vpn不要の簡単リモートアクセスと、dnsによる簡単マルウェア … ·...
TRANSCRIPT
© 2019 Akamai | Confidential1
VPN不要の簡単リモートアクセスと、DNSによる簡単マルウェア回避事例〜組織の新たな出入口セキュリティ〜
アカマイ・テクノロジーズ合同会社マーケティング本部
金子 春信(CCIE、CISSP)
Webサイトアクセスの安定化及び高速化、画像コンテンツの圧縮
メディアデリバリー
最高レベルの品質の動画配信を圧倒的な拡張性と共に提供
エンタープライズセキュリティ
従業員向けネットワークのリモートアクセスとセキュリティサービス
AKAMAI INTELLIGENT PLATFORM™
アカマイ・ソリューション・ポートフォリオ
ウェブパフォーマンス
クラウドセキュリティ
DDoS, ウェブアプリケーション攻撃に対する
包括的なセキュリティ
© 2019 Akamai | Confidential
本日のアジェンダ1. アカマイが推進するゼロトラストセキュリティ
2. 海外拠点ネットワーク、VPNよりもセキュアな接続環境株式会社エイチ・アイ・エス様
3. リモートワーカーのセキュリティ対策、シンプルに提供株式会社Kaizen Platform様
4. 欧州・アジア・日本におけるネットワークの可視化と脅威対策ヒロセ通商株式会社様
© 2019 Akamai | Confidential
アカマイが推進するゼロトラスト
© 2019 Akamai | Confidential
新たなセキュリティコンセプト 2010年にフォレスターリサーチ社のジョン キンダーバーグ氏が提唱 ゼロトラストアーキテクチャ、ゼロトラストネットワーク等に拡張
従来:信頼し、必要なところだけを検査する
ゼロトラスト:信頼せず常に検査する
© 2019 Akamai | Confidential
分散化するIT基盤
クラウド活用の増加リモートワークの増加
利便性の向上&新たな課題の出現※弊社レポート:「デジタル変革を成功に導くために不可欠なZEROTRUSTセキュリティモデル」より参照:1. IDC InfoBrief(Akamai協賛)、「Remote Access and Security」(2017 年 9 月)2. CBS Money
https://www.cbsnews.com/news/byod-alert-confidential-data-on-personal-devices3. https://www.securedgenetworks.com/blog/topic/strategy4. https://www.forbes.com/sites/louiscolumbus/2017/05/14/enterprises-are-running-cloud-based-apps-
nearly-50-of-the-time/5. https://www.securedgenetworks.com/blog/topic/strategy
40% 40.8%の企業では、21~40%の従業員がリモートで作業。25.7%の企業では、40%を超える従業員がリモートで作業。
67% 67%以上の従業員が職場で自分のデバイスを使用。
80% BYOD全体の80%は完全にアンマネージド。
50% エンタープライズがクラウドベースのアプリを実行している時間は、全体の約50%。
10% 自社のネットワークにアクセスしているデバイスをすべて把握していると報告した組織は、全体の 10% 以下。
© 2019 Akamai | Confidential
アプリ #2
アプリ #1
アプリ #3
ユーザー&デバイスが外側に移動
アプリ#2
アプリ#1
アプリ#3
アプリケーション&データが外側に移動
アプリ#1
アプリ#2
アプリ#3
脅威が内側に侵入
働き方改革ダイバーシティグローバル化
クラウドシフトSaaS/IaaSの利用
過渡期の弊害
ユーザーとアプリが外側に移動。脅威が内側に侵入。
© 2019 Akamai | Confidential
ゼロトラストセキュリティのフレームワーク
https://go.forrester.com/blogs/what-ztx-means-for-vendors-and-users/
■ポイント1. ネットワークの内外を区別しない
2. どこからのアクセスであっても認証認可を求める
3. ユーザ/デバイスに応じたアプリ、データを最小権限許可
4. 振る舞いやログを常時モニタリングし対策を自動化する
ユーザ、デバイス、場所を信用しない
© 2019 Akamai | Confidential
ゼロトラストセキュリティ
「ユーザー」なりすましユーザに情報を盗難されるリスク
「デバイス」感染済みの端末が攻撃を広げるリスク
「場所」組織のLANに攻撃者が接続しているリスク
組織を脅かすリスク
社内への脅威の侵入を遮断 マルウェア感染と悪事の遮断
© 2019 Akamai | Confidential
海外拠点ネットワーク、VPNよりもセキュアな接続環境株式会社エイチ・アイ・エス様
© 2019 Akamai | Confidential
