¥ fûfÚfág g2g gmg g[gqgv...
TRANSCRIPT
2
0
2
4
6
8
10
12
0
10
20
30
40
50
60
70
80
90
1978
1979
1980
1981
1982
1983
1984
1985
1986
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
日本におけるインターネット普及率とYahooAmazon(米国)の売上の推移
人口普及率
Yahoo売上推移
Amazon売上推移
愉快犯
経済的目的
情報工作
目的
One Executable
Combined executable with CampC
ハクティ
ビズム
1 Risk and responsibility in a hyper connected world Implications for enterprises January 2014
2 Verizon 2013 Data Breach Investigation Report
3 Ponemon Institute Releases 2014 Cost of Data Breach4 APAC CIO 調査
90
企業の約7割はセキュリティ事故を経験 9割は未知の脅威が侵入済み2
200日以上
攻撃者が検出されるまでに被害者のネットワーク内に潜伏している中央値の日数は200 日を超える
42億円
企業が被るデータ侵害の平均コスト 3
79
新テクノロジ採用の最大の障壁セキュリティプライバシーやコンプライアンスの懸念4
マイクロソフトにおけるマルウエア
5
マイクロソフトのIT環境
100ヵ国+ 15万人 60万台+
AVの最新のリアルタイム検知適用率
98
検出200万件 検出 70 件年
感染51件 感染 16000台年
2015年1月-6月 (出典SIR19)
セキュリティのパラドックス対策が出来ていると攻撃を把握できる
対策が出来ていないと攻撃が把握できない
① メールサーバGWメールサーバGWでマルウエアを発見できずメールを通過させている
DC(認証サーバ)
12
bull FileShare
ファイルサーバー
秘秘 3攻撃者
Internet標的PC
秘秘0
4
② PCAVは検知駆除せずRATのインストールに成功外部からの操作が行われたパスワードによるデータ保護
③ サーバーITインフラPCなどの統制
5⑤ DCID管理認証サーバIDやPCなどの設定を管理するドメイン管理者権限を奪取
④ファイルの転送ファイル転送機能等で外部へ
秘秘ファイアウォール
①攻撃の検知防御②PCやサーバーの
権限設定④適切な情報保護
⑤システム的な統制とモニタ
⑤教育啓発訓練
必要とされる視点
ネットワークPC等に到達する攻撃を減すホスト最新の攻撃を検知しやすい環境検出ネットワークやログから攻撃を検知検出する
マルウエアが動作しない他のPCやサーバに侵入が困難なシステム設定を実装する特に認証サーバーの設定には配慮する
ファイル(データ)を盗まれても情報が漏れないような暗号を使った保護を多段階で行う
PCやサーバネットワーク接続を一括して管理できる仕組みを構築するこの仕組みに基づいたモニタを行い監視や監査の元データとする
利用者への教育は不可欠管理者に対する教育も忘れずに行う事故を想定した訓練を定期的に実施することも重要
事件の概要
③認証情報の管理と保護
ID管理により認証と認可を適切に行うPC内の認証情報を保護し認証サーバーを保護する
対策の方向性サイバー攻撃対策 (主に標的型)Strategies to Mitigate Targeted Cyber Intrusions the Australian Signals Directorate (ASD formerly DSD)
8
httpwwwasdgovauinfosectop35mitigationstrategieshtm
オーストラリアの通信が対応した標的型攻撃の
最低でも 85 は4 つの対策を実施するだけで防ぐことができたと分析した
1アプリケーションホワイトリストを適用するbull マルウェアの実行を防止するbull 許可されていないソフトウェアの実行を防止する
2アプリにパッチを適用するbull PDF リーダーMicrosoft OfficeJavaFlash
PlayerWeb ブラウザ等
3OS にパッチを適用する4管理者権限を持つユーザーを最小限にする
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
0
2
4
6
8
10
12
0
10
20
30
40
50
60
70
80
90
1978
1979
1980
1981
1982
1983
1984
1985
1986
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
日本におけるインターネット普及率とYahooAmazon(米国)の売上の推移
人口普及率
Yahoo売上推移
Amazon売上推移
愉快犯
経済的目的
情報工作
目的
One Executable
Combined executable with CampC
ハクティ
ビズム
1 Risk and responsibility in a hyper connected world Implications for enterprises January 2014
