F5 Japan Security Forum2016 未 知 のマルウェア 感 染 に 立 ち 向 かう! 仮 想 化 セキュリティを 活 用 した 最 新 のセキュリティ 対 処 策 ヴイエムウェア 株 式 会 社 シニアセキュリティソリューションアーキテクト CISSP-ISSJP, 公 認 情 報 システム 監 査 人 楢 原 盛 史 (ならはら もりふみ) nmorifumi@vmware.com
Agenda 1. はじめに 2. サイバーセキュリティ 対 策 の 実 情 と 課 題 の 整 理 3. 数 年 先 を 見 据 えたセキュリティ 運 用 の 方 向 性 4. 即 時 的 に 対 応 すべきセキュリティ 対 策 & 対 処 策 5. 仮 想 化 技 術 によって 実 現 するセキュリティプラットフォームの 概 説 6. セキュリティ 事 案 の 元 凶 を 可 視 化 する 未 知 のマルウェア 感 染 痕 跡 分 析 の 考 え 方
はじめに
はじめに 国 内 のインシデントレスポンス 支 援 から 感 じる 事 犯 罪 者 側 組 織 犯 罪 を 目 的 とした 国 や 犯 罪 組 織 ( 圧 倒 的 な 組 織 力 ) 技 術 最 先 端 の + + 攻 撃 ツールやプログラム ( 軍 事 レベルのツール 群 ) 人 最 先 端 の 技 術 を 持 つ 頭 脳 集 団 ( 高 度 なネットワーク) そもそも 攻 撃 側 と 防 御 側 にこれだけの 大 差 がある 事 を 直 視 する 事 の 重 要 性 真 正 面 から 立 ち 向 かうのでなく リスクの 最 小 化 への マインドチェンジ が 重 要 防 御 側 組 織 基 本 は 自 組 織 のみの セキュリティチーム ( 限 定 的 な 組 織 力 ) 技 術 部 分 的 な 対 策 と + + 運 用 の 欠 如 ( 市 販 ツール 群 ) 人 専 門 家 でない 兼 任 者 による 運 用 ( 限 定 的 な 知 識 )
本 資 料 のポイント 情 報 漏 洩 事 故 を 元 凶 となる 既 知 / 未 知 のマルウェア 感 染 による 情 報 漏 洩 事 故 を 自 組 織 の 力 で 可 能 な 限 り 未 然 に 防 ぎ 対 処 する 上 でのポイントを 概 説 致 します サイバー 攻 撃 による 情 報 漏 洩 事 故 の 根 本 要 因 特 に 未 知 のマルウェア 感 染 に 自 ら 気 付 く 事 が 出 来 ない(あるいは 見 て 見 ぬフリ) マルウェア 感 染 によって 権 限 が 奪 われ 漏 れてはならない 情 報 資 産 が 不 正 に 窃 取 される インシデントレスポンスの 経 験 不 足 により 実 戦 での 対 応 が 覚 束 ない 情 報 漏 洩 ( 不 正 な 窃 取 )のプロセス 1. メール/Web/USB 等 の 利 用 で 端 末 がマルウェア 感 染 する 2. マルウェアが 感 染 拡 散 し 犯 罪 者 が 攻 撃 に 必 要 となる 権 限 やシステム 情 報 等 を 得 る 3. 犯 罪 者 が 欲 しい 情 報 をサーバ 等 から 不 正 に 窃 取 しネット 上 の 自 身 のシステムへ 転 送 4. マルウェアはあらゆるセキュリティツールに 捕 捉 されず 長 期 にわたって 潜 伏 活 動 する 5
サイバーセキュリティ 対 策 の 実 情 と 課 題
国 内 の 大 規 模 組 織 におけるセキュリティ 対 策 と 防 御 力 の 客 観 的 な 数 値 脅 威 の 種 類 ( 抜 粋 ) 最 近 の 脅 威 への 年 ごとの 対 応 状 況 2010 年 2011 年 2012 年 2013 年 2014 年 2015 年 インターネットからの 標 的 型 攻 撃 メール ( 添 付 ファイル 本 文 内 リンク) 20% 20% 20% 20% 50% 50% 2014 年 度 に Sandbox を 導 入 感 染 Web サイトによる 待 ち 受 け 型 攻 撃 備 考 30% 30% 30% 30% 70% 70% 2014 年 度 に Sandbox を 導 入 感 染 記 憶 媒 体 の 持 込 によるウイルス 感 染 15% 15% 15% 15% 15% 15% LAN に 不 正 に 接 続 された 端 末 から ウイルス 感 染 または 故 意 の 情 報 漏 えい 公 開 サーバが 改 ざん 対 策 が 不 十 分 で 感 染 した 場 合 に 感 染 活 動 を 検 知 できない 35% 35% 35% 35% 50% 50% 2014 年 に 市 販 SIEM を 導 入 20% 20% 20% 20% 20% 20% グループ 会 社 も 含 めて 公 開 サーバを 一 元 管 理 出 来 ていない 引 用 :2015 年 S&J 社 分 析 データより 7