株式会社エイチ・アイ・エス様
導入製品:EAA課題 グローバル展開 国ごとに異なる71か国548拠点でのビジネス展開
国ごとに異なる通信環境
VPNの利用に伴う費用感 小規模拠点においては費用対効果が低
©2018 AKAMAI | FASTER FORWARDTM
ICTにおける課題海外拠点におけるVPNの「費用対効果」
• 海外VPNはコストが掛かる- VPN機器購入&メンテナンス- VPN機器の現地への配送- VPN機器現地設置要員確保- VPN機器設置時の指示-トラブル時の対応-トラブル時の現地側対応要員確保・・・etc
「小規模拠点においては、コストに対するメリットが見いだせない」
©2018 AKAMAI | FASTER FORWARDTM
VPNの導入国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
ステップ1:拠点用アプライアンスの調達
Internet
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
ステップ2:VPNの設計設定
Internet
IPSEC VPN
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
ステップ3:アプライアンスの配送
VPNアプライアンス
VPNアプライアンス
Internet
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
Internet
ステップ4:現地作業員の確保VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
Internet
ステップ5:現地導入作業&テスト
IPSEC VPN
IPSEC VPN
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
ステップ6:保守&運用
※故障時は作業員を手配Internet
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
EAA Edge
自社アプリケーション基盤
アプリケーション
国内拠点
海外拠点
ステップ1:コネクターの起動(仮想マシン)
コネクタの仮想マシンはアカマイで用意済み。起動するだけで、設定は全く無し。
Internet
EAAの導入
©2018 AKAMAI | FASTER FORWARDTM
EAA Edge
自社アプリケーション基盤
アプリケーション
国内拠点
海外拠点
「誰が」「何を」を紐づける簡単設定
ステップ2:ユーザー&アプリの紐づけ
Internet
EAAの導入
©2018 AKAMAI | FASTER FORWARDTM
EAA Edge
自社アプリケーション基盤
アプリケーション
国内拠点
海外拠点
ステップ3:利用開始
Internet
※拠点側はクライアントレスのブラウザアクセスのため、メンテナンス不要
EAAの導入
©2018 AKAMAI | FASTER FORWARDTM
POCを通して導入を決定
ご提案導入構成検
討 POC 導入決定運用スター
ト
「これまでの経験から我々の想定以上に管理コストを低減できる」 「国ごとに異なるネットワークサービスを使っていても柔軟に対応できる」 「上記2点のシナジーにより、業務の効率化が期待できる」
コスト 柔軟性+ 効率化=
©2018 AKAMAI | FASTER FORWARDTM
導入後の感想①設定の簡易さ
「管理者は、ユーザーを登録する、対象アプリを登録するのみ」• 設定対象は、EAAのみのシンプル運用(VPNの場合多岐に渡る)• 直感的なユーザインターフェースのデザイン
©2018 AKAMAI | FASTER FORWARDTM
導入後の感想②ブラウザのみの簡単アクセス
「他社製品と異なりブラウザのみで始められる」• EAAはHTML 5の利用に寄りクライアントレス接続が可能• ブラウザを利用するのでスマートデバイスからの接続も可能
©2018 AKAMAI | FASTER FORWARDTM
今後の拡張プラン
海外拠点以外での利用を検討中:「外勤営業、移動店舗、展示会でも可能性を感じる」
©2018 AKAMAI | FASTER FORWARDTM
まとめ
• ビジネス上の課題• 国によって異なる通信制限への対応
• ICTにおける課題• 海外拠点におけるVPNの「費用対効果」
• 導入効果の事前確認
• 今後、展開の可能性
EAAにより解決
POCできちんと確認
外勤営業、移動店舗、展示会
© 2019 Akamai | Confidential
リモートワーカーのセキュリティ対策、シンプルに提供株式会社Kaizen Platform様
© 2019 Akamai | Confidential
Kaizen Platform様導入製品:ETP
課題 リモートワーク推進のセキュリティ
自宅やカフェ等、フレキシブルに仕事をする社員のセキュリティをどの様に守るか?
出先から利用するユーザの利用状況をどの様に把握するか?