2 Verizon 2013 Data Breach Investigation Report
3 Ponemon Institute Releases 2014 Cost of Data Breach4 APAC CIO 調査
90
企業の約7割はセキュリティ事故を経験 9割は未知の脅威が侵入済み2
200日以上
攻撃者が検出されるまでに被害者のネットワーク内に潜伏している中央値の日数は200 日を超える
42億円
企業が被るデータ侵害の平均コスト 3
79
新テクノロジ採用の最大の障壁セキュリティプライバシーやコンプライアンスの懸念4
マイクロソフトにおけるマルウエア
5
マイクロソフトのIT環境
100ヵ国+ 15万人 60万台+
AVの最新のリアルタイム検知適用率
98
検出200万件 検出 70 件年
感染51件 感染 16000台年
2015年1月-6月 (出典SIR19)
セキュリティのパラドックス対策が出来ていると攻撃を把握できる
対策が出来ていないと攻撃が把握できない
① メールサーバGWメールサーバGWでマルウエアを発見できずメールを通過させている
DC(認証サーバ)
12
bull FileShare
ファイルサーバー
秘秘 3攻撃者
Internet標的PC
秘秘0
4
② PCAVは検知駆除せずRATのインストールに成功外部からの操作が行われたパスワードによるデータ保護
③ サーバーITインフラPCなどの統制
5⑤ DCID管理認証サーバIDやPCなどの設定を管理するドメイン管理者権限を奪取
④ファイルの転送ファイル転送機能等で外部へ
秘秘ファイアウォール
①攻撃の検知防御②PCやサーバーの
権限設定④適切な情報保護
⑤システム的な統制とモニタ
⑤教育啓発訓練
必要とされる視点
ネットワークPC等に到達する攻撃を減すホスト最新の攻撃を検知しやすい環境検出ネットワークやログから攻撃を検知検出する
マルウエアが動作しない他のPCやサーバに侵入が困難なシステム設定を実装する特に認証サーバーの設定には配慮する
ファイル(データ)を盗まれても情報が漏れないような暗号を使った保護を多段階で行う
PCやサーバネットワーク接続を一括して管理できる仕組みを構築するこの仕組みに基づいたモニタを行い監視や監査の元データとする
利用者への教育は不可欠管理者に対する教育も忘れずに行う事故を想定した訓練を定期的に実施することも重要
事件の概要
③認証情報の管理と保護
ID管理により認証と認可を適切に行うPC内の認証情報を保護し認証サーバーを保護する
対策の方向性サイバー攻撃対策 (主に標的型)Strategies to Mitigate Targeted Cyber Intrusions the Australian Signals Directorate (ASD formerly DSD)
8
httpwwwasdgovauinfosectop35mitigationstrategieshtm
オーストラリアの通信が対応した標的型攻撃の
最低でも 85 は4 つの対策を実施するだけで防ぐことができたと分析した
1アプリケーションホワイトリストを適用するbull マルウェアの実行を防止するbull 許可されていないソフトウェアの実行を防止する
2アプリにパッチを適用するbull PDF リーダーMicrosoft OfficeJavaFlash
PlayerWeb ブラウザ等
3OS にパッチを適用する4管理者権限を持つユーザーを最小限にする
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
1 Risk and responsibility in a hyper connected world Implications for enterprises January 2014
2 Verizon 2013 Data Breach Investigation Report
3 Ponemon Institute Releases 2014 Cost of Data Breach4 APAC CIO 調査
90
企業の約7割はセキュリティ事故を経験 9割は未知の脅威が侵入済み2
200日以上
攻撃者が検出されるまでに被害者のネットワーク内に潜伏している中央値の日数は200 日を超える
42億円
企業が被るデータ侵害の平均コスト 3
79
新テクノロジ採用の最大の障壁セキュリティプライバシーやコンプライアンスの懸念4
マイクロソフトにおけるマルウエア
5
マイクロソフトのIT環境
100ヵ国+ 15万人 60万台+
AVの最新のリアルタイム検知適用率
98
検出200万件 検出 70 件年
感染51件 感染 16000台年
2015年1月-6月 (出典SIR19)
セキュリティのパラドックス対策が出来ていると攻撃を把握できる
対策が出来ていないと攻撃が把握できない
① メールサーバGWメールサーバGWでマルウエアを発見できずメールを通過させている
DC(認証サーバ)
12
bull FileShare
ファイルサーバー
秘秘 3攻撃者
Internet標的PC
秘秘0
4
② PCAVは検知駆除せずRATのインストールに成功外部からの操作が行われたパスワードによるデータ保護
③ サーバーITインフラPCなどの統制
5⑤ DCID管理認証サーバIDやPCなどの設定を管理するドメイン管理者権限を奪取
④ファイルの転送ファイル転送機能等で外部へ
秘秘ファイアウォール
①攻撃の検知防御②PCやサーバーの
