Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
@H29 Hyogo Prefecture Government.
兵庫県情報セキュリティクラウドと県システムの強靭性向上対策
兵庫県情報セキュリティクラウドと県システムの強靭性向上対策
平成29年3月24日
兵庫県電子自治体推進協議会
第4回電子自治体推進セミナー
兵庫県情報企画課システム管理室 津川誠司
@H29 Hyogo Prefecture Government. 2
目次
1.兵庫県セキュリティクラウド
(1)総務省の自治体情報強靭性向上モデル
(2)兵庫県セキュリティクラウドの全体構成図
(3)安定運用と災害時の事業継続性の確保
(4)コスト削減と安定運用の確保
(5)対策概要
(6)標的型攻撃対策の徹底
(7)安全なメール受配信システム
(8)市町向け基本サービス
(9)統合ログ解析
2.兵庫県システムの強靭性向上対策
(1)兵庫県システムのネットワーク分離構成
(2)仮想デスクトップの導入
(3)ファイル無害化
(4) Web閲覧の制御
3.全体スケジュール
@H29 Hyogo Prefecture Government. 3
1.兵庫県情報セキュリティクラウド1.兵庫県情報セキュリティクラウド
@H29 Hyogo Prefecture Government. 4
1.(1)総務省の自治体情報強靭性向上モデル
個人番号利用事務系
住基ネット LGWAN網
税既存住基
社会保障
団体宛名統合
人事給与
庶務事務
文書管理
財務会計
LGWANメール掲示板等
国等
LGWAN接続系
高度なセキュリティ対策
IPS/IDS
ふるまい検知等
メールサーバ
Webサーバ
プロキシサーバ
情報収集
インターネットメール
ホームページ作成
インターネット接続系
自治体情報システム強靭性向上モデル(県と市町)
●高度なセキュリティ対策
●端末からの情報持ち出し不可設定
●強力なアクセス制御(二要素認証)
抜本的な対策として、自治体システムの強靭性の向上及び情報セキュリティクラウドの共同利用を推進
●ファイル/メール無害化
個人番号利用事務系
LGWAN接続系
インターネット接続系
自治体情報セキュリティクラウド
各市町
個人番号利用事務系
LGWAN接続系
インターネット接続系
情報ハイウェイ
@H29 Hyogo Prefecture Government. 5
1.(2) 兵庫県情報クラウドの全体構成図
@H29 Hyogo Prefecture Government. 6
県プロキシ(URLフィルタ)
Internet
メール用サンドボックス
市町スパムメール対策
代表MTA
市町プロキシ(URLフィルタ)
IIJ大阪データセンタIIJ大阪データセンタ
兵庫県庁兵庫県庁
県プロキシ(URLフィルタ)
県スパムメール対策
代表MTA
各市町
データセンタの分散
ISPの分散
通信ルートの分散
兵庫情報ハイウェイ
市町Web用サンドボックス
県Web用サンドボックス
メール用サンドボックス
市町プロキシ(URLフィルタ)
県スパムメール対策
市町スパムメール対策
代表MTA
通信ルートの分散
NTT神戸データセンタNTT神戸データセンタISPの分散
機器の冗長/分散
複数のデータセンタに主要機器を分散配置し、安定したサービスの提供と災害時の事業継続性を確保
1.(3) 安定運用と災害時の事業継続性の確保
負荷分散装置(Netwiser)
@H29 Hyogo Prefecture Government. 7
標準化された機器構成と検証実績により高品質なシステムを短期間で導入可能
効率的なリソース活用とライセンス費用等の低減を実現
高速で安定したネットワーク環境を低コストで提供可能
1.(4)コスト削減と安定運用の確保
物理サーバUCS-B/CUCS Manager
統合ネットワークNexus
NetApp統合ストレージFASシリーズ
FlexPod
FlexPodの導入
KVM、オープンソースの採用
兵庫情報ハイウェイの利用西脇
明石 神戸
西神戸
洲本
西宮 尼崎
三田
篠山
社
三木
浜坂
村岡
八鹿
和田山
柏原
龍野
加古川
山崎佐用
姫路
福崎
豊岡
上郡
伊丹
宝塚
支線化
基幹網
支線網
アクセスポイント
西脇
明石 神戸
西神戸
洲本
西宮 尼崎
三田
篠山
社
三木
浜坂
村岡
八鹿
和田山
柏原
龍野
加古川
山崎佐用
姫路
福崎
豊岡
上郡
伊丹
宝塚
支線化
西脇
明石 神戸西神戸
洲本
西宮 尼崎
三田
篠山
社
三木
浜坂
村岡
八鹿
和田山
柏原
龍野
加古川
山崎佐用
姫路福崎
豊岡
上郡
伊丹宝塚
基幹網
支線網
アクセスポイント
兵庫情報ハイウェイ
