マイクロソフトが提供する...
TRANSCRIPT
マイクロソフトが提供する最新のセキュリティ対策
"ネット セキュリティは CEO レベルで対処すべき事項" *3
CEO の 61% ネット攻撃が増加することを心配 *4
内部監査担当者の 65%「ここ 1 ~ 2年のネットセキュリ
ティーリスクについて、役員の見方はどう変わりましたか? 」との問いに対し 65% 以上の内部監査担当はリスクに対する認識が高い、あるいは高まっていると回答した *5
• 日本の政府機関への不正アクセス約 508 万件 *1
• 企業の 7 割はセキュリティ事故を経験
9 割は未知の脅威が侵入済み *2
• 米国納税者アカウント 10 万人米政府職員 400 万人の情報流出 *6
• 侵入から発見されるまで 242 日 (中央値) *3
サイバー攻撃の現状企業の 9 割は脅威が侵入済み
• データ侵害に対する平均的なコスト 4.2 億円
• 不正送金被害 29 憶円 (企業の被害が増加)
• 漏洩したデータ 9 億 400 万件
• 不正アクセスが原因で企業が破産 *7
*
セキュリティ問題サーバー ルームから役員室へ
APAC CIO 調査新しいテクノロジ採用に際しての最大の障壁
新しいテクノロジに対する投資の不足
新しいテクノロジに対するセキュリティ、プライバシーや コンプライアンスの懸念
IT に関する決定をする際に、多くの利害関係者が生まれ、意思決定が遅延
予算
81%
信頼
79%
採用に伴う影響
72%被害 推定総額 360 兆円 *3
サイバー攻撃
*1 情報セキュリティ政策会議 2013 年度データ*2 トレンドマイクロ IT Japan 2015 2015 年 07 月*3 McKinsey & Co. 高度ネットワーク社会でできることとそのリスク: 企業への示唆 2014 年 1 月*4 PwC グローバル CEO 調査 2015 年 1 月*5 内部監査担当者 2014 年動向調査より*6 米内国歳入庁 (IRS) 2015 年 5 月 人事管理局 2015 年 6 月*7 オランダの認証局「DigiNotar」2011 年 9 月
-2-
Tier 2 Workstation
& Device
Admins
Tier 0Domain &
Enterprise
Admins
Tier 1Server
Admins
1. 1台のPCが感染
2. 他のPCの乗っ取りa. ID情報の搾取
b. サーバーへの侵入や他のID情報の搾取
3. 特権アカウントへの昇格a. ドメイン管理者権限の搾取
4. 目的となる行動の実施a. データの搾取、システムの破壊
侵入ログの消去 などb. 次の行動のための潜伏・監視
24-48 Hours
-3-
マイクロソフトの IT 環境
100 か国+ 15 万人 60 万台 +
AV の最新のリアルタイム検知適用率
99.85%
検出 80 万件 検出 2.6 回/台/年
感染 143 件 感染 1/2100 台/年
2014 年 7 月-12 月 (出典 SIR 18)
-4-
サイバー攻撃に常にさらされ、世界で一番狙われ易い企業の一つであり、その対策/実運用に関するノウハウを豊富に保有している
グローバルにセキュリティインシデントレスポンス体制を敷いている
世界最大級のネットワーク網を保持し、Microsoft レスポンスセンターやマルウェアプロテクションセンターを運用し、セキュリティ情報が十分に集まる(その情報をセキュリティベンダーや各国政府機関にも提供)
OS, アプリケーション、アクティブディレクトリ等のインフラソフトウェアの製造元であり、セキュリティノウハウを十分保有
グローバルでセキュリティサービスを展開
各地域においてセキュリティ体制を作り, MCSやPremierサービスを通じて提供している
数十億6億
200億
1億
3000万
数百万
13 億件 2千億件
数十億台
数千億件の認証、電子メールを毎月分析
-5-
サイバークライムセンター
-6-
Malware Protection Center(MMPC)
世界最大のウイルス対策及びマルウエア対策サービス
Cyber Hunting Teams
エンタープライズおよびクラウド サービス環境で
敵対者を常に探索
Security Response Center (MSRC)
セキュリティインシデントと脆弱性の特定、監視、対応及び解決を行う
Digital Crime Unit(DCU)
法律及び技術の専門家チーム
法執行機関や学術機関、政府機関、一般企業と連携