権限設定④適切な情報保護
⑤システム的な統制とモニタ
⑤教育啓発訓練
必要とされる視点
ネットワークPC等に到達する攻撃を減すホスト最新の攻撃を検知しやすい環境検出ネットワークやログから攻撃を検知検出する
マルウエアが動作しない他のPCやサーバに侵入が困難なシステム設定を実装する特に認証サーバーの設定には配慮する
ファイル(データ)を盗まれても情報が漏れないような暗号を使った保護を多段階で行う
PCやサーバネットワーク接続を一括して管理できる仕組みを構築するこの仕組みに基づいたモニタを行い監視や監査の元データとする
利用者への教育は不可欠管理者に対する教育も忘れずに行う事故を想定した訓練を定期的に実施することも重要
事件の概要
③認証情報の管理と保護
ID管理により認証と認可を適切に行うPC内の認証情報を保護し認証サーバーを保護する
対策の方向性サイバー攻撃対策 (主に標的型)Strategies to Mitigate Targeted Cyber Intrusions the Australian Signals Directorate (ASD formerly DSD)
8
httpwwwasdgovauinfosectop35mitigationstrategieshtm
オーストラリアの通信が対応した標的型攻撃の
最低でも 85 は4 つの対策を実施するだけで防ぐことができたと分析した
1アプリケーションホワイトリストを適用するbull マルウェアの実行を防止するbull 許可されていないソフトウェアの実行を防止する
2アプリにパッチを適用するbull PDF リーダーMicrosoft OfficeJavaFlash
PlayerWeb ブラウザ等
3OS にパッチを適用する4管理者権限を持つユーザーを最小限にする
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
マイクロソフトにおけるマルウエア
5
マイクロソフトのIT環境
100ヵ国+ 15万人 60万台+
AVの最新のリアルタイム検知適用率
98
検出200万件 検出 70 件年
感染51件 感染 16000台年
2015年1月-6月 (出典SIR19)
セキュリティのパラドックス対策が出来ていると攻撃を把握できる
対策が出来ていないと攻撃が把握できない
① メールサーバGWメールサーバGWでマルウエアを発見できずメールを通過させている
DC(認証サーバ)
12
bull FileShare
ファイルサーバー
秘秘 3攻撃者
Internet標的PC
秘秘0
4
② PCAVは検知駆除せずRATのインストールに成功外部からの操作が行われたパスワードによるデータ保護
③ サーバーITインフラPCなどの統制
5⑤ DCID管理認証サーバIDやPCなどの設定を管理するドメイン管理者権限を奪取
④ファイルの転送ファイル転送機能等で外部へ
秘秘ファイアウォール
①攻撃の検知防御②PCやサーバーの
権限設定④適切な情報保護
⑤システム的な統制とモニタ
⑤教育啓発訓練
必要とされる視点
ネットワークPC等に到達する攻撃を減すホスト最新の攻撃を検知しやすい環境検出ネットワークやログから攻撃を検知検出する
マルウエアが動作しない他のPCやサーバに侵入が困難なシステム設定を実装する特に認証サーバーの設定には配慮する
ファイル(データ)を盗まれても情報が漏れないような暗号を使った保護を多段階で行う
PCやサーバネットワーク接続を一括して管理できる仕組みを構築するこの仕組みに基づいたモニタを行い監視や監査の元データとする
利用者への教育は不可欠管理者に対する教育も忘れずに行う事故を想定した訓練を定期的に実施することも重要
事件の概要
③認証情報の管理と保護
ID管理により認証と認可を適切に行うPC内の認証情報を保護し認証サーバーを保護する
対策の方向性サイバー攻撃対策 (主に標的型)Strategies to Mitigate Targeted Cyber Intrusions the Australian Signals Directorate (ASD formerly DSD)
8
httpwwwasdgovauinfosectop35mitigationstrategieshtm
オーストラリアの通信が対応した標的型攻撃の
最低でも 85 は4 つの対策を実施するだけで防ぐことができたと分析した
1アプリケーションホワイトリストを適用するbull マルウェアの実行を防止するbull 許可されていないソフトウェアの実行を防止する
2アプリにパッチを適用するbull PDF リーダーMicrosoft OfficeJavaFlash
PlayerWeb ブラウザ等
3OS にパッチを適用する4管理者権限を持つユーザーを最小限にする
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
① メールサーバGWメールサーバGWでマルウエアを発見できずメールを通過させている
DC(認証サーバ)
12
bull FileShare
ファイルサーバー
秘秘 3攻撃者
Internet標的PC
秘秘0
4
② PCAVは検知駆除せずRATのインストールに成功外部からの操作が行われたパスワードによるデータ保護
③ サーバーITインフラPCなどの統制
5⑤ DCID管理認証サーバIDやPCなどの設定を管理するドメイン管理者権限を奪取
④ファイルの転送ファイル転送機能等で外部へ
