sophos xg firewallxg firewall sophos central security heartbeat は、セキュ...
TRANSCRIPT
株式会社リナ・システム
Sophos UTM のご紹介(XG Firewall)-オールインワンのセキュリティアプライアンス-
なぜセキュリティアプライアンスが必要か?
中小企業が狙われている
• 某電機メーカ1
≪概要≫
2011年4月、ある電機メーカーは自社ネットワークサービスにおいて、利用者の個人情報が流出したと公表しました。情報漏洩した件数は、7700万件。漏洩したのは、氏名、住所、メールアドレス、生年月日、性別、ログインID、パスワード。それに加えて購入履歴、請求先住所パスワード再設定用の質問への回答等。クレジットカード番号と有効期限(セキュリティコードを除く)に関して、証拠はないものの漏洩の可能性があるとしました。
≪原因≫
サーバーの脆弱性をついた、不正アクセスが原因でした。しかし世に知れ渡った既知の脆弱性であり、それを同社が認識していなかったことが問題の根幹にあります。なお関連性は定かではないものの、世界的に有名なハッカー集団からさまざまな攻撃を受けていたという背景もありました。
≪情報開示の遅れに批判≫
不正アクセスがあったのは、4月17日~19日のこと。それから1週間経って、ようやく情報公開したことに批判が集まりました。なお、謝罪会見は5月1日に行われました。
≪被害額≫
海外には集団訴訟制度があるため、それによっては巨額の賠償金が発生する可能性もあります。被害総額は2兆円以上になるとの予想が報道されたほどです。
≪事後対応≫
被害者に対しては補償として、特定コンテンツの無料ダウンロードをはじめとするサービスを提供しました。対策としては、セキュリティ強化、データセンター移管、ソフトウェアバージョンアップを実施しました。
• 某電機メーカ2
≪概要≫
2014年4月、ある電機メーカーは自社会員サイトに対して、460万件を超える不正なログイン試行があり、約7万件以上のアカウントで個人情報を閲覧・不正取得された可能性があると公表しました。対象となる情報は、氏名、住所、電話番号、性別、生年月日、ログインID、メールアドレス、携帯メールアドレス、ニックネーム、職業、居住状態、家族構成、共稼ぎ情報、興味のあるカテゴリー。
≪原因≫
機械的なログイン試行を防ぐ仕組みがなかったため、攻撃対象として狙われたと考えられます。またその不正ログイン試行は、他社サービスから流出したID・パスワードを利用している可能性が高いとされました。
≪対策≫
セキュリティ強化とともに、機械的ログイン試行を抑止するため、画像認識機能(文字画像を表示して入力を促す機能)を実装しました。
外部からの攻撃!悪意ある不正アクセスが原因となった事例
• ランサムウェアo 重要なファイルへのアクセスを出来なくし、金銭の支払いを要求する。悪質なメールの添付ファイルや改ざんされたWebサイトへのアクセスが要因です。
• Exploitso エクスプロイトとは、アプリケーション、ネットワークやハードウェアの脆弱性を悪用する攻撃です。攻撃は、コンピュータシステムを意のままにコントロールすることまたはネットワーク上に保存されているデータを盗むことを目的とし、ソフトウェアまたはコードの形態を取ります。
•フィッシングo金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺。
• Cryotojackingo Webページに仮想通貨マイニング用のソフトウェアを仕込んでおき、ページを閲覧しにきたユーザが知らないうちに仮想通貨マイニングを行うようにする行為を指す。
主な外部からの攻撃
• 1つのシステムとして機能するサイバー脅威
サイバー犯罪者は、1つの手法やテクノロジーを用いるのではなく、複数の手法を組み合わせた組織的システムで攻撃を行います。
たとえば、攻撃者は悪意のある URL を含むフィッシングメールで攻撃を開始するかもしれません。メールを受信したユーザーがリンクをクリックすると、C&C (コマンド&コントロール) センターに接続されてしまいます。そこで攻撃者は、認証情報の窃取、権限昇格、悪意のある実行ファイルといった手法を組み合わせて、ユーザーの情報を盗み出したり、情報を引き換えに「身代金」を要求したりして、最終目標を遂行するといった具合です。
ポイント製品では不十分既存のルータ、ウイルスソフトでは防ぎきれない
最新動向: ワームのように拡散するランサムウェア
24時間で 150カ国の 230,000台以上のシステムに感染
最新動向: ソフトウェアアップデートに含まれるランサムウェア
多くのセキュリティベンダーが製品間の統合とサイバーセキュリティシステムを話題にしていますが、その内容は千差万別です。
効果的なシステムには、4つの中核的要素があります。
1.一元管理:1カ所からすべてを表示して制御する機能
2.統合されたコンポーネント:相互連係するさまざまなコンポーネント
3.アクションの自動化:事前に指定した条件に基づいた一連の動作
4.拡張性:要件の変化に応じてシステムの拡張ができること
