多層防御の時代は終わり、セキュリティは新しい局...

多層防御の時代は終わり、セキュリティは新しい局面へ

株式会社シマンテックエバンジェリスト髙岡隆佳

ゼロトラストモデルですべてが変わる

Copyright © 2019 Symantec Corporation SYMANTEC PROPRIETARY- LIMITED USE ONLY

LEGACY WORLD

Copyright © 2019 Symantec Corporation SYMANTEC PROPRIETARY- LIMITED USE ONLY 3

ユーザは常に社内のセキュリティを適用

攻撃の侵入は境界線で防ぐ前提

新たな脅威には新たなセキュリティ層を追加（パッチ・セキュリティ）

VPN/VDI

多層防御

What’s Next?


MODERN WORLD

Copyright © 2019 Symantec Corporation SYMANTEC PROPRIETARY- LIMITED USE ONLY 5

ユーザもデータも境界線を超える

攻撃の侵入も境界線を超える

管理すべき境界線の延伸が必要

脅威は多層化・より複雑化する様相

DANGER!

多層防御


クラウドシフトのふたつの流れ

2019 IDC Japan 「課題が顕著化したマルチクラウド」より抜粋


クラウド活用戦略に基づく投資を

7

新たな価値の創出（競争力）

CloudSecurity

回線・HW投資（極小）

アクセス遅延・制限（極小）

Digital Data

Security

開発リソース（極小）

開発期間（短期）

設備投資（極小）

メンテナンス（限定的）

Security-by-design

デバイス制限（極小）

情報流出リスク（極小）


それぞれのセキュリティ要件

8

CloudM

igration

Demand Solution

• クラウド上のデータを可視化・保護• マルチクラウド環境にガバナンス徹底• ワークロードやIaaS環境に対する透過的なセキュリティ（自動化）

• モバイルユーザを可視化・保護• シャドーIT制御とクラウド統合管理• ローカルブレイクアウトと透過的なセキュリティ（自動化）

SWG SDP CASB MTDEPP

CWACWP

EDR/MDR無害化

ICEDLP ICTVIPUEBA

SMG

SDP

DX

Privacy


縛るセキュリティから許すセキュリティへ

9

従来型（多層防御）ゼロトラストユーザ社内、またはVPN経由どこでもデバイス PC なんでもアプリケーション社内なんでもデータ社内どこでも脅威の侵入社外どこでもセキュリティ多層防御自動化と連携

ゼロトラストのセキュリティは自由度の高いワークスタイルを提供

縛る許す


Symantec Named a Leader in the Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018

Source: November 2018, The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018

The Forrester Wave is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.

“Symantec is a juggernaut, given its breadth of security solutions. The company has extensive endpoint, network security, and threat identification capabilities”- The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Providers, Q4 2018シマンテックは圧倒的なセキュリティ機能の網羅性を提供している。エンドポイントおよびネットワークセキュリティの拡張性や、多角的な脅威に対する対応力を持っている


Zero Trust eXtended eco-system(Forrester)