秘秘ファイアウォール
①攻撃の検知防御②PCやサーバーの
権限設定④適切な情報保護
⑤システム的な統制とモニタ
⑤教育啓発訓練
必要とされる視点
ネットワークPC等に到達する攻撃を減すホスト最新の攻撃を検知しやすい環境検出ネットワークやログから攻撃を検知検出する
マルウエアが動作しない他のPCやサーバに侵入が困難なシステム設定を実装する特に認証サーバーの設定には配慮する
ファイル(データ)を盗まれても情報が漏れないような暗号を使った保護を多段階で行う
PCやサーバネットワーク接続を一括して管理できる仕組みを構築するこの仕組みに基づいたモニタを行い監視や監査の元データとする
利用者への教育は不可欠管理者に対する教育も忘れずに行う事故を想定した訓練を定期的に実施することも重要
事件の概要
③認証情報の管理と保護
ID管理により認証と認可を適切に行うPC内の認証情報を保護し認証サーバーを保護する
対策の方向性サイバー攻撃対策 (主に標的型)Strategies to Mitigate Targeted Cyber Intrusions the Australian Signals Directorate (ASD formerly DSD)
8
httpwwwasdgovauinfosectop35mitigationstrategieshtm
オーストラリアの通信が対応した標的型攻撃の
最低でも 85 は4 つの対策を実施するだけで防ぐことができたと分析した
1アプリケーションホワイトリストを適用するbull マルウェアの実行を防止するbull 許可されていないソフトウェアの実行を防止する
2アプリにパッチを適用するbull PDF リーダーMicrosoft OfficeJavaFlash
PlayerWeb ブラウザ等
3OS にパッチを適用する4管理者権限を持つユーザーを最小限にする
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
対策の方向性サイバー攻撃対策 (主に標的型)Strategies to Mitigate Targeted Cyber Intrusions the Australian Signals Directorate (ASD formerly DSD)
8
httpwwwasdgovauinfosectop35mitigationstrategieshtm
オーストラリアの通信が対応した標的型攻撃の
最低でも 85 は4 つの対策を実施するだけで防ぐことができたと分析した
1アプリケーションホワイトリストを適用するbull マルウェアの実行を防止するbull 許可されていないソフトウェアの実行を防止する
2アプリにパッチを適用するbull PDF リーダーMicrosoft OfficeJavaFlash
PlayerWeb ブラウザ等
3OS にパッチを適用する4管理者権限を持つユーザーを最小限にする
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
対策の方向性サイバー攻撃対策 (主に標的型)SANS Twenty Critical Security Controls for Effective Cyber Defense
9
20 Critical Security Controls - Version 41
bullCritical Control 1許可 非許可のデバイスの一覧を作成する (Inventory)
bullCritical Control 2許可 非許可のソフトウェアの一覧を作成する (Inventory)
bullCritical Control 3 モバイル デバイスラップトップワークステーションサーバーのハードウェアとソフトウェアを安全な設定にするbullCritical Control 4 継続的な脆弱性検査と修正 (更新) bullCritical Control 5 マルウェアの対策bullCritical Control 6 アプリケーション ソフトのセキュリティbullCritical Control 7 無線デバイスのコントロールbullCritical Control 8 データ リカバリー能力bullCritical Control 9 セキュリティ スキルの検証とギャップを埋めるための適切なトレーニングbullCritical Control 10 ファイアウォールルータースイッチなどのネットワーク機器の安全な設定
SANS
Critical Security Controls for Effective Cyber Defense
httpwwwsansorgcritical-security-controls
日本語訳
httpwwwsans-japanjpresources20controlshtml
米国 国務省はこれを実施することで 94 以上のセキュリティ リスクを減少させることができることを検証した
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
システム的な統制ADを中心としたIT管理基盤(MS IT)
IDとアクセス管理 ホスト アプリケーション データネットワーク物理的
管理監査11
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
INTER
NET
IPsec
Corporate intranet
