enterprise threat protector - akamai ·...
TRANSCRIPT
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
エンタープライズにおける脅威の状況は急速に進化しています。マルウェア、ランサムウェア、データ窃盗、フィッシングなどの標的型脅威は量的に増加を続け、攻撃者は従来型のセキュリティアプローチをより巧みに迂回するようになってきています。ここに SaaS、クラウド、IoT の採用が加わっています。より洗練された脅威の出現により、可視性の新たな課題、制御ポイントの複雑化、セキュリティのギャップが生じています。Enterprise Threat Protector は、インターネットやドメイン・ネーム・
システム(DNS)のトラフィックに関する Akamai 独自のグローバルな知見によって、標的型脅威を事前にブロックし、緩和し、エンタープライズ全体への利用規定(AUP)の実施を目指すセキュリティチームの活動を支援します。
ENTERPRISE THREAT PROTECTOREnterprise Threat Protector(ETP)は、Akamai Intelligent Platform ™ およびキャリアグレードの再帰 DNS である Akamai AnswerX 上に構築されており、迅速に設定でき、簡単に展開できるクラウドソリューションです。展開や維持に特別なハードウェアやソフトウェアは必要ありません。
Enterprise Threat Protector は、リアルタイムの Akamai Cloud Security Intelligence および Akamai の実績あるグローバル分散型再帰 DNS プラットフォームを活用して、マルウェア、ランサムウェア、DNS データ窃盗、フィッシングなどの標的型脅威を事前に識別し、ブロックできます。セキュリティチームは Akamai のクラウドポータルを使い、すべての従業員を対象として、統合されたセキュリティと利用規定(AUP)を一元的に管理し、数分以内に施行できます。
仕組み
Enterprise Threat Protector
ネットワーク外のラップトップ
AKAMAI ETP
12
3
支社
本社
コンピュータ
デバイス(IoT)
インターネット
受け入れ不可のコンテンツ
マルウェア
ランサムウェア
SaaS アプリ
クラウド
動画
モバイルアプリ
フィッシング
再帰 DNS プラットフォーム
クラウド・セキュリティ・インテリジェンス
クラウドベースの管理ポータル
許可/レポート
ブロック
リダイレクト
ルート DNS
TLD DNS
権威 DNS
ドメイン・ネーム・システム(DNS)はあらゆるインターネットサービスが利用していますが、マルウェアやランサムウェア、そしてその関連コマンド&コントロール(CnC)サーバーをホストするサイトなど、多くの悪意あるドメインも、攻撃のために再帰 DNS を利用しています。
エンタープライズの外部再帰 DNS トラフィックが Akamai の Enterprise Threat Protector にリダイレクトされると、リクエストを受けたドメインは Akamai のリアルタイム・リスク・スコアリング脅威インテリジェンスを使ってチェックされ、その結果に基づき、悪意あるドメインやサービスに従業員がアクセスしないようにします。IP 接続前にこうした検証を行うことで、セキュリティ・キル・チェーン(エンタープライズの防御線からはるか離れた場所にある)において、事前に脅威を阻止します。さらに、DNS は、あらゆるポート およびプロトコルにおいて有効であり、標準のウェブポートやプロトコルを使用しないマルウェアからも保護されます。
2
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
また、ドメインをチェックすることで、従業員がアクセスしようとしているコンテンツの種類を判別し、そのコンテンツがエンタープライズの利用規定(AUP)に違反している場合は、ブロックされます。
Enterprise Threat Protector は他のセキュリティ製品やレポートツール(セキュア・ウェブ・ゲートウェイ、次世代ファイアウォール、SIEM、外部脅威インテリジェンスフィードなど)との統合が容易なため、セキュリティスタックのすべてのレイヤーで投資を最大限に活用できます。
ETP の説明ETP は、再帰 DNS サーバー、Cloud Security Intelligence(CSI)、管理ポータルという 3 つのクラウドベースのコンポーネントで構成されています。
再帰 DNS サーバー世界中に分散され、Akamai の Intelligent Platform に展開された再帰 DNS サーバーは、エンタープライズの外部 DNS リクエストを解決し、信頼性と拡張性がきわめて高い再帰 DNS サービスを提供します。
エニーキャストルーティングを使用すると、サービスの負荷分散と最適なパフォーマンスが保証されます。
CLOUD SECURITY INTELLIGENCE(CSI)Enterprise Threat Protector には、Akamai Cloud Security Intelligence(CSI)が搭載されており、悪意あるドメインとそうしたドメインが企業にもたらすリスクについての最新情報を出力します。