サイバー 攻 撃 による 情 報 漏 洩 が 止 まらない 理 由 主 たる 対 策 主 たる 課 題 技 術 多 層 防 衛 運 用 管 理 ツール 等 組 織 CSIRT そもそもツールで 検 知 出 来 ない 脅 威 の 見 逃 し 高 度 化 された 各 ツール 機 能 を 有 効 活 用 出 来 ない 実 装 の 都 度 増 加 する 利 用 者 側 の 利 便 性 低 下 実 装 の 都 度 増 加 する 管 理 ツール 群 SIEM 等 の 台 頭 により 更 なる 管 理 負 荷 の 増 大 生 ログを 含 めたネットワークフォレンジックの 必 須 化 専 任 担 当 としてアサインするする 事 が 困 難 な 実 態 犯 罪 者 と 同 レベルの 知 識 やノウハウの 確 保 が 困 難 的 確 な 脅 威 の 一 次 切 分 とその 対 処 が 出 来 ない 未 知 の マ ル ウ ェ ア 感 染 拡 散 情 報 漏 洩 8
経 営 者 目 線 による ITシステム 利 用 における 最 大 のセキュリティ 脅 威 は 一 体 なんでしょうか? 今 回 のフォーカスポイント 組 織 ( 事 業 体 )が 守 らなければならない 情 報 の 漏 洩 個 人 情 報 や 知 的 財 産 といった 情 報 資 産 の 漏 洩 等 外 部 犯 行 : 対 象 システムをマルウェア( 不 正 プログラム) 感 染 させ 遠 隔 から 不 正 に 情 報 の 窃 取 内 部 犯 行 : 組 織 内 の 人 間 が 不 正 に 情 報 資 産 を 窃 取 ビジネスの 可 用 性 (BCP)に 悪 影 響 を 与 えるサイバー 攻 撃 Webサイトをダウンさせサイト 経 由 のビジネスや 業 務 がすべて 停 止 外 部 犯 行 : 対 象 のWebサイトを 閲 覧 出 来 なくする 特 殊 なサイバー 攻 撃 (DDoS)の 仕 掛 け 内 部 犯 行 : 基 本 的 に 内 部 犯 行 による 攻 撃 ケースは 困 難 6
代 表 的 な 外 部 犯 行 (マルウェア 感 染 )の 概 説 外 部 犯 行 の 三 大 攻 撃 の 種 別 1. メール( 添 付 ファイル) 経 由 によるマルウェア 感 染 (させ 制 御 を 奪 い 情 報 を 窃 取 ) 2. Webアクセスによるマルウェア 感 染 (させ 制 御 を 奪 い 情 報 を 窃 取 ) 3. USB 等 のリムーバブルメディア 経 由 によるウイルス 感 染 (させ 制 御 を 奪 い 情 報 を 窃 取 ) マルウェア 感 染 から 情 報 窃 取 までの 攻 撃 プロセス マルウェアの 感 染 攻 撃 対 象 のシステム 情 報 やセキュリティ 対 策 を 把 握 し 以 降 の 攻 撃 手 法 を 精 査 マルウェアの 感 染 拡 散 情 報 窃 取 に 必 要 な 権 限 を 得 る 為 に 横 感 染 やADサーバ 等 へ 拡 散 情 報 資 産 の 窃 取 窃 取 したい 情 報 を 取 得 し 永 続 的 に 情 報 窃 取 する 為 のプラットフォームを 形 成 7
数 年 先 を 見 据 えたセキュリティ 運 用 の 方 向 性
数 年 先 を 見 据 えた セキュリティ 運 用 ( 対 策 / 対 処 )の 方 向 性 外 部 犯 行 という 脅 威 ( 未 知 のマルウェア 感 染 ) 自 体 の 総 量 を 削 減 し 発 生 した 脅 威 を 自 ら 把 握 することが 出 来 更 にそのインパクト( 情 報 漏 洩 等 )の 影 響 範 囲 を 最 小 化 出 来 る 削 減 し 切 れない 脅 威 を 残 存 リスク として 定 義 し 専 門 家 でなくとも 自 組 織 (CSIRT)で セキュリティ 対 処 まで 包 含 したセキュリティ 運 用 を 実 現 出 来 る 組 織 内 CSIRTで 制 御 可 能 である 事 脅 威 自 体 の 無 害 化 ( 脅 威 ) 影 響 範 囲 の 最 小 化 汚 染 環 境 の 健 全 化 8