SecureNet Important Servers
Boundary Machine
Infrastructure
DN
S
Win
s
DH
CP
DC
No Compliant
Machine
Mac
NIX
XB
OX
LA
B
Tab
let
ph
on
e
Authorized
PC
Unauthorized
PC
システム的な統制管理可能なネットワーク
12
AC
L
リモートアクセス環境におけるセキュリティ強化へのマイクロソフトの取り組みhttptechnetmicrosoftcomja-jplibrarybb735234aspxDirectAccess の機能httpwwwmicrosoftcomja-jpserver-cloudwindows-serverdirectaccess-featuresaspx
Authorized
PC
IPse
c
Unauthorized
PC
bull 端末間端末 サーバー間の接続をIPsec を使ったロジカルセグメンテーションで構築
bull Authorized な端末間でしか接続ができない
bull 無線 LAN の場合も8021x を使い証明書を利用し端末の接続許可と排除を制御
bull ユーザー認証の以前にデバイス レベルでネットワーク接続の可否を制御
bull 例外的な許可ルールが容易
bull DirectAccess への展開により外部からの接続についてもイントラネットと同様に制御が可能
ドメインアカウントでログオンをしていない端末ユーザーのイントラネットへのアクセスを防ぐ
利用者がドメインアカウントでログオンすることを促しイントラネットにアクセスする全てのPCに対して適切なセキュリティ対策が強制できるようにする
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
攻撃の検知防御Office 365とATP
httpswwwyoutubecomwatchv=pg26t5TxDHE
SafeLink(ATP Advanced Threat Protection) メール中のURLをATPのフィルターを通すURLに変更しPCに攻撃が届かないようにする
Safe Attachment(ATP Advanced Threat Protection) メールサーバー内で通常のウィルスチェックスパムチェックに加えて一度添付ファイルを開き疑わしい動作がないことを確認済み
保護されビュー(Office 201620132010) インターネットから受信した添付ファイルは安全な環境で開かれる誤って攻撃ファイルを開いても「編集を有効にする」をクリックしない限りシステムに影響はない
お客様がこの機能で攻撃メールから守られた事例もある
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
適切な情報保護メールとRMS
14
RMS (Rights Management Services)メールと添付ファイルを暗号化し誰が何をできるかを制限する万一社外に漏れても許可されたユーザーしか見られないのでメールの内容は保護されるこのメールの例では田屋と高橋しかメールを見ることができず他の人に転送をすることもできない
何らかの方法で外部に漏れた場合でも後からこのドキュメントを読めないようにできる
TIPS昔はBill Gatesの社員向けのメールがよくオンラインのニュースなどで公開をされていたしかし近年マイクロソフトの社内メールがメディアですっぱ抜かれた例はなく「幹部の談話によれば」になっているこれはRMSを使って社内向けのメールを保護することでメディアなどへのリークができなくなっているためと考えられる
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
適切な情報保護RMSによる情報の保護
アクセス可能なユーザーとアクセスの種類(表示印刷転送等)がファイルに組み込まれ高度な暗号により保護をしているファイルにアクセスをするにはファイルを開く際に認証を行い復号用の証明書を取得する必要がある
パスワードによる保護はユーザー任せである点パスワードの強度が保証できない点一度パスワードがわかるとパスワードが解除される点などから十分な保護策ではない
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
適切な情報保護RMSの事後対処(Azure RMS Premium の実装)
5
認証を行ったIPアドレスをマップすることでファイルを追跡することが可能
該当するファイルに対して複合データを渡さないように設定することで暗号を解除することができなくなる
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
Windows 10 ハードウェア起点のセキュリティ
外部のサービス
Home OOF
PotentiallyMalware
VSM (Virtual Secure Mode) LAPS (Local Administrator Password Solution)
アクセス方法の制御(ネットワークローカル)
アカウントの認証
ボリュームの保護
ファイルの保護
データの保護
権限のコントロール
ID
①リスト型攻撃対策Hello+Passport(FIDO)
社内ネットワーク
③Pass-the-Hash対策VSM LAPS