この脅威に関する情報は、世界中のウェブトラフィック全体のほぼ 30% 、そして毎日およそ 1,500 億件の DNS クエリーを配信する Akamai Intelligent Platform から毎日収集される知見を使用して構築されます。外部脅威フィードを使ってこの情報にデータが追加され、できあがったデータセットは高度なリアルタイムの行動分析と独自のアルゴリズムを使って分析されます。自動検知機能のみでは検知しにくい脅威の特定を支援するために、Akamai の脅威調査専門チームによって、さらに情報が追加されます。
新たな脅威が確認されると、直ちに ETP サービスに追加されるので、企業とその従業員を瞬時に保護します。
さらに、CSI は顧客の DNS ログのオフライン行動分析を使用して、新たに見つかった脅威による影響の可能性も特定します。これにより、新しい脅威の特定に要する時間を短縮できます。
このようにリアルタイムとオフラインによる行動分析手法を組み合わせることで、脅威からの防御レベルが格段に上がります。
Akamai Cloud Security Intelligence
Akamai CSI継続的に更新されるクラウドベースの脅威インテリジェンスを提供するビッグデータ分析
マシンと人間によるマルチレイヤー型アプローチ
サードパーティのソースにより増大するエンタープライズおよび一般トラフィックの活用
顧客の DNS ログのオフライン行動分析
AKAMAI データ全ウェブトラフィックのほぼ 30%、1 日に 1,500 億件の
DNS クエリー
サードパーティデータ脅威に関する生データ優れた脅威インテリジェンス
パブリックデータWHOIS データレジストラーデータ
構造化データおよび非構造化データの自動統計、傾向、およびパターン分析
データサイエンティストがアクション可能な脅威インテリジェンスを求めてデータを
融合し、洗浄し、探索
3
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
クラウドベースの管理ポータルETP のすべての設定および管理は、クラウドベースの Akamai Luna Portal から実行するため、場所や時間を問いません。
ポリシー管理を迅速かつ簡単に行うことができ、変更内容は瞬時に世界中にプッシュされるため、エンタープライズのすべての拠点および従業員を瞬時に保護します。重要なポリシーイベントの発生時にセキュリティチームに警告するように電子メールアラートを設定できるため、潜在的な脅威を瞬時に特定して解決するための対策を即座に取ることができます。
リアルタイムダッシュボードには ETP の概要が即座に表示され、ダッシュボードの各要素をドリルダウンすることで、あらゆるアクティビティに関する詳細情報を取得できます。こうした詳細情報は、セキュリティインシデントの分析や対処方法に関する貴重なリソースとなります。
ポータル機能はすべて、API を使って利用できます。また、データログを SIEM にエクスポートできるため、ETP を他のセキュリティソリューションと簡単かつ効果的に統合することができます。
展開と設定ハードウェアやソフトウェアのインストールが不要なため、ETP の設定と展開は実に簡単で、通常は 30 分以内に完了します。ほとんどのエンタープライズに必要なのは、Akamai の ETP サービスを指すように再帰 DNS の IP アドレスを変更することだけです。
最も一般的には、既存の再帰 DNS による解決は、Infoblox や Microsoft Active Directory などのオンプレミス再帰 DNS サーバーやエンタープライズの ISP によって行われます。
また、ETP サービスに DNS リクエストを転送するように製品を設定することで、ETP はセキュア・ウェブ・ゲートウェイや次世代ファイアウォールとも統合できます。
4
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
設定
ETP の設定は実に簡単で、以下の手順から構成されています。
1. 1 つ以上のロケーションを作成する:ロケーションによって、DNS リクエストの発信元が特定されます。発信元は公開されている DNS トラフィックの発信元 IP アドレスによって特定できます。発信元 IP アドレスはルーターの外部 IP アドレスであることが最も一般的ですが、オンサイトの再帰 DNS サーバーの IP アドレスが公開されている場合は、その IP アドレスが発信元 IP アドレスになることもあります。
各ロケーションには、1 つまたは複数の IP アドレスが関連付けられています。
3 つの個別ロケーション
ボストンオフィス – 194.71.97.31
ロンドンオフィス – 194.88.65.38
東京オフィス – 194.92.72.12
3 つのオフィスからなるシングルロケーション
グローバルオフィス – 194.71.97.31、194.88.65.38、194.92.72.12
ロケーションは CIDR の表記から特定することもできます。
2. ポリシーを作成して、そのポリシーを 1 つ以上のロケーションに関連付ける。
ETP ポリシーは、以下のコンポーネントで構成されます。
展開 必要な設定変更
DHCP で設定された DNS(ゲスト Wi-Fi) ETP を指すように DHCP DNS サーバーを設定する