Cyber Defense Operations Center (CDOC)24時間365日のサイバーセキュリティ対応
マイクロソフトサービスの保護
-7-
NIST SP 800-61
準備 やられないようにする 防御力向上
検知・分析やられている事をすぐに検知する
検知分析
根絶・復旧・封じ込め
やられても被害を小さくする
被害軽減
事件発生後の対応
やられた後でも、情報を保護する
事後対応
Microsoftセキュリティ体制
-8-
Detectターゲットの情報、行動の監視、機械学習を利用
Respond検出からアクションまでの時間を短縮
Protectセンサーからデータセンターまですべてのエンドポイントを保護
マイクロソフトのセキュリティ体制
-9-
強化~クラウド時代の新たなセキュリティ境界~
1 つの共通 IDによる
利便性の担保
迅速な対応による
セキュリティの向上検出からアクションまでの時間を短縮
より安全に運用するための
管理の簡略化SSO
オンプレミス: 既存のアプリケーション、Windows Server Active Directory、
およびその他のディレクトリ
クラウド: Azure、SaaS、パブリック クラウド、および
Office 365
IDが重要な統制手段ID統制による
運用の安全性の向上
ID統制による利便性
の向上
ID統制による
事後対応力の向上 -10-
すべての情報資産が
ユーザー情報と結びつく-11-
ID アプリとデータ
インフラストラクチャデバイス
ID の侵害に対する保護を行い、セキュリティ侵害の兆候をすばやく特定
クラウドとモビリティの利便性の向上
クラウド利用時における情報の保護
ユーザー、組織、パートナー間でドキュメントやデータの安全な共有
お客様のハイブリッド クラウド環境全体で可視化と制御を実現
統合されたセキュリティ制御を適用し、既定でセキュリティを保証
デバイスのセキュリティを高めながら、モバイルワークと BYOD を実現
企業データの保護を保証しながらも、ユーザーの生産性を向上
-12-
Azure AD Identity Protection
Advanced Threat Analytics
Multi-Factor Authentication
Privileged Access Management
Privileged Identity Management
Microsoft Identity Manager
Hyper-V containers
Azure Security Center
OMS Security Suite
Shielded VMs
Virtualization-based security
App Locker
Device Guard
Credential Guard
Windows Defender
Windows Defender ATP
Azure Information Protection
Windows Information Protection
Customer Lockbox
Cloud App Security
Advanced Threat Protection
Advanced Security Management
-13-
App and Data
SaaS
Malware Protection Center (MMPC)
Cyber Hunting TeamsSecurity Response
Center (MSRC)
Device
CERTおよびその他のパートナー
Infrastructure
ウイルス対策ネットワーク
PaaS IaaS
ID
インテリジェント セキュリティ グラフ
Cyber DefenseOperations Center (CDOC) 法執行機関
Digital Crime Unit(DCU)
-14-
-16-
組織に影響が大きかったと考えられる情報セキュリティの脅威に関する事故・事件から選出
IPA情報処理推進機構(http://www.ipa.go.jp/security/vuln/10threats2016.html)
2010 年
アップデートしていないクライアントソフト
悪質なウイルスやボットの多目的化
対策をしていないサーバ製品の脆弱性
内部不正による情報漏えい
2016 年
ウェブサイトの改ざん
ウェブサービスからの個人情報の窃取
サービス妨害攻撃によるサービス停止
ウェブサイトの改ざん
内部不正による情報漏えい
IPA情報処理推進機構(http://www.ipa.go.jp/security/vuln/10threats2010.html)