未 知 のマルウェア 感 染 における 影 響 範 囲 の 最 小 化 の 考 え 方 未 知 のマルウェア 感 染 を 前 提 とした 端 末 単 位 のセキュリティゾーニング 感 染 における 影 響 範 囲 の 最 小 化 マルウェアの 感 染 拡 散 の 事 実 を 横 拡 散 のDropログから 自 動 的 に 把 握 実 現 可 能 なセキュリティ 運 用 13
未 知 の 不 正 マルウェア 感 染 を 前 提 とした セキュリティ 対 処 の あるべき 運 用 プロセス 概 念 図 過 剰 な 多 層 防 衛 は 投 資 & 運 用 コスト( 管 理 ツールやログ 量 )の 増 加 とユーザ 側 の 利 便 性 低 下 を 招 く 絶 対 的 な 攻 撃 総 量 の 低 下 は 望 めるものの ツールで 捕 捉 出 来 ない 深 刻 な 脅 威 の 見 落 としに 気 付 けない 入 口 & 出 口 側 ( 目 指 すは 攻 撃 の 無 害 化 ) FW/IPS/IDS NGFW 各 種 コンテンツ フィルタリング すり 抜 けた 攻 撃 内 部 側 ( 脅 威 の 最 小 化 と 健 全 化 ) マルウェア 感 染 のより 脅 威 の 最 小 化 ネットワーク 切 り 離 し メール Web 標 的 型 攻 撃 インターネット 分 離 USB 感 染 ウイルス 対 策 等 で 捕 捉 困 難 な 脅 威 汚 染 端 末 の 健 全 化 脅 威 の 無 害 化 無 害 化 できない 脅 威 は 内 部 側 へ 到 達 感 染 拡 散 の 防 止 エンドポイントへの 攻 撃 が 到 達 する 前 提 10
仮 想 化 技 術 によって 実 現 する セキュリティプラットフォームの 概 説
防 御 し 切 れない 標 的 型 攻 撃 の 無 害 化 を 目 指 し 未 知 のマルウェア 感 染 リスクの 最 小 化 と 健 全 化 を 実 現 するNSX 各 種 標 的 型 攻 撃 既 存 のセキュリティ 対 策 インターネット 分 離 による 無 害 化 感 染 脅 威 自 体 の 最 小 化 感 染 拡 散 の 防 止 汚 染 環 境 の 健 全 化 100%のマルウェア 駆 除 各 社 仮 想 セキュリティ 対 策 ツールによる 防 御 (インターネット 分 離 はVMware Horizon View) 仮 想 デスクトップ 単 位 での 封 じ 込 め (VMware NSX:マイクロセグメンテーション) クリーンなOSや アプリケーションの 強 制 適 用 (VMware Horizon View) 物 理 実 装 やハイパーバイザ 上 で 実 装 (ハイパーバイザ:VMware ESXi) ハイパーバイザ 上 で 実 装 (VMware ESXi) 16
参 考 標 的 型 攻 撃 の 攻 撃 ステップ 別 のテクノロジーカバレッジ 標 的 型 攻 撃 のステップ(Kill - Chain Model) 攻 撃 対 象 の 確 認 マルウェア 作 成 防 御 テクノロジー( 通 常 ) 防 御 テクノロジー( 高 度 ) マルウェア 配 信 マルウェア 感 染 ファイアウォール 不 正 侵 入 検 知 システム(IDS/IPS) 各 種 コンテンツフィルタ メール 無 害 化 ツール( 今 後 ) Web 無 害 化 ツール INTERNET 分 離 (VMware Hirzon) マルウェア 対 策 (エンドポイント) 端 末 の 制 御 奪 う システムの 制 御 を 奪 う マイクロセグメンテーション(VMware NSX) 感 染 拡 散 の 最 小 化 統 合 ログ 分 析 システム(SIEM) 感 染 端 末 の 健 全 化 情 報 漏 洩 NSXログとSIEM 連 携 により マルウェア 感 染 被 害 によるインシデントレスポンスの 確 実 性 と 効 率 性 を 飛 躍 的 に 向 上 次 世 代 型 ファイアウォール 感 染 拡 散 時 に 発 生 するログからマルウェア 感 染 事 実 を 把 握 振 る 舞 い 検 知 (エンドポイント)