@H29 Hyogo Prefecture Government. 8
総務省から提示された、実施すべき内容を踏まえた対策の実施
■インターネット接続(メール、Web)の集約/入口・出口対策(1)FW(IDS/IPS)(2)サンドボックス(メール、Web)(3)ウイルスチェック、スパムメール対策(4)プロキシ(URLフィルタリング)(5)ログ分析システム
多層防御による高度セキ
リテ
対策の実現
■高度監視運用(ログ分析)①メール(ウイルスチェック、スパムメール対策、MTA)②プロキシ(URLフィルタリング)③FW(IDS/IPS)④サンドボックス(メール、Web)
サーバ、FW、セキュリティ機器の監視・ログ分析
専門アナリスト・SIEMによる高度セキュリティ監視
インターネットの入口・出口の基本的な対策
不要なWEBサイト閲覧への対策
未知のマルウェア・脆弱性攻撃等を検知・防御既知マルウェア対策、不要なメールを遮断
1.(5) 対策概要 ①インターネット接続の集約、高度監視運用等
@H29 Hyogo Prefecture Government. 9
通信区分 セキュリティ対策項目実 施 内 容
県 市 町
メール受信(SMTP)
ウイルスチェック・代表MTA(IMSVA: InterScan Messaging Security Virtual Appliance)
・代表MTA(IMSVA: InterScan Messaging Security Virtual Appliance)
スパムメール対策
・代表MTA(IMSVA: InterScan Messaging Security Virtual Appliance)・スパムメール対策装置(MatrixScan APEXⅢ)
■ユーザ権限運用県職員によるポリシー運用(AD連携)
・代表MTA(IMSVA: InterScan Messaging Security Virtual Appliance)・スパムメール対策装置(MatrixScan APEXⅢ)
■管理者権限運用(基本)市町管理者によるポリシー運用(AD連
携)
HTMLメール振舞検知添付ファイル振舞検知
メール用サンドボックス(FierEye-EX5400)
メール用サンドボックス(FierEye-EX5400)
Web閲覧(HTTP/S)
DLファイル振舞検知Web用サンドボックス(FierEye-NX7400)
Web用サンドボックス(FortiSandbox 3000D)+FortiGate UTM フルバンドル版
URLフィルタリングSSLコンテンツフィルタリング
県Proxy (i-filter)市町配布設備■管理者権限運用Local-Proxy (i-filter) 導入運用
Web公開(HTTP/S)
Webコンテンツ改竄検知 Web改ざん検知 Web改ざん検知
1.(5) 対策概要 ②実施項目
@H29 Hyogo Prefecture Government. 10
兵庫情報ハイウェイ
1.(6) 標的型攻撃対策の徹底 ①Web閲覧対策(プロキシ等)
市町Proxy負荷分散装置で安定した通信を提供し、市町ProxyサーバとUTMにより強固なセキュリティ環境を実現
市町Proxy負荷分散装置Netwiser
Internet
ISP-2 ISP-5
IIJ大阪データセンタIIJ大阪データセンタ
各ISPへ負荷分散
市町Proxyサーバ(URLフィルタ)
i-Filter
市町UTM(ウイルス対策)
FortiGate
各市町
SandBox連携
ISP-6 ISP-4 ISP-3
NTT神戸データセンタNTT神戸データセンタ
市町サンドボックスFortiSandbox
@H29 Hyogo Prefecture Government. 11
(1) FortiGate(+UTM)によるNW検査
■既知のウイルスを検知
アラート画面を表示しダウンロードを
停止する。
(2)FortiSandboxによるファイル検査
■未知のウイルスを検出
»FortiGateで不審なコンテンツを発見すると、 FortiSandboxへコピーを送信
»FortiSandboxでウイルスと判定した場合、各管理者へアラートを配信
»1つのFortiSandboxで、複数の市町のFortiGateと連携が可能
FortiGate
FortiSandbox
FortiGateFortiGate
市町A 市町C市町B
FortiManager
インターネット
不審コンテンツ 緊急シグネチャ 通常シグネチャ
情報ハイウェイ
1.(6) 標的型攻撃対策の徹底 ②UTMとサンドボックスによる検査
FortiGate(+UTM)とFortiSandboxにより不審コンテンツを検疫