標的型攻撃による情報流出
-17-
情報の機密区分の分類と保護
SaaSアプリのセキュアな活用
CRM
人事B2B
コラボ財務
サプライチェーン
経理
2,700 のSaaS
アプリの認証連携・統合 ID 管理
社内環境のベースセキュリティ強化
Active Directory への攻撃の検知
PC 統合管理とアンチウィルスPC 上での不審な動作の検出
標的型攻撃メールのブロック DCDC
PC
13,000 のSaaS アプリのアクセス分析と利用の管理
アプリ単位の条件に応じた接続制御モバイル端末での
Office 管理データの保護
Office 365 生産性・セキュリティ強化
iOS / Android / Windows
iOS / Android / Windows
Azure Active Directory
次世代の認証基盤
Office 365 のセキュリティ強化データや働き方の分析電話回線連携
マルチプラットフォームでの暗号化データの参照トラッキングと失効
Office 365 / SaaS 上での機密情報の検出・ブロック手動・自動での機密区分の分離
特権の一時的な付与セルフサービスのID/グループの管理
-18-
侵入 潜伏探索
搾取拡散
攻撃者は脆弱性や不正プログラムを使用してユーザーの資格情報を搾取し、ネットワークやサーバーに侵入を試みます。攻撃者が検出されるまでに被害者のネットワーク内に潜伏している平均日数は200 日を超えます。
攻撃者はメールやWebを使って攻撃対象に接触を試みます。攻撃者が攻撃ツールやウイルスを使ってくることはなく正規のITツール使って接触します。
重要なファイルや顧客データ情報を入手し外部のサーバーに送信を試みます。企業が被るデータ侵害の平均コストは 350 万ドルとされますが、それは氷山の一角にすぎません。
攻撃のステップ
対処法
検知・駆除 監視・検知・防止
防止・追跡・抑止
必要とされる技術•仮想実行領域を利用した未知の攻撃からの保護•悪意のあるサイトへのリダイレクトを防止
必要とされる技術•通常行動と異常行動の分析による検知機能の実装•既知の攻撃および問題の検出•不正プログラムの実行を阻止することが可能な環境の構築
必要とされる技術•永続的なアクセス権の付与•後追いでのアクセス権の剥奪•ファイル閲覧場所の追跡
Azure InformationProtectionExchange Online ATP
Microsoft ATAWindows 10
Defender ATP
マイクロソフトが提供するソリューション
-19-
防ぐカギは、メールにあり。
侵入経路で最も狙われるのは、メールです。
業務に欠かせないメールを狙って発生する不正行為を多段階で
検知・駆除し、未然に防ぐことが重要です。マイクロソフトでは
Advanced Threat Protection (ATP)により、保護します。
①既知のマルウエア(ウイルス)に対する保護
②未知のマルウェア(ウイルス)に対する保護
③悪意のある URL に対してクリック時の保護をリアルタイムに提供
Advanced Threat Protection (ATP)とは
ATP (Advanced Threat Protection) は Safe Attachments 機能や
Safe Links 機能を含むゼロデイ攻撃に対抗した特徴を備える Office
365 の機能です。EOP を使う環境でもご利用いただけます。
※ ATP は EOP のアンチスパムフィルターを通過できたものだけに適用されます
-20-
手遅れになる前に、気づく。
標的型攻撃は巧妙で、インターネットを通じて知らぬ間に企業内に潜
伏しています。例えば、PCの乗っ取りが発見されるまでの潜伏期間は
なんと平均約200日。マイクロソフトで高度な検知機能で監視し、不
正プログラムから侵入した悪意ある攻撃に対しても不審な動作や異常
を検知し、乗っ取りや潜伏を防ぎます。
①アンチマルウエアでは検知されない不正なプログラムの実行を検知
②管理者権限取得などの不審な行動を検知
③平常時と違う動作を検知して管理者に通知
Microsoft Advanced Threat Analyticsとは
ATA(Microsoft Advanced Threat Analytics)は、ワールド クラスの
セキュリティ研究者の研究を利用した高度な技術により、「セキュリ
ティ問題とリスク」「悪意のある攻撃」「異常動作」などの側面から、
不審な動作や異常を検知します。