ETP を指すように DHCP DNS サーバーを設定する ETP を指すように DHCP DNS サーバーを設定する
オンプレミスの DNS 機器(Infoblox) シンプルなフォワーダー
オンプレミスのセキュア・ウェブ・ ゲートウェイまたは NGFW
Akamai の ETP サービスに DNS リクエストを転送するように SWG を設定する
項目 説明
Akamai Security Lists (Akamai セキュリティ リスト)
Akamai が管理するセキュリティリストで、頻繁に更新されます。セキュリティリストには、以下の脅威に関係するドメインと解決された IP アドレスが含まれています。
• Malware(マルウェア) – マルウェアやランサムウェアのバイナリを提供することで知られているドメインまたは IP アドレス
• Phishing(フィッシング) – フィッシングページをホストするのに使用されることで知られているドメインまたは IP アドレス
• CnC - マルウェアが攻撃者からコマンドやコントロールリクエストを取得する通信先として使用されることで知られているドメインまたは IP アドレス
脅威タイプ別のリストには、既知で、かつ疑わしいドメインと IP アドレスが含まれており、個別に設定できます。各リストは、以下のポリシーアクションごとに設定できます。
• ブロックページ:DNS リクエストがカスタマイズ可能なエラーページにリダイレクトされます。このページには、ドメインへのアクセスが禁止されていることを示すメッセージが表示されます。
• Deny(拒否):DNS リクエストは拒否され、ユーザーはブラウザー固有のエラーメッセージにリダイレクトされます。• Sinkhole(シンクホール):DNS リクエストは、疑わしいトラフィックに関する情報収集に使用できるセキュリティデバイスの IP アドレスにリダイレクトされます。このシンクホールは、Akamai Security Connector またはお客様のシンクホールです。
• Monitor(監視):DNS リクエストは予測通りに解決されますが、イベントがログに記録されます。脅威タイプ別に電子メールアラートを設定できます。1 つのポリシーを 1 つ以上のロケーションに関連付けることができますが、各ロケーションには 1 つのポリシーしか関連付けることができません。
5
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
3. クイックリストを作成する(オプション):クイックリストはすべてのポリシーに共通のグローバル許可/拒否リストです。クイックリストにはドメインと IP アドレスを最大 2,000 件追加できます。
4. 展開する:設定は通常、30 秒足らずで世界中にプッシュされますが、カスタムリストを使用している場合は、展開に 60 分ほどかかることがあります。
監視監視によって、ETP に関する包括的な概要と詳細情報を把握できます。提供される情報は、以下の 3 つの部分で構成されます。
• ダッシュボード:過去 24 時間/ 1 週間/ 1 か月の ETP および脅威イベントや AUP イベントの概要が表示されます。
• イベント:脅威イベントや AUP イベントの詳細情報が表示されます。
• DNS アクティビティ:DNS トラフィックの概要が表示されます。
DNS ログは 30 日間保持され、SIEM 統合は JSON API によって行われます。
Custom Lists (カスタムリスト)
カスタムリストを作成すると、手動または API を介して Enterprise Threat Protector で独自の脅威に関する情報リソースを使用できます。カスタムリストの数に制限はありませんが、リスト全体のエントリ数は 20 万件に制限されています。カスタムリストには、Akamai セキュリティリストと同じパラメーターを使用できます。
すべてのカスタムリストは、すべてのポリシーに関連付けられますが、ポリシーアクションとリストの適用順はポリシーごとに変更できます。
Acceptable Use Policy (利用規定/ AUP)
AUP を設けることで、ユーザーがアクセスできるウェブコンテンツのカテゴリーを制限できます。カテゴリーのアクションを[ブロックページ]に設定した場合、ユーザーがそのカテゴリーに該当するドメインにアクセスしようとすると、カスタマイズ可能なブロックページが表示されます。
ダッシュボード過去 24 時間/ 1 週間/ 1 か月、または指定した日付/日付範囲の ETP アクティビティの概要が表示されます。ダッシュボードビューをカスタマイズして、さまざまな条件を表示することや、イベントのタイムラインを表示することができます。
6
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
イベント脅威イベントや AUP イベントに対するより深い知見が得られます。ビューはカスタマイズやフィルタリングができます。
脅威イベントについて、以下の条件別に表示できます。
• ドメイン
• 解決済み IP
• AS 名
• 場所
• リスト
• ポリシー
• カテゴリー
• アクション
• 検出元
• 信頼度
• ホスト名
