パロアルトネットワークスwebinard24wuq6o951i2g.cloudfront.net/img/events/457868824/assets/e1a1… ·...

パロアルトネットワークスWebinar

ヘルスケア市場：COVID19に便乗したサイバーセキュリティ脅威への対策

2020年7月28日

パロアルトネットワークス株式会社早川浩平

[email protected]

1. COVID19に便乗したサイバーセキュリティ動向

2. 病院ネットワークに対するセキュリティ対策の必要性と対策のご説明

3. Cortex XDRのご紹介

4. IoTセキュリティ対策のご紹介

アジェンダ

2 | © 2020 Palo Alto Networks, Inc. All rights reserved.

攻撃者の動機

スパイ金銭いたずら

武力行使世論操作


攻撃者の利用するもの

脆弱性マルウェア

メールウェブ

パスワード設定の不備

SNS


医療機関を狙うランサムウェア

対応に追われる医療機関がターゲット

以前より緊急性が高い業界として狙われていた

一部の攻撃者はパンデミックが収まるまで医療機関を狙わないと声明発表

AutoFocus™️ 2019/4/1 - 2020/3/31 業界別Ransomware検出数

"良心のない"ハッカーコロナに対応する多数の病院や研究機関に身代金を要求

出典：https://fortune.com/2020/04/01/hackers-ransomware-hospitals-labs-coronavirus/


確認されている新型コロナウイルス (COVID-19) を使った攻撃メール件名例

件名日本語訳

Covid19" Latest Tips to stay Immune to Virus !! Covid19 ウイルスに負けないための最新情報!!

Breaking!!! COVID-19 Solution Announced by WHO 速報!! COVID-19の解決策をWHOが発表

COVID-19 TEST KITS AVAILABLE COVID-19 検査キット

COVID-19 Supplies (Masks, Gloves, & other products) COVID-19 用品 (マスク、手袋、その他製品)

Purchase Order (PO For-COVID-19 Products) 発注書(COVID-19製品用)

Chloroquine Phosphate and other products for COVID 19 COVID 19用リン酸クロロキン他

UPDATE : BUSINESS CONTINUITY PLAN ANNOUNCEMENT 2020 DUE TO CORONAVIRUS (COVID-19)

更新：コロナウイルス（covid-19）による事業継続計画の発表2020年について


確認されている日本語の攻撃メール件名

新型コロナウイルス

⚫ 新型コロナウイルス感染症に関する専用窓口の開設

オリンピック・パラリンピック

⚫ 2020年東京オリンピック/パラリンピックについて

⚫ [TOKYO 2020 ID] 本登録完了のお知らせ

ビジネス

⚫ BCPセミナーの開催について

金銭

⚫ 奨学のための給付金一次支給決定に向けたスケジ

ュールについて

⚫ 助成金情報提供について


政府を騙るもの

出典: https://www.mhlw.go.jp/stf/newpage_10635.html

出典: https://www.facebook.com/leehsienloong/photos/a.344710778924968/3154441464618538/


病院ネットワークにおけるセキュリティ対策の必要性

病院ネットワークのセキュリティ対策の必要性

インターネット

情報系ネットワーク CT/MRその他検査装置

PACSなど映像系システム

HIS系ネットワーク（電子カルテ、オーダリング、

医事会計システムなど）

地域連携システムなど

治験管理システムなど

機器メンテナンス用VPNアクセス（インターネットもしくは別回線）

他の医療機関

地域医療連携用VPN接続

HIS系ネットワーク接続用FW

VPN装置

メンテナンス用PCの接続

USB利用

インターネット接続ファイアウォール

(IPS)