ポイント製品を 1つのシステムに変換するには、この 4つの要素が必要です。各要素が優れていればいるほど、システムの性能も高くなります。また緊密に統合しているシステムは、そうでないシステムに比べてより優れた性能を発揮します。これと同じ原則をサイバーセキュリティにも当てはめることができます。サイバーセキュリティテクノロジーのプラットフォームをシステムの中心に据えれば、IT 部門は、エンドポイント保護、ファイアウォール、モバイル、メール、ワイヤレス、暗号化、ユーザ教育など、すべてのセキュリティサービスを単一のインターフェースで管理できるようになります。こうしたサービスは、常に相互連係を行い、サービス間で情報を共有して、問題やイベントに自動的に対応します。この統合性が優れていればいるほど、より効果的なシステムになります。
望ましいシステムとは
侵入ポイント
メールスパムやフィッシングメール
によって感染
Office の文書ファイル、PDF、実行ファイルなどの添付ファイルを開くように仕向け、エクスプロイトキットや悪質プログラムをダウンロードLocky、TorrentLocker の手口
Web
不正サイトへのアクセスや、悪質広告、ダウンロードを通じて感染
メールの例と同じような手口で悪質ファイルがダウンロードされたり、不正サイトに誘導され、エクスプロイトキットがドライ
ブバイダウンロードされるCryptoWall、TeslaCrypt の手口
ネットワークシステムの脆弱性を狙って、ネッ
トワークを通じて感染
ネットワーキングの仕組みの脆弱性を狙って、悪質プログラムを実行
Wanna、Petya の手口
必要不可欠な保護機能
10
Gartner、ソフォス、専門家の共通見解
対応 &
緩和策Style 6
デュアルエンジン型のマルウェア対策
ATP (Advanced Threat Protection)
侵入防止システム (IPS)
Web プロテクション & HTTPS スキャン
Sandboxing
Synchronized Security
アプリケーションコントロール
未知の最新型攻撃への対策
11
IPS とサンドボックスの仕組み
感染ホスト
• ネットワーク上のシステムを感染させようとするエクスプロイトを検出
• IPS のパターンを頻繁に更新
• その後、さらにパターンを追加
• フィッシングや Web ダウンロードによって侵入する
• ゼロデイ型のランサムウェアをブロック
• 動作を継続的に監視
感染ホスト
ファイアウォール
侵入防止システム (IPS)
Sandboxing
よくあるネットワークトポロジー - 非推奨
12
ネットワーク内での拡散を防げない
ファイアウォール
ローカル エリアネットワーク
スイッチ
感染ホスト感染ホスト
インターネット
1つのスイッチにすべてのエンドポイントを接続
ファイアウォールは、ネットワーク内での拡散を防げない
• ファイアウォールから、LAN 内のトラフィックを把握することができない
• ファイアウォールによってチェックされるのは、ネットワークに出入りするトラフィックだけ
推奨のネットワークトポロジー
13
ネットワーク内での拡散を防止
ファイアウォール
スイッチ
感染ホスト
インターネット
LAN をゾーンや VLAN に分け、それぞれをファイアウォールの別ポートに接続する
セグメント間を行き来する全トラフィックを、ファイアウォールかから把握できるようになる
IPS によって、ゾーン間を行き来する脅威をブロックできる
ゾーン、VLAN、多数のポートをサポートするファイアウォールを選ぶようにする
• 上記の機能を実際に活用する
ゾーン/VLAN 1 ゾーン/VLAN 2
14
Sophos XGFirewall
Sophos XG Firewallセキュリティ、使いやすさ、解析力のすべてに優れた製品
隠れたリスクを顕在化
インシデントへの自動対応
アプリ、ユーザー、悪質プログラム、脅威
見やすく色分けされたダッシュボード豊富なレポート機能を搭載問題を先回りして阻止
独自技術の Security Heartbeat™エンドポイントのセキュリティ状態をルールに反映感染システムをすばやく特定感染システムを自動的に隔離
ネットワーク脅威をブロック
多様な保護機能 IPS、APT、サンドボックス Web コントロールとアプリケーションコントロール単一画面から簡単に管理
15
未知の脅威をブロック
1つの画面から、多様なテクノロジーを簡単に管理デュアルエンジン型のマルウェア対策
ATP (Advanced Threat Protection)
侵入防止システム (IPS)
Web プロテクション &HTTPS スキャン
アプリケーションコントロール
Sandboxing
強力な保護機能を、ルールベースで簡単に適用1つの画面から、多様なテクノロジーを簡単に管理
デュアルエンジン型のマルウェア対
策SSL インスペクション
Sandboxing
侵入防御システム
(IPS)QoS (トラフィックシェーピング)Web フィルタリン
グ
App Control
Heartbeat
NAT
ルーティング
優先順位の設定