秘 秘 秘
1
3
2
④認証と紐づいた情報保護RMSEnterprise Guard
③rsquo VSM
秘4
②Malware対策ATP WhiteList対策
Wh
ite
Black
PotentiallyMalware
uarr White List Approach
Black List Approach darr
Loca
l Sec
uri
ty
Au
th S
ervi
ce
Windows
Apps
Vir
tual
TP
M
Hyp
er-V
iso
r C
od
e In
tegr
ity
Virtual Secure Mode (VSM)
AppLockerDevice Guard
②rsquoRootkit対策Secure boot
bull Secure Bootbull Trusted Bootbull Early Launch Anti-
Malwarebull Measured Boot
LocalAdminを奪取されても認証情報を保護するための対策
Webサービスから認証情報を盗まれても悪用を防ぐための対策
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
クラウド環境によるセキュリティ領域の拡張
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
セキュリティ境界はネットワークからIDに移行
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
ヒトデバイスデータの認証と認可
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
IDM
ID
ID
ID
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
人デバイスデータとともにログも分散する
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
ネットワークからIDへクラウドを活用するという考え方
デバイス管理安全な接続
Office 365 Dynamics
Azure
社外の関係者 外部サービス
bull 社内外での安全なデータ交換
bull 一元的なデバイスの管理
bull 社内外のID統合(SSO)
bull 多要素認証
Azure RMS
Azure ADP
Intune
ExpressRoute
社内ネットワーク
認証基盤
データ保護
(暗号化)
柔軟で強靭な IT 基盤
管理基盤
ネットワーク
保護
Windows Server
2012 R2
Private Cloud
安全なサーバ
DirectAccess
社内ネットワークの外のPCを社内ネットワークと同様の管理し社内ネットワークへの接続を提供
社内 Cloud間を
専用線VP接続
ATP ATA
bull 高度なマルウエア対策
bull 安全なWeb閲覧
bull 認証への攻撃検知
ID
ID
ID
ID
ID
ID
ID
ID
ID
IDM
ID
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
業務システム
管理者
IT管理者
業務システム A
データレーティング
bull A
作業内容
bull システム運用
bull バックアップ
bull リストア
bull トラブル対応
アカウント利用者
bull IT部 abc
bull xx株式会社 zzz
保護策
bull Bitlocker BaseLine(GPO)
データレーティング
bull A
作業内容
bull 業務システム運用
bull データ入力
bull データ閲覧
bull 外部との送受信
(1-few)
アカウント利用者
bull xxx部 aaaa
bull xxx部 bbb
保護策
bull Bitlocker BaseLine RMS
データの機密性評価
bull 従業員情報(中)
bull 取引先情報(中)
bull トランザクション(中)
システム利用者
デスクトップ
機密性
-高
機密性
-中
機密性
-低
微少1-5件 B C C
少5-20件 A C C
中20-100件 A B C
多100件以上 A A C
データのレーティング
システム利用者
モバイル
イントラネット
秘
データレーティング
bull C
作業内容
bull 個別データ入力
bull データ閲覧(最大XX件閲覧)
アカウント利用者
bull 全社員(アカウント保持者)
保護策
bull Bitlocker BaseLine(GPO)
bull リモートワイプ
bull VPNMFA
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
AVAM等マルウエアに
フォーカスした対策
ホワイトリストに基づいた対策
(ソフトウェアインベントリ)
bull AppLocker
bull Device Guard (Windows 10)
インストール実行を許すソフトウェアを定義
することはライセンス管理ばかりではなくマ
ルウエアを実行しないという観点からも重要
copy 2016 Microsoft Corporation All rights reserved
copy 2016 Microsoft Corporation All rights reserved