Upload
others
View
13
Download
0
Embed Size (px)
Citation preview
シスコの次世代ファイアウォール(NGFW)と次世代侵入防御システム(NGIPS)で進化を続けるサイバー攻撃に対応できる、先進的なネットワーク セキュリティを-
*1 出典:NSS Labs, 2016. Breach Detection Systems Test Report – Cisco Firepower 8120 with NGIPS v6.0 and Advanced Malware Protection v5.3.2016071117.*2 出典:Cisco Systems, Inc., 2017. Cisco 2017 Midyear Cybersecurity Report. *3 出典:SANS Institute, 2014. Calculating Total Cost of Ownership on Intrusion Prevention Technology.
脅威の検出率 検出までの時間 自動化によるコスト削減
業界の推定値は ~ 100 日テスト環境で実験業界最高水準
7,500 ユーザの組織で最初の 1 年間を試算
100 % *1 ~ 3.5 時間 *2 $ 184 K *3
Cisco Firepower NGFW & NGIPS
ファイアウォール & 侵入防御システムシスコの
次世代 !
Cisco Firepower NGFW & NGIPS 製品が選ばれる理由
❷ 可視化でセキュリティ運用にかかる負荷を軽減
Cisco Firepower NGFW & NGIPS 製品は、集中管理解析サーバである Cisco Firepower Management Center(FMC)と連携することで、ネットワーク環境を
学習して最適な防御体制を整えます。相互連携によって、通信から判断できる情報(プロトコル、アプリケーション、OS 情報など)をデータベース化。このデータベー
スの内容に基いて、IPS シグネチャの自動選択やインシデントの緊急度などに関する識別機能を提供することで、セキュリティ運用にかかる負荷を軽減します。
■ IPS 自動チューニング
Cisco FMC によって、保護対象ネットワークで収集し
たデバイス情報から脆弱性データベースを構築。本
来必要な IPS シグネチャを自動選択することによって、
誤検知率の低下と検知率の向上、およびスループット
の最適化に対応。
■ インパクト解析と侵入痕跡
脅威を発見した際、そのインシデントが保護対象ネッ
トワークに対して本当に影響があるものなのか、影響
はないが注視すべきものなのかなど、影響を重み付
けして緊急度を通知。それぞれのインシデントの相関
関係を導出して、侵入の可能性を警告することも可能。
! ! !
■ 感染デバイスの自動隔離
デバイスの認証情報とアクセス制御を司る Cisco ISE と連携することで、Cisco Firepower NGFW & NGIPS 製品が発見した脅威に基い
て、Cisco ISE がデバイスへ許可しているアクセス制御を動的に変更。感染デバイスを自動的に隔離して、迅速に脅威を封じ込めることが
可能。
❸ Cisco ISE と連携-感染デバイスの自動隔離
万が一、脅威がすり抜けて侵入を許す事態になった場合は、情報漏洩などのリスクが拡大することを阻止するため、感染デバイスをネットワークから隔離するなど
の緊急対応が必要になります。Cisco Firepower NGFW & NGIPS 製品は、SDN コントローラ(認証およびセグメンテーション)である Cisco Identity Services
Engine(ISE)と連携することで、対応時間を最小化することができます。
❶ 巧妙化を続けるサイバー攻撃に対抗できる、高度な防御機能を搭載
Cisco Firepower NGFW & NGIPS 製品は、絶えず巧妙化を続けるサイバー攻撃に対抗するために、IPS(Intrusion Prevention System;侵入防御システム)
や AMP(Advanced Malware Protection;高度なマルウェア防御)に代表される、脅威対策に必要不可欠な防御機能を搭載しています。IPS によって、外部か
ら侵入する脅威をシャットアウト。さらに AMP が、今まさに侵入しようとしているマルウェアだけでなく、侵入してしまったマルウェアに対してもアラートを発すること
で、侵入被害を最小化するとともに新たな侵入を防ぎます(これらの機能はソフトウェア ライセンスによって有効化できます)。
■ IPS
IPS のコア エンジンには、世界で 30 万台以上の利
用実績があり、高い検知率と信頼性で業界標準となっ
ているオープン ソース「Snort」を搭載。脅威の検知
に欠かせない IPS シグネチャの開発にも定評があり、
新しい脅威への迅速な対応が可能。
■ Cisco AMP for ネットワーク & Cisco Threat
Grid サンドボックス
Cisco AMP for ネットワークは、ネットワークを行き
来するファイルを観測、記憶し続けることで、過去に
侵入したマルウェアも含めて、どこから来てどこへ到達
したのか、どんな特性なのかを管理者へ通知する、レ
トロスペクティフ(遡及可能な)セキュリティを提供。
標準で Cisco Threat Grid サンドボックスによるマル
ウェア解析機能も提供。
*1 出典:Cisco Systems, Inc., 2017. Cisco 2017 Midyear Cybersecurity Report.