医療機器メンテナンス企業

カメラ

プリンタ

IoTデバイス

院内WiFi

コアL3スイッチ


院内ネットワーク/HIS系ネットワーク



情報系ネットワーク CT/MRその他検査装置




地域連携システムなど

治験管理システムなど

機器メンテナンス用VPNアクセス（インターネットもしくは別回線）

他の医療機関

地域医療連携用VPN接続

HIS系ネットワーク接続用FW

VPN装置

メンテナンス用PCの接続

USB利用

インターネット接続ファイアウォール

(IPS) カメラ

プリンタ

IoTデバイス

院内WiFi



院内ネットワーク/HIS系ネットワーク

• 院内ネットワークがクローズド(インターネット分離）な場合、内部セキュリティ対策が手薄になっています

• 安全な「クローズド」なネットワーク環境を維持し続けられますか？

WannaCryのようなマルウェアやランサムウェア感染した場合

電子カルテなどのシステム停止などにより医療行為が機能停止

病院ネットワークのセキュリティ対策の必要性


病院ネットワーク全体のセキュリティ強化と可視化パロアルトネットワークスのご提案

「次世代」ファイアウォールのご提案構成パターン①セキュリティ機能を”アドオン”ではなく”ビルトイン”設計！


インターネット接続用&VPN接続用次世代ファイアウォール PAシリーズ

（HA構成）

情報系ネットワーク

CT/MRその他検査装置




内部L3スイッチ用次世代ファイアウォールPAシリーズ（HA構成）

地域連携システムなど治験管理システムなど

• 院内のトラフィックもすべて可視化と検査

• 不審な通信の検知やウィルス感染/侵入を防御

ステートフルファイアウォール、アプリケーション識別、脅威防御（AV/AS/IPS）、URLフィルタリングなどの機能をすべて統合

• VPN機能も次世代ファイアウォールで収容

• VPN接続含む、外部との通信をすべて可視化と検査

機器メンテナンス用VPNアクセス（PAシリーズのVPN機能を利用）

他の医療機関地域医療連携用VPN接続（PAシリーズのVPN機能）


「次世代」ファイアウォールの活用セキュリティの”アドオン”ではなく”ビルトイン”設計！

■機器費用• コアL3スイッチ装置• ファイアウォール装置• アンチウィルス製品• IDS/IPS装置• Webプロキシ(URLフィルタリング、ログ取得）• VPN装置• サンドボックス装置

■各製品の導入費用、設計費用

■各製品の保守費用

■多数の製品のオペレーションおよびログ確認運用負担大

■機器費用■導入、設計費用■保守費用■管理、監視が容易

パロアルトネットワークス次世代ファイアウォール

院内ネットワークの可視化とセキュリティ強化

vs


次世代ファイアウォールシリーズ製品ラインナップ

性能（ファイアウォールスループット）

同時

セッ

ショ

ン数

PA-5220

1Gbps 10Gbps 100Gbps

PA-5250

PA-5260

PA-3220

PA-3260

PA-3250

80M

PA-7050

32M

8M

100K

1M

PA-5280

4M

64M

PA-850

PA-820

PA-220

200Gbps

PA-7080

院内ネットワークのL3コアスイッチとして導入し、トラフィックの可視化および防御まで行う場合の推奨モデル

インターネット接続ファイアウォールおよび院内ネットワークの可視化用としての推奨モデル


「次世代」ファイアウォールのご提案構成パターン②院内トラフィックの可視化するための構成（1台のPAシリーズを兼用）


インターネット接続用&VPN接続用&内部トラフィック可視化次世代ファイアウォール PAシリーズ

（HA構成）







ステートフルファイアウォール、アプリケーション識別、脅威防御（AV/AS/IPS）、URLフィルタリングなどの機能をすべて統合

機器メンテナンス用VPNアクセス（PAシリーズのVPN機能を利用）

他の医療機関地域医療連携用VPN接続（PAシリーズのVPN機能）


ミラーポート

• VPN機能も次世代ファイアウォールで収容

• VPN接続含む、外部との通信をすべて可視化と検査

• 院内トラフィックも分析し、不審なトラフィックを検知した場合には、管理者に通知

• ミラーポート機能でトラフィックを次世代ファイアウォールに送出


【導入事例】某国立大学病院様内部トラフィックの可視化およびセキュリティ強化するための取り組み

PA-3260を1台3役にて病院ネットワーク全体のセキュリティ強化と可視化を実現さらにリモートアクセスでVPN機能にも活用！


管理系ネットワーク HIS系ネットワーク情報系ネットワーク

大学内病院用端末コアL3スイッチ

ミラーポート

VPN接続

リモートアクセスユーザー

PA-3260（HA構成）

対外接続ファイアウォール

(L3モード）

学内接続ファイアウォール

(L1モード）

内部トラフィック可視化＆監視(TAPモード）

脅威検知＆防御URLフィルタリング

ゼロデイ対策（WildFire）Globalprotect(VPN)