信頼関係の失敗 脆弱なプロトコル プロトコルの既知の脆弱性
悪意のある攻撃
セキュリティ問題とリスク
Pass-the-Ticket (PtT) Pass-the-Hash (PtH) Overpass-the-Hash 偽造 PAC (MS14-068)
Golden Ticket Skeleton Key マルウェア 偵察 BruteForce
異常なログイン リモート実行 不審な活動
未知の脅威 パスワードの共有 横方向の移動
異常動作
行動分析 既知の攻撃と問題の検出
通常行動VS
異常行動
デジタルフォレンジック
高度な脅威の検出
ATA
DCDC
-21-
Windows Information Protection は組織データを自動的に保護し、特定のアプリでの利用を許可するなど利便性とセキュリティ強化を両立
監査ログの取得組織データに対する操作などの監査ログを収集
組織内のデータを保護端末ないで個人データと組織データを分離組織データを暗号化し保護
エンドユーザーは自然な操作で組織データの判断は、IT管理者側で設定特定のアプリや、クラウドサービスからのデータを自動で保護
アプリでの利用を制限組織データは、管理者が認めたアプリでのみ利用可能アプリ間でのコピー&ペーストも制限
脅威をいち早く検知し、いち早く守る
強力な脅威情報ナレッジ データベースパートナーが持つ脅威情報データと連携様々な侵入者のプロファイルを検知
行動特性 による侵入検知を Cloud で実現既知および未知の攻撃を検知しアラート出力リアルタイムデータと履歴データを蓄積
Windows にビルトイン追加インフラ&デプロイメント不要低コストで継続的なアップデート
調査に必要な豊富なデータ侵入範囲を容易に把握可能エンドポイント横断したデータ解析ファイル・URL 解析
-22-
-23-
Outlook.exe から起動されたInstall.exe の中で PowerShell
コマンドレットの実行を検出
-24-
意図しなくても、漏えい。
SNS の普及や関係者が多いプロジェクト、外出先での業務など、いつ情報が
漏れてもおかしくない状況にあります。悪意あるユーザーのアクセスだけで
なく、不注意による事故も起こりえます。マイクロソフトでは社内外でのセ
キュアな情報共有を行い、万が一漏えいした場合でも拡散を防ぐことが可能
です。
①アクセス権限の設定と暗号化により第三者による閲覧を防止(永続的)
②「誰が」「いつ」「どこで」「何を」「どうした」などの追跡が可能
③漏えいの恐れがあった場合、後から権限をはく奪して情報の拡散を抑止
Azure Information Protection とは
ドキュメントやメールなどのデータを暗号化し、社内外のユーザーに対
して適切な権限設定で共有することが可能です。Windows はもちろん、
iOS / Android で設定可能なマルチプラットフォーム対応であり、
Microsoft Office だけでなく、PDFや 画像、テキストファイルまで対応
しています。主な設定項目●印刷許可/不許可●スクリーンショット / コピーの禁止●閲覧の有効期限●コンテンツを開こうとした時の通知
付与されているアクセスコントロールに基づいて
「いつ」「誰が」「開いたか」「拒否されたか」「転送したか」などの追跡が可能
配布後でも権限の抹消が可能
Azure Information
Protection
トラッキングポータル
-25-
暗号化と認証と権限制御
保有権限 ユーザーB (社内)
閲覧 ○
編集 ×
保存 ×
コピー &
ペースト×
印刷 ×
など… -
利用期限 2015/1/14
アクセスが制限される旨の表示
• 編集不可
• コピー & ペースト不可
• 保存不可
• 印刷不可
ファイル メニュー保有権限
有効期限
-26-
付与されているアクセスコントロールに基づいて
「いつ」「誰が」「開いたか」「拒否されたか」「転送したか」などの追跡が可能
配布後でも権限の抹消が可能
アクセスされた時間帯や件数をグラフで表示
どの場所からアクセスしたのか地図で確認
トラッキングポータル
-27-
再分類
ユーザーは分類を上書きできるようにすることが可能必要に応じて理由を入力する必要がある
自動
ポリシーの設定により分類と保護がデータに自動的に適用されるようにすることが可能
推奨
作業中のコンテンツに基づいて適切な分類を推奨
ユーザーによる設定
ユーザーは作業中の電子メールやファイルへの機密度の分類をシングル クリックで選択