11

データ

デバイス

ネットワーク人

ワークロード「データを制する企業」がビジネスを制する

社内・社外問わずリスクを可視化・検出が必要

「機能連携と対応の自動化」で人材不足を解決

・DX、クラウドシフト、働き方改革・クラウドネイティブなビジネスの展開急務

・ユーザ、デバイス、データのリスク・ウェブ、メール、クラウド、ネットワーク経路

・いかにリアルタイムのリスクを自動対応できるかが鍵・事後対応型SOCから事前・事中対策自動化型SOCへ


騙されない、悪用されない、信用しない

自宅、オフィス、出張先、ネットカフェ…

ネットワークを信用しない

ユーザ、PC、アプリ、クラウド…モノを

信用しない

マルウェア、フィッシング、武装化ドキュメント･･･データを信用しない

ゼロトラスト・モデルのセキュリティが求められる


01101010111010101001010110111010101101101011101010110110010010101101010101000100010010000110101110101010010101101110101011011010111010101101100100101011010101010001000100100001101010111010100101011011101010110110101110101011011001001010110101010100010001001000011010101110101010010110111010101101101011101010110110010010101101011010101110101010010101101110101011011010111010100110010010101101010101000100010010000110101011101010100101011011101010110110101110101011011001101011010101010001000100100001101010111010101001010110111010101101101011101010110110010010101101010100010001001000011010101110101010010101101110101011011010111010101101100100101011010110101110101010010101101110101011011010111010101101100100101011010101010001000100100001101010111010101001010110111010101101101011101010110110010010101101010101000100010010000010101110101010010101101110101011011010111010101101100100101011010101010001000100100001101010101010100101011011101010110110101110101011011001001010110101101010111010101001010110111010101100101110101011011001001010110101010100010001001000011010101110101010010101101110101011011010111010110110010010101101010101000100010010000110101011101010100101011011101010110110101110101011000100101011010101010001000100100001101010111010101001010110111010101101101011101010110110010010110101101010111010101001010110111010101101101011101010110110010010101101010101000100010010000010101110101010010101101110101011011010111010101101100100101011010101010001000100100001101010111010101001010110111010101101101011101010110110010010101101010101000100010000011010101110101010010101101110101011011010111010101101100100101011010110101011101010100101011110101011011010111010101101100100101011010101010001000100100001101010111010101001010110111010110110101110101011011001001010110101010100010001001000011010101110101010010101101110101011011011101010110110010010101101010101000100010010000110101011101010100101011011101010110110101110101101100100101011011011101010110110010010101101010101000100010010000110101011101010100101011011

正しいゼロトラストモデルによる解放

13

Zero Trust for Data

Zero Trust for Network

Zero Trust for Device

Zero Trust for People

Zero Trust for Cloud

Zero Trust for Workload

VPN/VDI

生産性生産性

安全な共有

♪

自動化 &連携 ICDx

レガシーモダン


デジタル時代のゼロトラスト実装

自宅、オフィス、出張先、ネットカフェ…

ネットワークを信用しない

ユーザ、PC、アプリ、クラウド…モノを

信用しない

マルウェア、フィッシング、武装化ドキュメント･･･データを信用しない

ユーザの場所に依存しないクラウドプロキシの必要性

コンテンツをサイバーとデータ機微度の観点で分析

UEBA活用で機能連携とリスク対応を自動化


クラウドシフトがゼロトラスト対応を加速するゼロトラストに基づくセキュリティ将来像

15

働き方改革、DX化などの流れによるクラウドシフト

クラウドが業務基盤化

ユーザは場所関わらずクラウド活用が必要に

企業の境界線の延伸

流動的なデータに対して企業は責任ある対応が急務

データガバナンスの強制

従来のログ分析だけでは脅威がより見えなくなる

リスク分析と自動対応

> US企業では平均10~20アプリを採用

> 企業の外向け通信はほぼSSL/https化へ

> オフプレミス環境でのシームレスなセキュリティが必要に（全方位のセキュリティ適用）

> 守るべきデジタル・データを正確に追跡、制御することがビジネスを左右（コンプライアンス対応）

> セキュリティBI/AI時代の到来、センサー網羅性と精度が自動化効率を左右（SOAR）

1 2

Security as a Serviceによりオンプレミス・

モバイル・クラウドが統合される

> VPN/VDIの限界とスマホ活用の流れ

3

SWG/SDP/EPP DLP/MFA UEBA


ゼロトラストネットワークの基礎:SWG

ユーザに応じたウェブ制御（コンプライアンス）アクセス監査（証跡確保）コンテンツ分析（アンチウイルス・サンドボックス）

Proxy

従来の機能

リスクに応じたウェブ無害化（サイバー対策）クラウドアクセス監査と制御（CASB）

コンテンツ分析（DLP）

必要な機能

Secure Web Gateway:

(SWG) [スイグ]


1


高度なURL制御、無害化、CASBを包含企業の境界線を延伸するSWG

17本社海外拠点出張者・自宅勤務

モバイルユーザグループ企業 IoTデバイス

インターネットクラウド

正規サービスに潜むリアルタイムのリスクを排除

曖昧なリスクあるサイトなどを安全に表示

マルチクラウドを一貫したポリシーでクラウド活用

Secure Web Gateway ｜SWG

リアルタイムURLフィルタリング> “今”のリスクに基づくリスクを分析> ドメインに依存しない正確なリスクの検知> 誤検知・過検知の防止とユーザ生産性の維持

コンテンツ分析/無害化/EDR> “二重”のアンチマルウェア分析で誤検知低減> 未知のコンテンツは静的分析・動的分析 or 無害化> エンドポイントへの感染リスクを極小化+EDR

マルチクラウドの可視化と制御> 企業の定めた信頼度に基づくクラウドの精査> シャドーITの自動制御とウェブフィルタ連携> デバイス・場所・ユーザに基づくアクセス制御


1


Software Defined Perimeter (SDP)