脅威イベントや AUP イベントは CSV ファイルとしてダウンロードできます。ダウンロードしたファイルは、さらに詳細な分析や JSON API による SIEM への統合に使用できます。
AUP イベントは、以下の条件別に表示できます。
• カテゴリー
• ドメイン
• ポリシー
• 場所
7
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
DNS アクティビティ
すべての DNS トラフィックの概要が AS 名、ドメイン、地域、場所、クエリータイプ、AUP 別に表示されます。
インテリジェンスAkamai の脅威インテリジェンスリストに保持されている、ドメインに関するインテリジェンスの概要を取得できます。ドメインを直接入力することも、イベントページのリンクをクリックすることもできます。
8
AKAMAI クラウド・セキュリティ・ソリューション:製品説明
ENTERPRISE THREAT PROTECTOR
Akamai は世界で最も信頼された世界最大のクラウド配信プラットフォームを提供しています。使用するデバイス、時間、場所を問わず、お客様が安全性に優れた最高のデジタル体験を提供できるようにサポートします。Akamai の大規模な分散型プラットフォームは、世界 130 か国に 20 万台を超えるサーバーを擁する比類のない規模を誇り、お客様に優れたパフォーマンスと脅威からの保護を提供しています。Akamai のポートフォリオに含まれる、ウェブおよびモバイルパフォーマンス、クラウドセキュリティ、エンタープライズアクセス、動画配信の各ソリューションは、卓越した顧客サービスと 24 時間体制の監視によりサポートされています。大手金融機関、オンラインリテールのリーダー企業をはじめ、メディアおよびエンターテイメントプロバイダー、政府機関が Akamai を信頼する理由について、www.akamai.com/jp/ja/ または blogs.akamai.com/jp/ および Twitter の @Akamai_GK で詳細をご紹介しています。全事業所の連絡先情報は、https://www.akamai.com/jp/ja/locations.jsp をご覧ください。2018 年 1 月発行。
ENTERPRISE CLIENT CONNECTOR によるラップトップの保護Enterprise Client Connector は、ユーザーがネットワーク外にいて VPN に接続されていないときに、保護を強化するために Windows と OS X ラップトップにインストールできる軽量のクライアントです。
仕組みEnterprise Client Connector は、Windows および OS X がサポートされているラップトップにインストールされます。
Client Connector は以下のように、ネットワーク接続の状態を自動的に検出します。
• ラップトップが企業ネットワークに接続されている場合は、企業 DNS リゾルバーを使用します(Client Connector は「オフ」です)。
• ラップトップが企業ネットワークに接続されていない場合は、ETP を使用し、適切なポリシーが適用されます(Client Connectorは「オン」です)。
Client Connector は、初期のインターネット接続を許可する Wi-Fi ランディングページを自動的に検出してから、ETP DNS に戻ります。ラップトップが ETP に達することができない場合、クライアントは Wi-Fi のデフォルトの DNS リゾルバーに自動的にフォールバックします。
エンドユーザーがクライアントを非アクティブ化できないように Client Connector を設定できます。あるいは、有効または無効にする機能をエンドユーザーに提供できます。
サポートされているオペレーティングシステム• Microsoft Windows:10 および 7
• Apple OS X:OS X 10.12(Sierra)、OS X 10.11(El Capitan)、OS X 10.10(Yosemite)
仕様
ENTERPRISE SECURITY CONNECTOR によるエンドポイントデバイスの識別 Enterprise Security Connector は、1 つまたは複数のデバイスの IP アドレスを識別できるように、内部ネットワークで展開して、悪意のあるトラフィックを受け取ることができる仮想マシンです。ポリシーアクションを[Sinkhole(シンクホール)]に設定すると、DNS リクエストは Security Connector に送信されます。
要件ETP Security Connector の展開には、以下の要件が適用されます。
• ETP Security Connector は VMware ESXi バージョン 5.5 以降で展開する必要があります。
• 仮想マシンが以下のリソース要件を満たすことを確認します。
o RAM:1 GB o ディスクスペース:30 GB o CPU:2 コア
Security Connector は OVA ファイルとして提供されます。
ダウンロードサイズインストールされるディスクスペース
使用メモリー
OSX 3 MB 未満 7 MB 未満デーモン:3 MB 未満 UI:20 MB 未満
Windows: 7 MB 未満 7 MB 未満サービス:16 MB 未満UI:20 MB 未満