付与されたタグでの連携Office 365 と連携し、機密情報のメール添付や、サイトでの共有をブロックCAS と連携して、Boxなど会社で利用しているSaaS 上での流出も検知してブロック
Azure Information Protection の Office のアドオンをインストールすると、ユーザーが作成する Office ファイルに対して、
機密区分などの分類を選択させ、分類に応じて、暗号化や、透かし、ヘッダーやフッターなどを自動で適用
Azure AD Identity Protection~
-28-
多くの攻撃者はユーザー ID を狙っています。”ID は流出する” ことを前提とした対策が必要です。
悪質な Web で公開され、明確に漏えいした ID
通常利用しない地理的に離れた場所からの利用
ボット サーバーと頻繁に通信する IP アドレス
匿名 IP アドレス
多数のサインイン失敗が検出された IP アドレス
過去に利用されていない場所およびデバイス
安全な場所、デバイスからのアクセス
正しい資格情報 (ID/パスワード) でも、リスク レベルに応じてアクセスを制限
例: リスク高はブロック、中低は 多要素認証
Azure AD
リスク高
リスク中
リスク低
-29-
• アプリに対する不審な活動やアクセス状況、機密データ保存の状況などを可視化し、制御を行うことが可能
• 企業が許可していない SaaS アプリを検出することでシャドウ IT 対策を実現
エンタープライズの 73% が SaaS の採用を妨げる最大の課題の 1 つとしてセキュリティを挙げている*
73%
従業員の 80% 以上が未承認の SaaS アプリを仕事で使用していると認めている**
80%
* Cloud Security Alliance (CSA) の調査、「Cloud Adoption, Practices and Priorities Survey Report 2015」** http://www.computing.co.uk/ctg/news/2321750/more-than-80-per-cent-of-employees-use-non-approved-saas-apps-report
アプリコネクタ
クラウド検出
Cloud App Security
クラウドアプリプロバイダが提供する API を利用
検出 / 調査
• シャドウ IT の検出 (未承認アプリの検出)
• リスクの高い行動、データ、異常な動作、脅威を把握
• 特定のユーザーや行動を簡単にドリルダウン
データ制御 / 脅威からの保護
• アクセス、行動、データ共有に関するポリシーを作成
• データ漏えいを防止 (DLP)
• リスクを最小限に抑え、脅威の回避とポリシーの適用を自動化
-30-
• アプリコ ネクタによってクラウド アプリに接続
API 種別 内容
アカウント情報ユーザー、アカウント、プロファイル情報、ステータス(一時停止、アクティブ、無効)グループ、および権限の可視化
監査証跡 ユーザアクティビティ、管理者操作の可視化
データスキャン 定期的なスキャン (12時間毎) およびリアルタイムスキャン
アプリの権限 発行されたトークンとその権限を可視化
アカウントガバナンス ユーザーを停止する機能、パスワードを取り消す等
データガバナンス ファイルの検疫、およびファイルを上書きする機能
アプリの許可ガバナンス アプリの利用を取り消す機能
アプリコネクタで接続可能なクラウドアプリ (2016年6月時点)
防御力向上
Security Map
PROTECT
検知分析DETECT
被害軽減
事後対応
認証基盤
サーバーの安全公開
(条件付きアクセス)
ファイアウォール
FW/ルータの安全な構成
負荷分散
RESPOND
マルウェア対策(階層化マルウェア対策)
スパムメール対策(スパムフィルタリング)
標的型メール対策(不正メール検知 / 防止)
暗号化(文書の機密度分類 / 文書の暗号化)
認証と識別
(生体認証)
ルール徹底
(グループポリシー / 条件付きアクセス)
ユーザーIDの統合
(シングルサインオン)
モバイル通知による認証強化
(多要素認証)
認証基盤要塞化
(特権IDの制限 / 監視)
認証基盤監視
(マシンラーニングによる異常検出/リスク検出/IDの自動保護)
標的型攻撃検知
(マシンラーニングによるオンプレミスID不正アクセス検知)
認証と識別
なりすまし対策(生体認証 / PKI認証)
マルウェア対策
安全なWeb閲覧(フィッシングサイト閲覧防止)
標的型攻撃検知標的型攻撃検知侵入検知 / 防止
侵入拡大防止(資格情報の保護)