18

動的にユーザ/端末の状態確認を行い、社内外のリソースアクセス時のリスクを最小化

CSA (Cloud Security Alliance)が提唱するセキュリティ境界線モデル


お客様

契約社員

パートナー

BYOD

パートナー

パートナー

BYOD

ゼロトラストベースのセキュリティシマンテックのSDPアプローチ

導入の容易性• エージェント不要• 数分で導入可能• BYODの対応• ユーザに対して透過的• SIEMやSOC,その他製品と連携したポリシー制御

可視化と制御• ユーザのふるまいやデータの機微度に応じた柔軟なポリシー施行

• ユーザの“信頼度”• ふるまい監査による不正行為に対する抑止力となる

透過的なセキュリティ• アプリレベルの通信認証• アプリに特価した接続制御• L3-6の脆弱性についての考慮を排除できるアーキテクチャ


Phase1: 境界線の延伸

20

EPP

無害化

サンドボックス

SWG

CASB

SWG

EDR

SMG

“シンプルに守りたい！”

“いざという時に備えたい！”

“安心してウェブを見たい！”

“外でも安全に仕事をしたい！”

“クラウドを活用したい！”

“安心してメールを使いたい！”

“安心してスマホを使いたい！”

スマートデバイス

拠点（国内・海外）

“透過的なセキュリティを場所を問わず提供”

外での業務に柔軟性と生産性を

社内・社外関わらず可視化とサイバー耐性を提供

機密性の高いシステム・工場

IoT セキュリティ

“環境を変えずに強靭化したい！”

モバイル保護

インテリジェンス運用監視とIR

“最新の脅威情報がほしい！” “代わりに監視してほしい！”

内製アプリケーション

SDP

“外から社内アプリにアクセスしたい”


適用範囲

端末, クラウド,ストレージ, ネットワーク,メール保存・利用・移動中のデータ

データ分類

GDPR, HIPAA, PCI, SOX,ソースコード, デザイン,財務, 計画書, SSN, IDなど

フォーマット

構造・非構造データ, 画像, フォーム文書など

データに対するゼロトラスト: DLP

コンテキスト

近似, 部分, 派生, パターン, 大規模データ, 分散, 動的,

埋め込み型

Text and Markup

Word-processing

Presentation Formats

Spreadsheet Formats

Email Formats

CAD Files

Graphics Formats

Encapsulation Formats

Partial Protection Few True Positives Many False PositivesUncovered Egress Points

21

あらゆる分類に対応全方位の検出高精度の検出誤検知の最小化


2


データセキュリティの自動化

VIP

DLP

PGP本人認証

データの自動分類

暗号化

ベンダー顧客

パートナー

同僚

• 保護対象ファイルごとの暗号化

• デバイス識別（社外端末禁止など）

• 第3者に渡ったデータの無効化

• ネイティブなモバイルアプリおよびデスクトップアプリに対応

Access GrantedAccess Denied

ファイル破棄


2


SDP

Phase2: データガバナンスの強制

23

EPP

無害化


SWG

CASB

SWG

EDR

SMG



“全方位のDLPが外でのデータ活用を促進”

外での業務に柔軟性と生産性を社内・社外関わらずデータの自動分類と適切で透過的なポリシーを適用

CSPM

CWP

“活用状況の把握と指針がほしい！”

“リスクを自動回避したい！”

DLP

データ自動保護

DLP

認証

タグ

暗号化

“データを可視化して外でも安全に活用したい！”


IoT セキュリティモバイル保護

データ



リスク要素全体から信頼度を把握:UEBA

24今のリスクは？

IDアクセス場所

ポリシー違反歴権限

データ機微度

共有先・共有元

グループセキュリティ適用状況

デバイスの今のふるまい

現在の信頼度

モラル

教育

悪意ある対象利用デバイス

利用アプリ

負の誘因

多角的なログ情報によるリスク分析

3


リスクの自動分析と管理の一元化Automation & Orchestration

25

• 情報流出リスクのシンプルな管理

• リスクあるユーザやその振る舞いを検出し対応を自動化

多角的なログ情報によるリスク分析

3


SDP

Phase3: リスク分析と自動対応

26

EPP

無害化


SWG

CASB

SWG

EDR

SMG



CSPM

CWP

DLP

データ自動保護

DLP

認証

タグ

暗号化


IoT セキュリティモバイル保護

データ

フォレンジック

SSL可視化

UEBA

“証拠がほしい！”

“リスクを可視化したい！”

“リスクを自動的に対応したい！”

“人材不足をSOARで解決”