アクセス制御トラフィック可視化脅威検知＆防御

ゼロデイ対策(WildFire)

トラフィック可視化脅威検知

某社スイッチ管理サーバ

脅威検知ログ送信

【PAシリーズ導入に関するお客様コメント】

⚫ 「新型コロナウイルス感染症の影響により、大学病院では一部の女性医師を在宅勤務に切り替えてテレワークを実施しましたが、この際にVPN経由で安全にネットワークへ接続できたのは、PAシリーズの大きな導入効果だと考えています」

⚫ 「PAシリーズは直感的に操作できるので、セキュリティの運用性が格段に向上しました。インシデントの検知率も上がり、脅威やトラフィックのログ取得を分析・可視化して迅速かつ適切な対策が打てるようになりました」

⚫ 「導入後はトラブルもなく安定して稼働しています。医療情報ネットワークのセキュリティ機能を担うPAシリーズはネットワークの“要”であり、止まることなく稼働し続けていることが一番の導入効果です」


パロアルトネットワークスの次世代ファイアウォールが最新のサイバー攻撃防御に強い理由WildFireクラウド/完全自動化された最速の脅威防御プロセス

TM

WildFire

WildFire

シグネチャ（5分毎更新）

アンチスパイウェア（毎日～数日毎に随時更新）

②WildFireクラウド内でマルウェア自動分析

③分析結果から5分毎にシグネチャ生成

③分析結果からのC&C通信のシグネチャ生成および危険なDNSドメイン情報を登録

③分析結果からマルウェアが利用するURL情報を5分毎にPAN-DBに反映

⑤自動的に最新情報に基づいて、トラフィックを検査し、ゼロディ攻撃の検知および防御。入口/出口対策を1台で提供。

JPCERT/CC

フィッシングサイト情報

PAはURLカテゴリ情報をリアルタイムにQuery

PA内部のキャッシュは8時間。Critical Updateは随時行われる。（※）Malware, Phishing, C&Cカテゴリは5分毎に更新

アンチウィルスシグネチャ

（基本毎日更新）

24～48時間後に反映

インターネット上の検体の収集からシグネチャの配信までの完全自動化を実現

1日10万個のユニークなマルウェアを検出

PAN-DBURLフィルタリングDB

（※5分毎更新）

DNS Security

PAN-OS 9.0より(危険なDNS

ドメイン情報）随時更新

1日1000万個の未知ファイルがアップロードさ

れ検査

①全世界から未知の検体を自動収集

④数分～数時間毎に確認更新があれば自動ダウンロード ④オンデマンドでQuery

New

お客様環境


パロアルトネットワークス院内トラフィック可視化のメリット（まとめ）

1. 院内ネットワークでの不審なトラフィックの早期発見

• インシデント発生や実際にセキュリティ的な被害が起こってから検査や対処を行うのではなく、未然に早期検知が可能です。

• 人体もネットワークも「検査」と「早期検知」が重要です。

2. ネットワーク利用状況や接続デバイスの把握

• 病院業務、臨床研究、IoTやAIの導入などでトラフィック量は増大傾向ですが、誰がいつ、どこからどこへ、どれぐらいのデータを転送しているのかなどを把握することは、インシデント対応、トラブル対応、キャパシティ計画などで非常に重要です。

3. トラブルシューティング対応

• システムへのアクセスができない場合、ネットワーク障害なのか、サーバー障害なのか、またネットワーク障害でも、障害箇所がどこなのか、さらにシステムへのアクセスが遅いなどの症状についての原因特定などで、トラフィック可視化による詳細ログが非常に重要です。パロアルトネットワークス社のトラフィックログでは、各セッション毎に送受信されるパケット数、データ量などがすべて記録されており、様々なシステムやネットワーク障害時の原因切り分け作業において活用できます。