脆弱性穏和更新プログラムの適用
不正アプリ起動防止
ロックダウン機能
(端末ロールバック)
盗難紛失対策(ハードディスクの暗号化)
安全な構成
リモートワイプ
シャドーIT監視 /クラウドアプリ監視
シンクライアント
危険な行為の警告
ネットワーク分離
認証ネットワーク検疫
(マシンラーニングによる行動分析 / 認証基盤の脅威を未然に防ぐ)
サーバーネットワーク PC / モバイル データ
モバイル通知による認証強化
(多要素認証)
不正通信禁止
データの追跡
(ファイル追跡、ファイル権限削除)
文書管理
ドキュメント暗号化
完全な検査ツール
出口対策
アクセス制御
自動暗号化(ファイル保護)
脅威の検出 /制御性の強化
マイクロソフトのセキュリティカバー範囲 Windows10 Office 365
Enterprise Mobility +Security E5
E5 E5
RESPOND
Security Map 認証基盤サーバーネットワーク PC / モバイル データ
Windows10 Office 365
Enterprise Mobility +Security E5
E5 E5
Azure Active Directory Premium
(条件付きアクセス)
ファイアウォール
FW/ルータの安全な構成
負荷分散
Exchange Online Protection(階層化マルウェア対策)
Exchange Online Protection(スパムフィルタリング)
Advanced Threat Protection(不正メール検知 / 防止)
Azure Information Protection Premium(文書の機密度分類 / 文書の暗号化)
Windows Hello for Business(生体認証)
Microsoft Intune
(グループポリシー / 条件付きアクセス)
Azure Active Directory Premium
(シングルサインオン)
Multi Factor Authentication
(多要素認証)
Azure Active Directory Privileged Identity Management (特権IDの制限 / 監視)
Azure AD Identity Protection
(マシンラーニングによる異常検出/リスク検出/IDの自動保護)
Advanced Threat Analytics
(マシンラーニングによるオンプレミスID不正アクセス検知)
Windows Hello for Business(認証と識別)
Windows Hello for Business(なりすまし対策)
ロックダウン機能 / Device Guard(マルウェア対策)
Smart Screen
(フィッシングサイト閲覧防止)
Windows Defender ATP
(標的型攻撃検知)標的型攻撃検知侵入検知 / 防止
Credential Guard
(侵入拡大防止)
Windows Update(脆弱性穏和)
Device Guard / AppLocker
(不正アプリ起動防止)
ロックダウン機能
(端末ロールバック)
BitLocker
(盗難紛失対策)
Microsoft Intune
(ポリシー管理)
Microsoft Intune
(リモートワイプ)
Cloud App Security
(シャドーIT監視 /クラウドアプリ監視)
シンクライアント
Windows Defender
(危険な行為の警告)
ネットワーク分離
Advanced Threat Analytics
(マシンラーニングによる行動分析 / 認証基盤の脅威を未然に防ぐ)
Multi Factor Authentication
(多要素認証)
Windows ファイアウォール
(不正通信禁止)
Azure Information Protection Premium
(ファイル追跡、ファイル権限削除)
Share Point Online文書管理
Azure Information Protection Premium
(ドキュメント暗号化)
完全な検査ツール
出口対策
Azure Information Protection Premium
(ドキュメントのアクセス制御)
Windows Information Protection(ファイル保護)
Advanced Security Management(脅威の検出 /制御性の強化)
防御力向上PROTECT
検知分析DETECT
被害軽減
事後対応
RESPOND
RESPOND