事後対応から事前・事中対策へユーザだけでなくSOCに対しても透過的



Security as a

Service

GIN CSS/IR

SEP

ICSP/CSP

ESS(.Cloud)

CWA

二重投資脱却後のセキュリティ

27

オンプレミス

リアルタイムURLフィルタ二重アンチウイルス静的＆動的ファイル分析ウェブ無害化 DLP連携 CASB連携 AD連携 SD-WAN対応 SEP・SEP Mobile連携

シャドーIT制御クラウド上のデータ分類と保護ユーザリスクの分析と制御

DLP

CWP ワークロードとコンテナの要塞化 DLP連携（ストレージ）マルウェア対策

コンプライアンス準拠設定監視

URLフォロー BEC対策メール無害化マルウェア対策

USB無害化サーバ要塞化

ローミング

SEP Mobile モバイルマルウェア対策 WiFi盗聴防止脆弱性対策 MDM連携

統合型エンドポイント保護 9つの検知ロジック

4つの修復機能

5つのデータ分類ロジック NAS/ファイルサーバ/DB

Web/Mail/Cloud/Endpoint連携

ログ相関分析 Managed EDR インシデント対応

民間企業最大規模の脅威インテリジェンス

IoCアップデート


Premium ServiceConsulting セキュリティアセスメント

ポリシー設計脆弱性診断

製品・サービス活用支援

UEBA DLP

認証

タグ

暗号化

ハード・ソフトウェアクラウドサービス

運用支援サービス

クラウド

オフプレミス

SEDR クラウドでの分析と管理自動インシデント対応

WAN Edge 無害化


フォレンジック

FW/IPS トラフィックハンドリング

帯域制御


SWG CASB

SDP


ゼロトラストのセキュリティモデル

28

社内サーバ

企業管理デバイス

スマートフォン

クラウド

インターネット

ゼロトラストネットワーク

BYOD

SWG

SDP

CASB

ゼロトラストアプリケーション

SMG

EDR/MDR

無害化

暗号化

DLP タグ本人認証UEBA

ユーザとデータのリスク

MTD

EPP

リスクに対するアクション

（MSS・自動化含む）

CSPM

CWP

IoT

IR

ゼロトラストエンドポイント

(EPP)

サイバーリスク

民間企業最大規模の脅威インテリジェンス

5G SD-W

AN

GDPR/PII/Data Governance

STIX/TAXII/AI/Orchestration

ALLOW

/DEN

Y/ISOLATE/EN

CRYPT/REMED

IATION

REAL-TIME RISK-BASED

ANALYSIS


ゼロトラスト実装のために

1. ビジネス戦略/クラウド活用戦略と紐づけたプライオリティ付けを

2. データガバナンスの作成とリアルタイムのリスク可視化のための整備を

3. 良質なインテリジェンス（サイバー、ユーザ、データ）の採用を

29


クラウドシフト、働き方改革、そしてデジタルトランスフォーメーションを通じ、企業におけるITのあり方にも変革が起きています。

従来の境界線を超えてモバイル、ソーシャル、グローバル、クラウドへとビジネス活動の領域は広がります。

今こそファイアウォールの向こう側へ、データを、アプリケーションを、ビジネスを動かす時が来ました。デジタル革新を推進できている企業は約20％と言われています。

クラウドは自由である反面、カオスでもあります。

お客様の自由なデジタル革新、シマンテックが支援いたします。

30

自由なデジタル革新を支援する


世界中の脅威に対応するインテリジェンスと運用監視の連携グローバルなセキュリティアライアンス

31

クラウド

エンドポイント

オンプレミス

リスクの可視化GDPR等に備えたデータ可視化とガバナンスを提供

境界線の延伸グローバル拠点に一元的なポリシーを

対応の自動化世界中の脅威に対応できるレベルのSOCサービスでリスク最小化と運用負荷軽減


富士通様がシマンテックを選んだ理由

未知の脅威を検出するロジック（インテリジェンス）世界中のエンドポイント、ウェブ、メールの脅威情報を元に未知の脅威を分析可能なインテリジェンス

包括的なセキュリティプラットフォームの提供サイバーセキュリティからデータ保護、ウェブ、メール、エンドポイント、クラウドセキュリティまで

グローバルなユーザへの対応（実行力と実績）シマンテックジャパンは独自リージョンでUS直下、製品はMQ5部門で10年以上Leaderの実績

32

Thank You!

多層防御の時代は終わり、 セキュリティは新しい局...

Documents

多層防御の時代は終わり、セキュリティは新しい局...