないのが好ましい ATP向けにSandboを導入やLTEアップリンクを活用データセンターFW キャリアクラスFW ハイスループット低遅延キャリアサービス向けカスタマイズドセキュリティセット Core Layer/DC gateway さまざま NAT/Route構成 NAT/Route構成高密度のギガビットPoE ポート無線APの統合コントロールハードウェアアクセラレーションを利用する高密度の10/40/100ギガビットポートハードウェアアクセラレーションを利用する高密度の10/40/100ギガビットポートデバイス認識個人認証を含む統合セキュリティ環境 Firewall, DDoS protection Firewall, CGN, LTE & mobile security 高可用性重視高可用性重視 25

FortiGate-VMXでさらに一歩進んだ内部ファイアウォール FortiGate-VMXとは SDDC 向けVMware NSXを使用した専用セキュリティソリューション最新のFortiOSがサポートする次世代のセキュリティ機能を提供» 侵入検知防御» アプリケーション制御» アンチウイルス» URLフィルタリング» アンチマルウェア FortiGuard に支えられたリアルタイムでのサイバーインテリジェンス実績ある仮想ドメイン(VDOM)を使用したマルチテナント機能» MSSP» 大型エンタープライズ 26

弾力的なワークロードに対応する自動調整自動プロビジョニングによる保護顧客パートナーそしてユーザーはデータベースウェブそしてアプリケーションサーバの調整を弾力的に行うことが可能な一方でデータのプライバシーと FortiGate-VMXおよび NSXへの準拠をシームレスに保証 NSX Manager FortiGate Service Manager 要件サービスの挿入および変更を通じたセキュリティサービスのオーケストレーション適用範囲内のリージョン全体に対してセキュリティサービスの自動調整およびプロビジョニングを実施新たなアプリケーションに対するリアルタイムの保護分散型セキュリティールールをクラスタおよびデータセンターをまたいで設置 FortiGate-VMX セキュリティノード vsphere FortiGate-VMX セキュリティノード vsphere FortiGate-VMX セキュリティノード vsphere ホストするウェブサーバーデータベースアプリケーションサーバーなど 27

さらに一歩進んだ内部ファイアウォール SG3 SG2 NSX Manager SG1 FortiGate-VMX セキュリティノード外部プライベートクラウド FortiGate Service Manager ハイパーバイザー内部内部セグメンテーションファイアウォールの機能を拡大 ISFW ISFW Data Center インターネット ISFW Edge Gateway ISFW 内部ネットワーク 100 Gbps+ ISFW クラウド ISFW 1. 従来通りNorth-Southのトラフィックを保護 2. ネットワーク内部のゾーン間およびデータセンター内の保護を追加 3. 同一ゾーン内のVM間トラフィックを保護することで機密性の高いゾーン内を保護 28

多層防御

対策の基本多重防御を実現するセキュリティ機能アンチスパム Webフィルタリングスパムメールへの対応で余計なコンテンツを取り込まないようにし業務を効率化 Web フィルタリングで危険なサイトへの接続を防ぐ IPS IPSは内部からも外部からも危険な通信を止めるアンチウイルスアンチウイルスで既知の危険なコンテンツが入ってくるのを防ぐアプリケーション制御/ IPレピュテーション用途を限定しリスクの軽減や接続先のコントロールを行う 30

標的型攻撃の多くはメールというトレンドスパムアンチスパムスパム狙い澄ました釣りメール Webフィルタリング IPS アンチウイルスアプリケーション制御/ IPレピュテーション 31

セキュリティ教育の甲斐なく踏んでしまった場合スパム悪意あるリンクアンチスパム Webフィルタリングスパム悪意あるリンク狙い澄ました釣りメール悪意ある Webサイト IPS アンチウイルスアプリケーション制御/ IPレピュテーション 32

うっかり踏んだリンクがまだ生きていて攻撃を仕掛けるスパム悪意あるリンクアンチスパム Webフィルタリング攻撃コードスパム悪意あるリンク攻撃コード狙い澄ました釣りメール悪意ある Webサイト IPS アンチウイルスアプリケーション制御/ IPレピュテーション 33

リンク先からブラウザの隙を突いてマルウェアを取りにスパムアンチスパム悪意あるリンク Webフィルタリング攻撃コードスパム悪意あるリンク攻撃コード狙い澄ました釣りメール悪意ある Webサイト IPS アンチウイルスアプリケーション制御/ IPレピュテーション 34