VMware NSX のお 客 様 事 例 と 実 績 NSX のお 客 様 900 社 以 上 本 番 環 境 での 展 開 150 社 以 上 ( 四 半 期 ごとに 25 ~ 50 の 増 加 ) NSX に 100 万 ドル 以 上 投 資 した 企 業 50 社 以 上 18
セキュリティ 事 案 の 元 凶 を 可 視 化 する 未 知 のマルウェア 感 染 痕 跡 分 析 の 考 え 方 VMwareの 新 しいセキュリティサービス
マルウェア 感 染 痕 跡 分 析 サービス( 近 日 リリース 予 定 )の 概 要 サービスの 概 要 マルウェア 感 染 痕 跡 分 析 サービス( 以 降 サービス)は 弊 社 が 独 自 開 発 したインストール 不 要 の 実 行 形 式 型 の 情 報 収 集 ツール( 以 降 PAM)を 組 織 内 の 全 数 端 末 で 実 施 頂 くことより 組 織 内 に 潜 んでいる 未 知 のマルウエアの 感 染 痕 跡 や 脅 威 を 評 価 するサービスです PAMをWindows 系 PC/サーバ 上 で 実 行 することにより マルウェアの 感 染 実 態 把 握 に 必 要 なシステム 情 報 およびファイル 情 報 を 自 動 収 集 します 収 集 された 情 報 をインシデントの 対 応 経 験 が 豊 富 なアナリストが 全 数 分 析 を 行 うことで 調 査 対 象 組 織 の 情 報 システム 担 当 者 に 過 大 な 負 荷 を 強 いることなく 利 用 者 の 利 便 性 も 損 なわずに 組 織 内 の 全 数 端 末 のマルウェア 感 染 痕 跡 を 評 価 します サービスによる 効 果 サービス 提 供 期 間 : 約 3か 月 程 度 (お 客 様 の 調 査 期 間 を3 週 間 程 度 と 仮 定 ) サービス 提 供 費 用 : 個 別 見 積 り( 最 低 の 調 査 対 象 PC 台 数 は1000 台 ~) 組 織 内 の 既 知 / 未 知 のマルウェアの 感 染 実 態 を 客 観 的 且 つ 定 量 的 に 把 握 及 び 評 価 が 可 能 となり この 評 価 データを 元 に 現 状 のセキュリ ティレベルの 客 観 的 評 価 や 今 後 のセキュリティ 対 策 / 対 処 の 強 化 に 向 けた 定 量 的 な 分 析 情 報 として 活 用 する 事 が 可 能 です 従 来 は 実 質 不 可 能 であった 組 織 内 の 全 数 端 末 調 査 が 容 易 に 可 能 です 同 サービスを 定 期 的 に 実 施 する 事 で セキュリティ 対 策 の 有 効 性 の 経 年 比 較 が 出 来 ます インターネットと 接 続 出 来 ないクローズド 環 境 やVDIとFAT 混 在 環 境 でも 本 サービスは 提 供 可 能 です 16
サービスの 実 施 方 法 本 サービスの 実 施 ステップ(イメージ) 実 施 ステップ 実 施 内 容 実 施 期 間 実 施 対 象 1.アドバイザリ 本 サービスの 目 的 実 施 方 法 費 用 免 責 事 項 等 の 合 意 N/A 両 社 2.PAMのテスト 評 価 調 査 対 象 端 末 でのPAM 実 施 時 間 と 分 析 対 象 用 データの 弊 社 サーバとの 疎 通 確 認 1 週 間 程 度 御 社 3.PAMの 実 施 PAMの 調 査 対 象 となる 全 数 端 末 でPAMの 実 施 2-3 週 間 程 度 御 社 4.PAMの 分 析 と 評 価 5.ご 報 告 会 御 社 のPAM 調 査 完 了 報 告 を 経 て 弊 社 内 でPAMの 全 数 分 析 と 評 価 を 実 施 し 報 告 書 を 作 成 報 告 書 を 踏 まえ 評 価 内 容 を 今 後 の 対 策 強 化 / 改 善 に 向 けた 方 向 性 を 助 言 1ヶ 月 程 度 1 万 台 実 施 時 弊 社 1 日 両 社 本 サービスはPAMを1 万 台 実 施 した 際 に 約 2ヶ 月 から3ヶ 月 程 度 の 実 施 期 間 が 目 安 となります 17
F5 様 との 協 業 ソリューション 紹 介 ~BIG-IP APMとの 連 携 ソリューション~
