Dell SonicWALL Mobility Solution リモートアクセスをセキュアに 実 現 する3つのポイント Kazuyuki Suzuki Sales Engineer Dell SonicWALL
セキュア リモートアクセス 3つのポイント 2
急 速 なスマートフォンの 普 及 株 式 会 社 MM 総 研 調 べ 3
スマートデバイス 導 入 時 の 懸 念 点 セキュリティ 金 銭 的 コスト IT Media 調 べ 4
モバイル マルウェアの 増 加 5
モバイル マルウェアの 例 マルウェア 名 隠 れ 家 動 作 目 的 Stiniter/ TGLoader 打 地 鼠 SMSメッセージを 有 料 番 号 に 送 信 高 額 請 求 Neflic Netflix アカウント 情 報 を 取 得 して 送 信 した 後 自 身 を 削 除 情 報 取 得 Nickispy Google+ 位 置 情 報 メモリー 等 を 送 信 情 報 取 得 Spygold Fast Racing 打 地 鼠 情 報 取 得 Lotoor/ Droid Dream Scavir 複 数 バックドア bot 化 アンチウィルス ソフト 有 料 情 報 サービスへの 接 続 料 金 搾 取 Steek フィッシング 個 人 情 報 取 得 サイトへの 誘 導 情 報 取 得 Foncy SuiConFo SMSメッセージを 有 料 番 号 に 送 信 高 額 請 求 Geimini 複 数 バックドア bot 化 6
スマートフォン 紛 失 実 験 ダミーの 企 業 / 個 人 データを 保 存 した50 台 のスマートフォンを 準 備 ニューヨーク ワシントン ロサンジェルス サンフランシスコ オタワのエレベーター ショッピングモール フードコート 駅 停 留 所 等 に 配 置 拾 得 者 のオペレーション/ 行 動 を 調 査 結 果 持 ち 主 に 返 そうとした 人 : 約 50% スマートフォン 内 のデータを 見 ようとした 人 :96% 電 子 メールの 閲 覧 : 約 60% 企 業 情 報 っぽいファイルへのアクセス: 約 80% リモート 接 続 アプリケーションの 使 用 : 約 50% 写 真 データへのアクセス: 約 50% 銀 行 口 座 へのアクセス: 約 50% Symantec 調 べ 7
スマートデバイスを 業 務 利 用 するために ポイント1 正 しいユーザーかどうか? - 証 明 書 認 証 二 要 素 認 証 による 認 証 を 実 施 - アクセス 先 利 用 方 法 によっても 認 証 方 法 を 変 更 ポイント2 ポリシーに 合 致 するスマートデバイスなのか? - リモート 接 続 が 許 可 された 端 末 であるかどうかをデバイス 認 証 により 識 別 - アンチウィルスソフトの 稼 働 状 況 をチェック - MDMエージェントソフトの 稼 働 状 況 をチェック - ジェイルブレイク/ルート 化 されていないかどうかを 確 認 ポイント3 ユーザーがアクセスして 良 いシステムはどれなのか? - ポリシーの 合 致 度 に 合 わせたアクセス 制 御 を 実 施 - アクセス 履 歴 の 記 録 とレポーティング 8
SonicWALL Mobility Solution SSL-VPNアプライアンス SonicWALL Aventail ( 認 証 アクセス 制 御 ) SonicWALL GMS (レポーティング) Next Generation Firewall SonicWALL NSA (トラフィックの 可 視 化 ) 認 証 サーバ ファイルサーバ グループウェア 業 務 システム 自 席 端 末 仮 想 デスクトップ メールサーバ 9
SonicWALL Mobile Connect Android 用 Mobile Connect iphone/ipad 用 Mobile Connect 10
ポイント1 正 しいユーザーかどうか? - 証 明 書 認 証 二 要 素 認 証 による 認 証 を 実 施 - アクセス 先 利 用 方 法 によっても 認 証 方 法 を 変 更 - 盗 難 紛 失 対 策 - 認 証 情 報 の 漏 洩 対 策 11
ユーザ 認 証 ワンタイムパスワード Aventailのワンタイムパスワード 機 能 Symantec Validation & ID Protection RSA SecureID Soliton Systems NetAttest EPS Passlogy PassLogic ThirdNetworks SecureOTP Feitien FeitienOTP WisePoint CSE SecureMatrix Quest Defender クライアント 証 明 書 による 認 証 12
Aventailのワンタイムパスワード 機 能 1ログイン (userid password) SSL-VPN 6アプリケーションへ アクセス 5ワンタイムパスワードを 入 力 6アプリケーションへアクセス アプリケーション 2 認 証 3 認 証 成 功 4 携 帯 メール 宛 に ワンタイムパスワードを 発 行 ActiveDirectory あらかじめ ADのユーザ 情 報 に OTP 送 付 先 のアドレスを 登 録 13
ワンタイムパスワード 画 面 遷 移 1 通 常 のログイン 画 面 でユーザー 名 とパスワードを 入 力 3 受 信 したワンタイムパスワードを 入 力 4ログイン 完 了 2 設 定 されたメールアドレスでワンタイムパスワードを 受 信 14