@H29 Hyogo Prefecture Government. 12
メール中継 SandBox
代表MTA
IMSVA
マルウェア・スパム対策
Matrixscan
メール中継MTA
FW、IPSによるNWセキュリティ対策
・ウイルス対策・簡易Email Reputation・第三者不正中継対策・セキュリティ制限・ドメイン名の書き換え(@pref.hyogo.jp→ @pref.hyogo.lg.jp
・個別ホワイトリスト(市町毎に設定)
・スパムメール対策
・振る舞い検知(FierEye-EX5400)
・県、市町とのメール中継サービス
Internet
メールチェック用Sandbox
兵庫県庁兵庫県庁
1.(6) 標的型攻撃対策の徹底 ③メール対策
@H29 Hyogo Prefecture Government. 13
・各データセンタへの主要機器の分散配置及び複数メールルートの確保により、安定したメールサービスを提供・市町の規模により2つにグループ化し負荷分散
県
市町
NTT神戸データセンタNTT神戸データセンタ兵庫県庁兵庫県庁
メール中継MTA
メール中継MTA
スパムメール対策(県)
Matrixscan
スパムメール対策(県,市町)
Matrixscan
メール中継 SandBox メール中継 SandBox
代表MTAIMSVA
代表MTAIMSVA
IIJ大阪データセンタIIJ大阪データセンタ
メール中継MTA
スパムメール対策(市町)
Matrixscan
代表MTA
IMSVA
1.(7) 安全なメール受配信システム
@H29 Hyogo Prefecture Government. 14
Internet
兵庫情報ハイウェイ
市町ごとにUTM、サーバ等の機器を設置することで個別ポリシーの設定を可能
1.(8) 市町向け基本サービス ①接続構成
LGWANセグメント
内部メールBOX
公開WebCMSサーバ
公開Web その他公開サーバ
公開DMZセグメント
市町UTM
ProxyWSUSVirusPtn
Log
市町仮想サーバ
市町配布設備
内部管理セグメント
URLフィルタ
③ ④
⑤ ⑥
兵庫県情報セキュリティクラウド兵庫県情報セキュリティクラウド
③
@H29 Hyogo Prefecture Government. 15
区 分 機 能 概要 提供条件カスタマイズ
対応項目
市町管理者
インタフェース
基
本
サ
ー
ビ
ス
DNS系 ネームサーバ機能管理ゾーン情報の維持管理機能を提供
■対象ドメイン.LG.JPドメインHYOGO.JPドメイン
電子メール系
MTA機能インターネットとの電子メールの送受信機能と簡易スパム対策機能提供
■対象メールドメインLG.JP HYOGO.JP等
※学校系のサブドメインは対象外
・添付ファイル最大サイズ
スパムメール対策電子メールドメイン毎にスパムメール対策機能を提供
有
サンドボックス機能添付ファイルのサンドボックス検査機能を提供
Proxy系
Proxy機能http/s‐Proxy機能を提供 i‐Filter ver9必須 有
サンドボックス機能 ダウンロードファイルのサンドボックス検査機能を提供
Log系ロギング機能
MTA,Proxyアクセスログ蓄積機能を提供
有分析用LGWAN-FWログ一時保存機能
■基本サービス ※MTA、Proxy、ログ機能は、市町の他、県側にも用意
1.(8) 市町向け基本サービス ③基本サービス内容(1/2)
@H29 Hyogo Prefecture Government. 16
提供サービス サーバ実装形態 提供条件市町管理者
インタフェース
Webホスティング クラウド共有Webサーバ Webサーバ機能の提供対応コンテンチは静的HTMLファイルのみ
sshsftp
公開サーバセグメント
市町資産(オンプレミス)・広報Web・図書館ライブラリ・施設予約
・議会中継 等
割当のグローバルセグメントにサーバを接続して利用FWにて必要通信セッションのみ許可
(FW運用はセキュリティクラウド側で対応)
オンプレミス実装による
■公開サーバ環境
サービス 機能 概要 提供条件
LGWAN接続系セキュrティアップデート・サーバ
WSUS配信 Microsoft社が提供する更新プログラム適用機能
Microsoft Updateサーバよりダウンロードした更新プログラムをWSUSサーバ内に保管、配布
インターネット接続環境・LGWAN接続環境
VirusPTN配信Symantec社、Trend Micro社のVirus更新パターンファイルを適用する機能
Symantec社、Trend Microよりダウンロードしたパターンファイルをサーバ内に保管、配布
インターネット接続環境・LGWAN接続環境