エンドポイントセキュリティも含めたセキュリティ対策Cortex XDRのご紹介

エンドポイントデータネットワークデータ

Cortex XDR エージェントを導入しエンドポイントデータを利用

次世代ファイアウォールの（Prisma Access, VM-Series含）

ネットワークデータを活用

Cortex XDRはエンドポイントまたはネットワークから開始可能

Cortex XDR


ネットワーク次世代FW

エンドポイントCortex XDRエージェント

クラウド 3rd Party データ

CORTEX Data Lake

これからの新しいセキュリティソリューションCortex XDRのコンセプト

全てのログをCortex Data Lakeに保存

Cortex XDRによる機械学習と挙動分析


完全なマルウェア防止

WildFireによって学習された信頼性が高い

ローカルマルウェア検知

優れたエクスプロイト保護

エクスプロイトテクニックに基づいて攻撃を阻止

複雑な攻撃を発見して阻止

複数のふるまいを分析して、複雑な攻撃を検出／阻止

Cortex XDR エージェント感染予防(Prevent機能）

マルウェア防御脆弱性防御ふるまい検知


実行ファイルの起動

Cortex XDR Agent が行う端末内の多層防御の動作イメージ

実可阻止

Malware

Malware

実可阻止

実行許可脆弱性防御

（アプリケーション）

EPM

ふるまい検知（子プロセス/

コード実行）

実可阻止

Malware

Malware

実可阻止

BenignBenign

FeedBack

UnknownUnknown

ふるまい検知（ランサムウェア）

zz

脆弱性防御（アプリケーション）

EPM

脆弱性防御（カーネル）

EPM

Benign

管理者

新たなプロセス（EXE、DLL等)やアプリの呼び出し

実行

キャッシュ登録

キャッシュ登録

WildFire検査（サンドボックス）

クラウド

5〜10分

WildFireDB参照

クラウド

〜10秒

ローカル解析（機械学習）

即時

・署名検査・ローカルキャッシュ

確認

即時

マルウェア防御脆弱性防御

実行ログ収集

Malware (Post Detection通知)