■ Cisco Talos
IPS や AMP だけでなく、その他にも高度な脅威対策機能を、他社を圧倒する高度な脅威対策の専門家集団であるセキュリティ インテリジェ
ンス & リサーチ グループ「Cisco Talos」によって提供します。Cisco Talos の専門家たちは、毎日、何百万ものマルウェア サンプルやテ
ラ バイト単位のデータを分析し、その成果を Cisco Firepower NGFW & NGIPS 製品に提供しています。シスコでは 2015 年 11 月から
脅威に対する平均 TTD(Time to Detection;検出までの時間)を調査していますが、Cisco Talos の実績として、調査開始当初には 39
時間以上かかっていた平均 TTD を、2016 年 11 月から 2017 年 5 月の期間には約 3.5 時間まで短縮することができました。*1
©2017 Snort, the Snort and Pig logo are registered trademarks of Cisco. All rights reserved.
Cisco Firepower NGFW & NGIPS 製品ラインアップ
次世代ファイアウォール(NGFW)& 次世代侵入防御システム(NGIPS)搭載機能(ライセンス)と配置デザインによって、
NGFW としても NGIPS としてもご利用いただける、豊富なラインアップ
Cisco ASA 5500-X シリーズ *1 Cisco Firepower 2100 シリーズ *2 Cisco Firepower 4100 シリーズ *2 Cisco Firepower 9300*2
ソフトウェア ライセンス(1、3、または 5 年間のサブスクリプション)
●脅威(セキュリティ インテリジェンスおよび Cisco Firepower NGIPS)ライセンス:きわめて効果的な脅威保護と、ユーザ、インフラストラクチャ、アプリケーショ
ン、およびコンテンツに対するフル コンテキスト認識機能を備え、マルチベクトルな脅威も検出し、防御対策を自動化します。
●マルウェア(Cisco AMP)ライセンス:高度なマルウェアに対してインライン ネットワーク保護および Cisco Threat Grid サンドボックスを提供します。
● URL(URL フィルタリング)ライセンス:2.8 億以上のトップレベルのドメインをリスク レベルごとに 82 以上のカテゴリにフィルタリングできます。
ライセンス 製品型番に含まれる文字列 脅威 マルウェア URL脅威ライセンス(Threat) T または TA ● - -マルウェア ライセンス(Malware) AMP - ● -URL ライセンス(URL Filtering) URL - - ●脅威 & マルウェア ライセンス(Threat + Malware) TM または TAM ● ● -脅威 & URL ライセンス(Threat + URL Filtering) TC または TAC ● - ●脅威 & マルウェア & URL ライセンス(Threat + URL Filtering + Malware) TMC または TAMC ● ● ●
集中管理解析サーバFirepower のすべての機能に対応
Cisco FirepowerManagement Center
クラウドベース管理ツールポリシー管理をクラウドで実現
Cisco DefenseOrchestrator
オンボックス管理ツールFirepower を手軽にご利用いただくために-
Cisco FirepowerDevice Manager
Cisco Adaptive SecurityDevice Manager
*1 ASA OS、 ASA OS with Firepower、Firepower Threat Defense イメージをサポート。 *2 ASA OS、 Firepower Threat Defense イメージをサポート。
ネットワークの入口に配置基本機能はトラフィック制御
ネットワークの入口に配置NGFW のトラフィック制御と
NGIPS のトラフィック検査を 1 台で実現
■ 搭載したい機能● アプリケーションの可視化● ユーザの可視化● Web トラフィックの可視化
■ 推奨ライセンス● 脅威● URL
■ 搭載したい機能● アプリケーションの可視化● ユーザの可視化● Web トラフィックの可視化
■ 推奨ライセンス● 脅威● マルウェア● URL
● 脅威の可視化と防御● マルウェア解析と検知● セキュリティ● インテリジェンス
NGFW として配置 UTM(NGFW + NGIPS)として配置
ファイアウォールの裏側に配置基本機能はトラフィック検査
IDS(侵入検知システム)としても配置可能
■ 搭載したい機能● 脅威の可視化と防御● マルウェア解析と検知● セキュリティ インテリジェンス