VMware Horizon View 環 境 で BIG-IPを 利 用 しない 場 合 デバイスチェックができない デバイスチェックを 実 施 しないため 許 可 された 端 末 以 外 の 端 末 からでも アクセス 可 能 セキュリティ 限 られた 認 証 方 法 ID/パスワード 認 証 もしくはRSA による 認 証 の 二 通 り セキュリティ User devices ユーザの 利 便 性 対 IT 部 門 の 管 理 性 DMZ PCoIP Centralized Virtual Desktops vcenter LB VMware infrastructure Load Balancer View Security Server View Connection Server Microsoft Active Directory Security Serverが 必 要 Windowsサーバのため 脆 弱 性 攻 撃 の 的 になりやすい Windowsサーバのため SSL 処 理 によるパ フォーマンス 劣 化 が 懸 念 Secure Server : Connection Server = 1: 1 Connection Server1 台 につき 1 台 の Secure Serverが 必 ず 必 要 セキュリティ パフォーマンス 複 雑 ( 機 器 が 多 い) 信 頼 性 (ダウン 時 のコネクション 維 持 なし) 20
VMware Horizon View 環 境 での BIG-IP 利 用 のベネフィット デバイスチェック User devices セキュリティ ウィルスチェック デバイスIDチェックなど 多 要 素 による デバイスチェックによるセキュリティの 向 上 ユーザの 利 便 性 対 IT 部 門 の 管 理 性 様 々な 認 証 方 法 様 々な 二 要 素 認 証 ブルートフォース 対 策 セキュリティ PCoIP Centralized Virtual Desktops vcenter LB VMware infrastructure Load Balancer View Security Server View Connection Server Microsoft Active Directory Security Serverが 不 要 ISCA 認 定 のセキュリティ DoS 対 策 Local Traffic Manager Access Policy Manager Advanced Firewall Manager セキュリティ パフォーマンス シンプル コネクション 情 報 を 維 持 した 冗 長 化 高 信 頼 性 21
AirWatch 利 用 環 境 での セキュリティと 使 い 勝 手 を 両 立 Per App VPNにより 利 用 者 はリモート 接 続 を 意 識 せずにアクセスできます 自 動 的 に VPN 接 続 リモートアクセスを 意 識 せずに アプリを 利 用 社 内 アプリへの アクセス 社 内 アプリケーション 管 理 アプリの 起 動 だけでVPN 接 続 (パスワード 不 要 Per App VPN 仮 想 デスクトップ 社 内 メール ファイルサーバー ERP CRMなど 管 理 アプリを 起 動 管 理 アプリと 非 管 理 アプリが セキュアに 共 存 (BYODに 最 適 ) BIG-IP Platform
AirWatch 利 用 環 境 での セキュアなSaaSアクセスの 実 現 SaaSアプリケーションへのアクセスであっても 認 証 制 御 が 行 えます 端 末 管 理 アプリケーション 管 理 マルチデバイスからの アクセスを 一 元 管 理 SaaSへの アクセス 制 御 主 要 SaaS 端 末 情 報 個 人 所 有 端 末 アプリ 単 位 の アクセス 範 囲 指 定 社 内 アプリケーション 会 社 支 給 端 末 企 業 ポリシーに 準 拠 した 端 末 のみ 通 信 を 許 可 BIG-IP Platform リモートアクセス(SLL VPN) アプリケーション アクセス 管 理 アクセス ポリシー 管 理 社 内 アプリへの SSO 接 続 仮 想 デスクトップ 社 内 メール ERP CRMなど
Thank you