実可阻止

ダウンロード不要クラウドDB型パターンファイル

実行時の検査軽量な動作

機械学習型ローカル解析

サンドボックス分析ふるまい検知

ファイルレスマルウェア対策

ローカルふるまい検知

子プロセス制御ランサムウェア

対策


TMWildFire

①全世界から未知の検体を自動収集

WildFireシグネチャ

（5分毎更新）

アンチウィルスシグネチャ

（基本毎日更新）

アンチスパイウェア（毎日～数日毎に随時更新）

DNS Security

PAN-OS 9.0より(危険なDNS

ドメイン情報）

随時更新

②WildFireクラウド内でマルウェア自動分析

JPCERT/CCフィッシングサイト

情報

③分析結果から5分毎にシグネチャ生成

③分析結果からのC&C通信のシグネチャ生成および危険なDNSドメイン情報を登録

③分析結果からマルウェアが利用するURL情報を5分毎にPAN-DBに反映

④数分～数時間毎に確認更新があれば自動ダウンロード

PAはURLカテゴリ情報をリアルタイムにQueryPA内部のキャッシュは8時間。Critical Updateは随時行われる。

（※）Malware, Phishing, C&Cカテゴリは5分毎に更新

24～48時間後に反映

インターネット上の検体の収集からシグネチャの配信までの完全自動化を実現

1日10万個のユニークなマルウェアを検出

世界最速の完全自動化された脅威防御/WildFireの仕組みを提供～ゼロディマルウェアにも迅速に対応～

1日1000万個の未知ファイルがアップロードされ検査

PAN-DBURLフィルタリング

データベース

④オンデマンドでQuery

Cortex XDRはこのWildFireでの分析結果をリアルタイムに参照


感染疑い端末をネットワーク上から隔離

（API利用可能）

ネットワーク隔離感染影響範囲の特定

関連する端末やユーザ情報をすぐに確認

遠隔操作

プロセス停止や調査ファイル操作、スクリプト実行

Cortex XDR 感染（疑い）時の対応機能が充実

隔離遠隔操作影響調査


Cortex XDRの優位性：遠隔操作 Live Terminal機能

管理者は遠隔から感染の疑いのある端末に対して、以下の操作が可能

• ネットワーク隔離

• ファイル操作や怪しいファイルの脅威インテリジェンス確認

• スクリプト実行やプロセス停止

末のネットワーク隔離状態でも遠隔操作可能

◼ リモートから端末の状況確認や診断/対処が可能

✓ 物理的に離れた場所の端末

✓ 在宅時に感染疑いがある場合

◼ MSSなどで端末診断や復旧支援などでも利用可能


Cortex XDRライセンス機能比較表


ネットワーク、エンドポイント、クラウド全体で死角をなくす

完全な可視化により複雑な脅威を発見

特許取得済の行動分析テクノロジー

特許取得済みの機械学習フレームワークで隠れた脅威を発見

業界をリード

MITRE ATT＆CK評価に準拠して大半の攻撃手法を検出

Cortex XDR 分析により高度な攻撃を発見

EPP、EDR、NTAをサポート優れたEDR技術 MITRE ATT&CK


PALO ALTO NETWORKS

88%Cybereason

78%Microsoft

77%CrowdStrike

77%SentinelOne

74%Endgame

74%Carbon Black

74%FireEye

70% Countertack

57%RSA

55%

他のすべてのベンダーよりも高いスコアを獲得し、ミスが93％

減少

攻撃テクニックカバー領域

Cortex XDR MITRE ATT＆CKカバーエリア

MITRE社は脅威情報の研究機関CVEの採番等を行なっている

https://blog.paloaltonetworks.com/2019/06/xdr-cortex-xdr-sets-standard-mitres-attck-evaluations/?lang=ja


https://blog.paloaltonetworks.com/2019/06/xdr-cortex-xdr-sets-standard-mitres-attck-evaluations/?lang=ja

Cortex XDR Pro per EndpointによるEDR解析• エンドポイントログと関連付けを実施• どのプロセスの通信がアラートを発生させたかを確認可能


Cortex XDRによる院内ネットワークの高度なセキュリティ対策イメージ


インターネット接続用&VPN接続用次世代ファイアウォール PAシリーズ

（HA構成）






内部L3スイッチ用次世代ファイアウォールPAシリーズ（HA構成）


Cortex XDRエージェント

Cortex XDRエージェント

CORTEXData Lake

機械学習挙動/ふるまい分析脅威検知

アラート通知インシデント分析

遠隔対応

トラフィックの機械学習/挙動分析相関分析

◼ 潜伏型マルウェアの活動や不信な振舞いを検知

◼ 感染範囲の把握および感染経路の特定

◼ 遠隔からの端末のネットワーク隔離と対応

端末内のアクティビティログ

トラフィックログ脅威ログ


Cortex XDRに対応したMSSサービスのご紹介⚫ 株式会社インフォセック⚫ サービス名：MDRサービス powered by Cortex XDR

https://www.infosec.co.jp/news/343.html

⚫ テクマトリックス株式会社⚫ サービス名：TechMatrix Premium Support powered by TRINITY

https://www.techmatrix.co.jp/t/nwsec/tps/overview.html


https://www.infosec.co.jp/news/343.html

https://www.techmatrix.co.jp/t/nwsec/tps/overview.html

さらなるネットワークの可視化IoTデバイスに対するセキュリティ対策

医療機器とセキュリティの問題

https://www.paloaltonetworks.jp/resources/whitepapers/unit-42-iot-threat-report

2020年 Unit42 IoT脅威レポートより



ネットワークセグメントの分離状況



医療関連の72％は、適切にネットワークセグメンテーションが行われていない

コネクテッド医療機器とPC端末が混在



コネクテッド医療機器は危機的な状態





IoT機器が接続されている昨今の院内ネットワーク

病院

医療機器の無線接続

HISCIS 管理系

IoTゲートウェイ

コネクテッド医療機器の増加

ヘルスケア・デバイス情報のクラウド通信

クラウドサービス


リモートメンテナンスリモートワーク

人工呼吸器、輸液ポンプ、麻酔システム、MRI、電子内視鏡、超音波診断装置、X線フィルム

ペースメーカー、人工心臓弁、体温計、血圧計、ヘルスケア製品？

どのような機器が接続され、どういうトラフィックが流れているかが


院内ネットワークへのIoTセキュリティ導入イメージ








• 院内のトラフィックもすべて可視化と検査

• 不審な通信の検知やウィルス感染/侵入を防御CORTEX

Data Lake

IoTセキュリティクラウド機械学習(ML)