強力な保護機能を、ルールベースで簡単に適用IPS、Web コントロール、アプリケーションコントロール、トラフィックシェーピングなどのポリシーを簡単に適用し、その場で編集可能
統合レベルの高さがソフォス製品の最大の特徴
その場で編集可能
Synchronized Security - 脅威をすばやく特定
19
脅威をすばやく特定
• 色分け表示により一目瞭然
感染源の詳細情報をすばやく表示
• ユーザー、IP、プロセス、時刻、インスタンス
修復にかかる時間を大幅に短縮
脅威とデバイスやユーザーの関連性を、ただちに把握
Security Heartbeat™
Synchronized Security - 自動対応
Security Heartbeat™
サーバー
XG Firewall Sophos Central
Security Heartbeat™ は、セキュリティ状態を監視し、エンドポイントとファイアウォール間で脅威情報をただちに共有します。
XG Firewall は、エンドポイントのセキュリティ状態をファイアウォールルールに含めることができる唯一のファイアウォール製品です。
迅速に把握Security Heartbeat によって、脅威の影響を受けたユーザー、システム、プロセスなどの情報を即時に収集・共有します
自動対応クリーンアップされるまで、感染システムを自動的に隔離し、そのネットワークアクセスや暗号化鍵の使用を制限します
インターネット
XG Firewall エンドポイント
Synchronized App Control の動作
Security Heartbeat™Synchronized App Control
不明なアプリケーションXG Firewall で、アプリケーションのシグネチャを特定できない
エンドポイントからアプリケーション情報を取得Sophos Endpoint が、アプリケーション名、パス、カテゴリなどの情報を XG Firewall に送信
インターネット
XG Firewall
Sophos Endpoint 搭載の
コンピュータ
1 2
アプリケーションを分類・制御自動的に分類・制御。分類できない場合は、管理者が手動でカテゴリまたはポリシーを割り当てる
3
不明アプリケーションを自動的に特定
22
Synchronized App Control
他社製品と一線を画す、アプリケーションの可視性・制御レベル
Sophos XG Firewallセキュリティ、使いやすさ、解析力のすべてに優れた製品2
隠れたリスクを顕在化
インシデントへの自動対応
アプリ、ユーザー、悪質プログラム、脅威
見やすく色分けされたダッシュボード豊富なレポート機能を搭載問題を先回りして阻止
独自技術の Security Heartbeat™エンドポイントのセキュリティ状態をルールに反映感染システムをすばやく特定感染システムを自動的に隔離
ネットワーク脅威をブロック
多様な保護機能 IPS、APT、サンドボックス Web コントロールとアプリケーションコントロール単一画面から簡単に管理
23
究極のコンビネーション
24
最新のランサムウェアや高度な脅威から保護
Security Heartbeat™Synchronized App
Control
Sync Security を有効化する方法 - 3種類のケース
Security Heartbeat™ & Synchronized App Control
Security Heartbeat™ & Synchronized App Control
Security Heartbeat™ & Synchronized App Control
ファイアウォールの置き換え
インライン
検出モード
未知の脅威を阻止
26
•基本的な保護機能を確実に導入する
•攻撃の侵入口を減らす
•開かれたポートを適切に保護する
• Web やメールトラフィックにサンドボックスを適用する
•ネットワークを通じた感染拡大のリスクを最小化する
•感染システムを自動的に隔離する
NSS Labs 社のレポートと、ファイアウォールのベストプラクティスに関するホワイトペーパーを、Sophos.com からダウンロードできます
XG Firewall が選ばれる理由
27
• 最新の保護機能の数々が備わっているだけでなく、設定・管理も簡単です
• Synchronized Security により、不正システムを一目で把握したり、自動隔離したりできます
• アプリケーションやユーザー、リスクをこれまでにないレベルで詳しく把握できるレポート機能が搭載されています
その他のメリット• ファイアウォールルールやポリシーオプションがすべて一箇所にまとめられ、わかりやすくなっています
• NSS Labs、Gartner などの評価機関や業界の専門家から、保護機能、パフォーマンス、価格のすべてにおいて高い評価を得ています
中小企業向けモデル
ユーザ数 モデル 保守期間(最長5年) 価格 備考
10名程度 XG106 3年 ¥180.000.~ Wifi無
30名程度 XG135 3年 ¥520.000.~ Wifi無
50名程度 XG210 3年 ¥800,000.~ Wifi無
数千人規模での製品有 延長2年可 3年間保守付き