ポイント2 ポリシーに 合 致 する スマートデバイスなのか? - リモート 接 続 が 許 可 された 端 末 であるかどうかを - デバイス 認 証 により 識 別 - アンチウィルスソフトの 稼 働 状 況 をチェック - MDMエージェントソフトの 稼 働 状 況 をチェック - 盗 難 紛 失 対 策 - 検 疫 によりセキュリティを 担 保 15
デバイス 認 証 機 能 対 応 表 OS Windows Mac Linux ios Android 接 続 方 式 フルトンネル ConnectTunnel ConnectTunnel ConnectTunnel MobileConnect MobileConnect ブラウザログイン デバイスID プロセス アンチウィルス ファイル ホストチェック レジストリ - - - - ドメイン - - - - バージョン - 脱 獄 - - - 証 明 書 *Mobile Connectは 以 下 のクライアントプラットフォームでサポートされています ios 4.3 以 降 Android 4.0 以 降 *Connect Tunnelは 以 下 のクライアントプラットフォームでサポートされています Windows XP Windows Vista Windows 7 Windows Server 2003 R2 Windows Server 2008 Mac OS X 10.5 以 降 Linux kernel 2.4.20 以 降 Linux kernel 2.6.0 以 降 *Aventailシリーズのブラウザサポートは 下 記 のとおりです Windowsの 場 合 IE7 以 降 /FireFox3.6 及 び7.0 以 降 Macの 場 合 Safari4 以 降 Linuxの 場 合 FireFox3.6 及 び7.0 以 降 iosの 場 合 Mobile Safari Androidの 場 合 Mobile Safari/Gecko *プラットフォーム ブラウザサポートの 詳 細 は 管 理 者 ガイドも 併 せてご 参 照 ください 16
Mobile Connect 接 続 時 のデバイス 認 証 2ファイル 検 査 プロセスチェック 等 による デバイス 認 証 3G 網 1 Internet SSL VPN tunnel VDI/ 社 内 リソース 3 Mobile Connect SSL-VPN 1 ユーザー 名 パスワードでの 認 証 を 実 施 2 エンドポイントのセキュリティチェック ジェイルブレイクされていないかどうか 確 認 アンチウィルスソフトの 稼 働 状 況 を 確 認 MDMエージェントの 稼 働 状 況 を 確 認 端 末 固 有 の 識 別 番 号 の 確 認 3 セキュリティチェックを 通 過 したデバイスに 接 続 を 許 可 17
ポイント3 ユーザーがアクセスして 良 い システムはどれなのか? - ポリシーの 合 致 度 に 合 わせたアクセス 制 御 を 実 施 - アクセス 履 歴 の 記 録 とレポーティング - アクセス 制 御 - 証 跡 管 理 18
アクセス 制 御 と 証 跡 管 理 アクセス 制 御 アクセス 先 によって 認 証 方 法 を 規 定 端 末 種 別 によってアクセス 先 を 規 定 検 疫 の 結 果 によってアクセス 先 を 規 定 証 跡 管 理 アプリケーション 毎 の 通 信 ログ ユーザ 毎 の 通 信 ログ レポーティング 19
アプリケーション 毎 の 通 信 ログ Identify - OS Independent - Categorize Control Application Chaos Many on Port 80 Users/Groups Policy Critical Apps: Prioritized Bandwidth Acceptable Apps: Managed Bandwidth Unacceptable Apps: Blocked Cloud-based Extra-Firewall Intelligence Malware Blocked Visualize & Manage Policy 20
Next Generation Reporting Near real-time Granular drill down New look and feel 21
運 用 構 成 例 NSA(UTM) DMZ1 Aventail(SSL-VPN) Ext-DNS Ext-SMTP Ext-Web DMZ2 Connection Server GMS( 管 理 ) アンチウィルス MDM L3スイッチ サーバセグメント 仮 想 デスクトップ グループウェア メールサーバ ファイルサーバ L2スイッチ LAN 自 席 端 末 22
運 用 フェーズ 23
運 用 ポリシーの 検 討 問 題 点 管 理 しなければならない 端 末 種 類 が 無 数 になる 可 能 性 がある デバイス 毎 にアプリケーションが 違 う OSバージョンも 多 岐 に 渡 る 全 ての 端 末 で 事 前 検 証 は 実 施 できない 個 人 データを 勝 手 に 削 除 できない リモート 接 続 の 許 可 方 法 解 決 策 サポート 端 末 を 規 定 コンプライアンスポリシーを 規 定 証 跡 管 理 24