5年前に設立したKaizen Platformは、WebサイトをA/Bテストで改善する事業からスタートした。徐々に改善の対象は広がり、現在は企業そのものを改善することにも広がっている。「企業からの依頼に答えるうちに、単純なWebサイト改善にとどまらず、企業体質を変える必要があるケースがあり、依頼に応えていくうちに改善対象が拡大していきました。いわゆるコンサルティングビジネスになりますが、当社がユニークなのはテクノロジーを活用して企業を診断することです。コンサルティングビジネスでありながら属人性が低いことが特徴となっています」(前田氏)
© 2019 Akamai | Confidential
エンジニア行動指針
https://medium.com/kaizen-product-team/kaizen-platform-inc-%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E8%A1%8C%E5%8B%95%E6%8C%87%E9%87%9D-6623d7aca4c2
© 2019 Akamai | Confidential
バックグラウンド通信可視化「あがってきたレポートを見ると、思っていた以上にセキュリティ脅威が多いことがわかりました」という。「従来からセキュリティ脅威のレポートは存在していたものの、リモートワーク上での脅威動向、さらに意図せずに悪意あるサイトと通信したケースなど、これまでは可視化できていなかったものもありました。こうした状況が可視化できたことは、導入後のメリットのひとつといえると思います」(前田氏)
時間ごとのDNSクエリ数
地域ごとカテゴリごと
脅威検知状況推移
© 2019 Akamai | Confidential
まとめ
リモートワーク推進のセキュリティ 自宅やカフェ等、フレキシブルに仕事をする
社員のセキュリティをどの様に守るか?
出先から利用するユーザの利用状況をどの様に把握するか?
ETPにより強化
© 2019 Akamai | Confidential
欧州・アジア・日本におけるネットワークの可視化と脅威対策ヒロセ通商株式会社様
© 2019 Akamai | Confidential
ヒロセ通商株式会社様導入製品:ETP&EAA
課題 海外拠点におけるセキュリティ
それぞれインターネット接続を持つ拠点に、統一的で強固なセキュリティが必要
海外における接続性 交通の便が悪く、VPNの保守手配が困難なマレー
シア拠点、リモートアクセスを低コストで実現したい
© 2019 Akamai | Confidential
海外拠点セキュリティ
拠点ごとにインターネットへの出口は異なるが、DNSは共通して使うため容易に導入可能
© 2019 Akamai | Confidential
「Cyber Kill Chain」をDNSで断ち切る
遠隔操作偵察 & 武器化 配送 攻撃 インストール 目的の実行
機密情報の搾取、ボットの拡散など、さまざまなアクションを要求するC&Cコールバックをブロック。
C&Cサーバとの接続を切断し、遠隔操作させません。
機密情報の流出をブロック。
外部への名前解決をブロック。加えて、DNSを偽装した不正データ持ち出し(DNSexfiltration)を防ぎます。
Eメールやウェブページに埋め込まれたフィッシング、マルウェア、ランサムウェアのリンクへのアクセスをブロック。
ユーザデバイスのボットネット化を防ぎます。
DNSは、標的型攻撃にブロックするのに適したプロテクションポイント91%以上のボットネットとC&Cサーバ間の通信にDNSが利用されている
© 2019 Akamai | Confidential
海外における接続性
インターネット
EAAはインターネット上で提供されるクラウドサービス。インターネット接続さえあればどこからでも簡単に接続可能。
本社/データセンター
アプリケーション
出張時も簡単アクセス
どこからでも変わらぬユーザ体験
© 2019 Akamai | Confidential
まとめ
• 海外拠点におけるセキュリティ• それぞれインターネット接続を持つ拠点
に、どう統一的で強固なセキュリティを実装するか?
• 海外における接続性• 交通の便が悪いマレーシア拠点からのリ
モートアクセス EAAにより削減
ETPにより強化
© 2019 Akamai | Confidential
90日フリートライアル30日フリートライアル(脅威状況レポートをご提供)
ゼロトラストの体験をお試し下さいEAA
ETP
※レポート例
© 2019 Akamai | Confidential54
The Internet is the backbone of your digital business
AKAMAI — THE ENTERPRISE-CLASS INTERNET THAT ELEVATES YOUR BUSINESS ABOVE THE UNPREDICTABILITY AND
INSECURITY OF CLOUD-BASED EXPERIENCE DELIVERY