マルウェアが未知の物で止まらなかったスパムアンチスパム悪意あるリンク Webフィルタリング攻撃コードスパム悪意あるリンク攻撃コード狙い澄ました釣りメール悪意ある Webサイト IPS マルウェアアンチウイルスマルウェアアプリケーション制御/ IPレピュテーション 35

Botnetとの通信を検知してデータ漏洩を止めるスパムアンチスパム悪意あるリンク Webフィルタリング攻撃コードスパム悪意あるリンク狙い澄ました釣りメール悪意ある Webサイト攻撃コード IPS マルウェアマルウェアボットコマンド & 漏洩情報メールでの盗難には FortiMailのDLPも有効アンチウイルスボットコマンド & 漏洩情報コマンド & コントロールセンターアプリケーション制御/ IP レピュテーション/DLP ボットネットの通信方式を検知して遮断 DLP機能でコンテンツの漏洩を防止 36

多層防御を支えるFortiGuard 一つの検体から全ての対策を FortiGuard labs マルウェアのパターン Botnet/C&Cの IPアドレスポート C&Cサーバーのボットネットウイルスの通信方式 URL 発見した未知検体ウイルス対策機能 FortiSandbo/FortiCloudSandbo FortiGuard Premier Serviceからの検体 FortiGuard Labでの発見などスパムフィッシング Webフィルタリングアプリケーション識別によるボットネット機能対策機能対策機能すべての連携が重要 37

スパム悪意あるリンク攻撃コードマルウェアサンドボックスサンドボックスを追加して検知率を向上ボットコマンド & 漏洩情報アンチスパム Webフィルタリング IPS アンチウイルスアプリケーション制御/ IPレピュテーションスパム悪意あるリンク狙い澄ました釣りメール悪意ある Webサイト攻撃コードマルウェアコマンド & コントロールセンターボットコマンド & 漏洩情報 38

サンドボックスによる標的型攻撃対策

標的型攻撃対応は心理戦も含む総力戦であるクラッカーブラックハットサイバー犯罪者お客様とフォーティネット 40

なぜサンドボックスが必要か? 既存のパターン照合だけのAnti Virusで拾いきれない» 誰でも簡単に作成が可能なゼロデイマルウェア»マルウェア本体の実行だけが感染手段ではなくなってきた»コードエミュレーションとて完璧ではなさそう多段型攻撃の幕開け過去の事件に見るソーシャルエンジニアリングによる弱点では実際に実行させてみよう!(ただし仮想環境で) サンドボックスの登場 41

サンドボックスのみであれば片手落ちウイルス対策ソフトベンダーにワクチン製造依頼ウイルス感染 PCを隔離事故報告書の作成ネットワークログ調査 ( 他のPCの感染調査 ) 代替 PCの用意サンドボックスで検知させた後の運用管理工数の大幅な増大に疲労困憊 42

FortiSandboの使い方 with FortiGate FortiGate ネットワーク FortiGateの機能でファイルをサブミット解析結果を回答ハイリスクなコンテンツは次から止めてくれるそして FortiGuardから配信されるアップデートに含まれる FortiGuard FortiSandbo Sandboの投資効果を倍増して効果的にリスクを抑える事が可能自動化により管理負担を大幅に軽減 43

FortiSandboの使い方 with FortiMail FortiGate FortiMail 安全が確認された物のみリリースされ配送 Mailの配送を保留してまずは SandBoでスキャン通常のAntiVirus AntiSPAM 等ももちろん適用されるもちろんFortiGuardからもアップデートされる FortiGuard FortiGuardの諸機能は全て利用可能で AntiSPAMは特に平時から有効ハイリスクなコンテンツは最初から配送されないこの二つのパターンは自動化された標的型対策としてとても有効 44

まとめ

Fortinetと共に最適なセキュリティをファイアウォール侵入防御アンチマルウェア ATP ファイアウォール侵入防御アンチマルウェア ATP アプリケーション識別 Web フィルタリングアンチスパム VPN.etc Internet もっと内部ネットワークログレポート FortiSandboから共有ファイルを検査 FortiSandboでファイルを検査外部内部ネットワーク新しいISFW 既存のファイアウォール 46