サポート 端 末 の 規 定 サポート 端 末 スマートデバイス:Galaxy Nexus / iphone 5 / ipad mini / Windows 8 PC:Windows 7 / IE7 8 9 ポリシー メールサーバへのアクセス 可 能 グループウェアへのアクセス 可 能 ActiveSync 可 能 (デバイス 認 証 施 行 ) ファイルサーバへのアクセス 可 能 業 務 システムへのアクセス 可 能 無 断 で 個 人 端 末 を 使 用 している 従 業 員 : 自 席 端 末 / VDIへのアクセス 可 能 約 15% MDMとアンチウィルスの 強 制 実 行 個 人 端 末 を 使 用 したい 従 業 員 : 紛 失 時 は 全 データ 消 去 約 60% 数 百 台 を 配 布 している 企 業 での 紛 失 件 数 : 2 3 件 / 月 25
証 跡 管 理 リモート 接 続 申 請 書 申 請 日 年 月 日 申 請 番 号 所 属 部 署 部 課 部 署 コード 氏 名 使 用 端 末 機 種 名 従 業 員 コード iphone5 / ipad mini / Galaxy デバイスID その 他 ( ) 端 末 電 話 番 号 メールアクセス グループウェアアクセス 使 用 目 的 メールアクセス(ActiveSync) ファイルサーバアクセス 自 席 端 末 アクセス 業 務 システムアクセス VDIアクセス その 他 ( ) 承 認 印 利 用 開 始 希 望 年 月 日 承 認 番 号 トークン 番 号 26
オペレーションフロー > ネットワーク 構 成 1) Mobile Connectでトンネル 接 続 2) ワンタイムパスワードで 認 証 3) 脱 獄 チェックを 実 施 4) デバイスIDチェックを 実 施 5) アンチウィルスチェックを 実 施 6) MDMエージェントチェックを 実 施 7) 各 社 内 リソースへのアクセスを 許 可 8) リモート 接 続 中 のアクセスログを 保 存 Firewall DMZ1 Aventail(SSL-VPN) Ext-DNS Ext-SMTP Ext-Web DMZ2 Connection Server GMS( 管 理 ) アンチウィルス MDM L3スイッチ サーバセグメント 仮 想 デスクトップ AD Exchange メールサーバ(OTP) L2スイッチ LAN 自 席 端 末 27
Aventailの 設 定 内 容 1) Aventailにて 認 証 サーバとしてメールサーバ(OTP)を 設 定 2) メールサーバはActiveDirectoryと 認 証 連 携 3) ActiveDirectoryにデバイスIDを 登 録 4) Aventailで 払 出 用 IPアドレスプールを 定 義 5) Aventailでデバイスプロファイルを 定 義 OSチェック 脱 獄 チェック デバイスIDチェック アンチウィルスチェック MDMエージェントチェック 6) Aventailでアクセス 制 御 を 設 定 オペレーションフロー 申 請 書 の 受 付 承 認 番 号 発 行 トークン 番 号 通 知 28
ラインアップ 29
Dell SonicWALL NGFW Lineup SuperMassiveシリーズ ハイエンドネットワーク 向 け E10200 E10400 E10800 9200 9400 9600 NSA E-Classシリーズ 大 規 模 ネットワーク 向 け E5500 E6500 NSAシリーズ 小 中 規 模 ネットワーク 向 け NSA 4500 NSA 3500 NSA 2400 NSA 220W/250M TZシリーズ SOHO 小 規 模 ネットワーク 向 け TZ 215 Series TZ 205 Series TZ 105 Series 30
Dell SonicWALL SSL-VPN Lineup SonicWALL Aventailシリーズ SRA EX9000 同 時 接 続 数 :100-20000 SRA EX7000 同 時 接 続 数 :50-5000 SRA EX6000 同 時 接 続 数 :10-250 Virtual Appliance 同 時 接 続 数 :10-250 Mobile Connect Connect Mobile Spike License End Point Control Virtual Assist Advanced Reporting Native Access Modules Detect - Granular end point control detects the identity and security state of the end device Protect - Unified policy limits user access to authorized applications only Connect - Smart access and smart tunneling ensure easy, secure access to all network resources 31
Dell SonicWALL Management and Reporting SonicWALL GMSシリーズ GMS Reporting & Analytics, Policy Management, Monitoring GMS Software UMA EM5000 GMS Virtual Appliance for : SonicWALL NGFW, SSL-VPN CDP, Email security appliances SonicWALL Analyzer Analyzer Reporting & Analytics for : SonicWALL NGFW, SSL-VPN, CDP Scrutinizer Scrutinizer Flow Analytics for: SonicWALL NGFW, 3 rd party routers, switches, firewalls 32
Thank you! 33