■ 推奨ライセンス● 脅威● マルウェア
NGIPS として配置
FW NGIPS
インターネット社内
ネットワーク
NGFW
インターネット社内
ネットワーク
UTM(NGFW + NGIPS)
インターネット社内
ネットワーク
搭載機能(ライセンス)と代表的な配置デザイン
パフォーマンス
©2017 Cisco Systems, Inc. All rights reserved.Cisco、Cisco Systems、および Cisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です。本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R)この資料の記載内容は 2017 年 11 月現在のものです。この資料に記載された仕様は予告なく変更する場合があります。
シスコシステムズ合同会社〒107-6227 東京都港区赤坂 9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jp
お問い合わせ先
1424-1711-01A-TO
■ Cisco ASA 5500-X シリーズ
モデル
5506 5506W 5506H 5508 5516 5525 5545 5555
FW + AVC スループット*1 250 Mbps 250 Mbps 250 Mbps 450 Mbps 850 Mbps 1,100 Mbps 1,500 Mbps 1,750 Mbps
FW + AVC + NGIPS スループット*1 125 Mbps 125 Mbps 125 Mbps 250 Mbps 450 Mbps 650 Mbps 1,000 Mbps 1,250 Mbps
■ Cisco Firepower 2100 シリーズ
モデル
2110 2120 2130 2140
FW + AVC スループット*1 2 Gbps 3 Gbps 4.75 Gbps 8.5 Gbps
FW + AVC + NGIPS スループット*1 2 Gbps 3 Gbps 4.75 Gbps 8.5 Gbps
■ Cisco Firepower 4100 シリーズ
モデル
4110 4120 4140 4150
FW + AVC スループット*1 12 Gbps 20 Gbps 25 Gbps 30 Gbps
FW + AVC + NGIPS スループット*1 10 Gbps 15 Gbps 20 Gbps 24 Gbps
■ Cisco Firepower 9300
搭載モジュール
SM-24 x 1 SM-36 x 1 SM-44 x 1 SM-44 x 3 シャーシ
FW + AVC スループット*1 30 Gbps 42 Gbps 54 Gbps 135 Gbps
FW + AVC + NGIPS スループット*1 24 Gbps 34 Gbps 53 Gbps 133 Gbps
Cisco Firepower NGFW & NGIPS 製品仕様比較
FTD イメージ/ライセンスASA イメージ/ライセンス
Firepower NGIPS イメージASA イメージ Firepower Services ライセンス
Cisco ASA 5500-X シリーズ ● ● ● -Cisco ASA 5585 - ● ●*1 -Cisco Firepower 2100/4100/9300 シリーズ ● ● - -Virtual: VMware ● ● - ●Virtual: KVM ● ● - -Virtual: AWS/Azure ● ● - -
ソフトウェア イメージ /ライセンス対応表Cisco Firepower NGFW & NGIPS では、最新の Cisco FTD(Firepower Threat Defense)イメージや従来の Cisco ASA(Adaptive Security Appliance)イメー
ジなど、製品シリーズ /モデルによって複数のソフトウェア イメージ /ライセンスをサポートします。
*1 Cisco ASA 5585-X 用 Firepower セキュリティ サービス プロセッサは販売終了。
*1 FTD イメージのパフォーマンス指標。
*1 FTD イメージのパフォーマンス指標。
*1 FTD イメージのパフォーマンス指標。
*1 FTD イメージのパフォーマンス指標。
ネットワーク モジュールについてCisco Firepower 2100/4100/9300 シ
リーズの一部のネットワーク モジュール
では、ハードウェア バイパス機能(Fail-
to-Wire;FTW)を提供します(Cisco
Firepower 2100 シリーズは近日対応予
定)。ソフトウェアが介入することなくハー
ドウェアによってパケットを転送できるた
め、NGIPS として配置する場合には特
に重要な機能です。