・ IoTデバイス検知機能・デバイスに適応したポリシーを

自動的に適応（PAN-OS 10.0～）

カメラ

プリンタ

IoTデバイス

電話

医療機器

トラフィックログ

※IoTデバイス検出の為にDHCP環境が必須※院内ネットワークのL3コアスイッチのミラーポートに

PAシリーズをTAPモードで接続し、IoTデバイスの可視化にも対応可能


パロアルトのIoTセキュリティ・ライフサイクル

1. IoT資産の理解

マシンラーニングとアプリケーション識別による、IoTデバイスの可視化とふるまい学習

2. IoTリスクの評価

デバイスの脆弱性、リスクレベルと、危険なふるまいを学習し、デバイスのプロファイリング、脆弱性、アノマリ動作、ベンダーなどの情報に基づき、リスクを評価

3. リスクの低減

ポリシ提案に基づき、信頼されたデバイス通信だけを許可し、ネットワークのセグメント化とデバイス制御によるリスク面を縮小を実施

5. 未知の脅威の検知＆対応

脅威モデル、アノマリ検知、クラウド脅威インテリジェンスとデバイスIDにより、継続的にゼロデイ攻撃を検出

4. 既知の脅威の防御

脅威防御機能により、ファイルベース、Webベース、標的型の攻撃から資産を守る

新しく追加されたIoTセキュリティ機能


１．IoT資産を把握する

• すべてのデバイスを認識

• Traditional IT

• Network Devices

• IoT variants

• 機械学習によるすべてのIoTデバイスの識

別とクラス化を行いDevice-IDとして追跡

• Vendor, Model & OS

• Category

• Profiles

• 深い洞察

• VLAN and subnet

• Apps and protocols with App-Id

integration

• Behaviors and topologies


２．IoTデバイスリスクの評価

• 24x7リスクのモニタリング

• Behaviors and profiles

• Alerts and threats

• Vulnerabilities

• CVE inventoryとの連携

• 自動化されたリスクに基づくポリシ提案


３．リスク低減ポリシの適用

Zebra Label

Printer

• 50+以上のデバイス属性

• リスク、クラス化、ふるまいに基づくセグメン

テーションのポリシ提案

• Device-ID、App-ID、ユーザIDに基づく柔軟

かつ一貫性のあるポリシ制御

• 知識共有コミュニティとベスト・プラクティス

推奨ポリシーの提供


まとめ

◼ COVID-19を利用したサイバー攻撃も急増しており、基本的な病院ネットワーク全体のセキュリティ強化は重要

1. HIS系も含む院内ネットワーク全体のトラフィックの可視化と脅威防御の仕組みが必要

2. IoTデバイスの利活用に伴い、接続デバイスの把握および適正なアクセス制御も必要

3. 可視化されたログ情報を一元的に管理/学習/分析し、被害が顕在化する前に、早期に危険性を検知できる仕組みが重要

◼ パロアルトネットワークスのご提案

1. 院内ネットワークのL3コアスイッチ部分でのPAシリーズによる可視化と脅威防御L3モードによるインライン構成 or ミラーポートによるTAP接続

2. エンドポイントセキュリティ強化としてCortex XDRエージェントの導入

3. Cortex XDRによる機械学習/挙動分析による潜伏型マルウェアや不審な挙動を検知

4. IoTセキュリティによる院内ネットワークに接続されたIoTデバイスの検出とポリシー適応


病院情報ネットワークのセキュリティ対策の

検討に、ご参考になれば幸いです。


パロアルトネットワークスwebinard24wuq6o951i2g.cloudfront.net/img/events/457868824/assets/e1a1… ·...

Documents