■LGWAN接続系セキュリティアップデート・サーバ
1.(8) 市町向け基本サービス ④基本サービス内容(2/2)
@H29 Hyogo Prefecture Government. 17
兵庫情報ハイウェイ
市町Proxy
市町Proxy
市町Proxyサーバ
WSUS(データ収集用)
WSUS(データ配信用)
1G ベストエフォート
インターネット接続系サーバ
LGWAN接続系 サーバ
CIFSストレージ
セキュリティクラウド網 LGWAN接続系網
UTM
インターネット
セキュリティクラウド(センター側)
市町配布設備
市町配布サーバ
①
② ③
④
① WSUS(データ収集用)から、市町Proxyを経由し、マイクロソフト社からデータを収集
② 運用管理者がWSUS(データ収集用)から更新プログラムをエクスポートし、CIFSストレージに格納
③ 運用管理者がWSUS(データ配信用)から、 CIFSストレージに格納されているデータファイルをインポート
④ WSUS (データ配信用)が、市町LGWAN接続系の端末へ、配信
<実現方法><実現方法>
LGWANへのセキュリティパッチ配信は、LGWAN接続系とインターネット接続系を分離して情報を管理分離されたWSUSサーバ間で情報を受け渡す方法として、中間サーバ(CIFSストレージ)を設置します。
インポート時は②のNICを切断し③のNICに接続↓
媒体渡しの欠点(媒体の紛失、手作業)を改善
1.(8) 市町向け基本サービス ⑤WSUS配信
@H29 Hyogo Prefecture Government. 18
LGWANへのVirus更新パターンファイルは、市町様の運用性を考慮して、県側にシマンテック用(Live updateadministrator)サーバ、 トレンドマイクロ用(Trend Micro Control Maneger)サーバを設置して市町設置Virus配信サーバ(Sep Maneger ・Corp サーバ)へ配信します。
1.(8) 市町向け基本サービス ⑥ウイルスパターン更新
兵庫情報ハイウェイ
市町Proxy
市町Proxy
市町Proxyサーバ
WSUS(データ収集用)
WSUS(データ配信用)
インターネット接続系 LGWAN接続系・Sep Maneger・CORPサーバ
中間サーバ
セキュリティクラウド網 LGWAN接続系網
UTM
インターネット
セキュリティクラウド(センター側)
市町配布設備
市町配布サーバ
・SEP Live update administrator・Trend Micro Control Maneger
・Sep Maneger・CORPサーバ
①
② ③
① インターネット上からパターンファイルを自動ダウンロード
②インターネット接続系:市町設置 配信サーバへ自動配信
③LG-WAN接続系:市町設置 配信サーバへ自動配信
<実現方法><実現方法>
@H29 Hyogo Prefecture Government. 19
市町管理者
1.(9) 統合ログ解析 ①SIEMの導入
兵庫県情報セキュリティクラウド網のサーバーやファイアウォールのログをSIEMで統合管理デバイス間の跨いだ時系列分析を行い、高度標的型攻撃の早期発見
セキュリティクラウド 各市町
外部F/W SC接続F/WIDS/IPS IDS/IPS
SandBoxProxy
ログ収集サーバ
ログ ログ
ウィルス・スパム対策
相関分析
SIEM
NTT高度SOCTier2アナリスト
分析結果報告(1時間以内)
アラート通知高度分析
エスカレーション
リアルタイム監視
Tier1アナリスト
AD
アラート通知(初報)
@H29 Hyogo Prefecture Government. 20
各機器ごとでは認識できない攻撃でも、横断的な視点により攻撃と判断できる検知が可能①複数のデバイスの組み合わせ ②単一のデバイス内の複数のイベントキーの組み合わせからインシデントを分析
攻撃の段階 偵察 武器化 デリバリ エクスプロイト インストール C&C 目的の実行
概要 対象組織の情報を取得
マルウェア等を作成
なりすましメールを送付
マルウェアを実行させる
マルウェアに感染する
C&Cサーバと通知させ遠隔操作等
探し出した内部情報を持ち出す
ファイアウォール BLOCK BLOCK
IPS BLOCK
メールサンドボックス BLOCK
メールサーバ BLOCK
Webサンドボックス 条件①11:53攻撃検知
Webプロキシ 条件②11:54不審通信
12:10不審通信12:15不審通信
AD、OS
相関分析① - 対応 対応 対応 -
相関分析② 対応 対応 対応 対応 対応
高度標的型攻撃の検知例
①縦串にイベントを紐づけ、攻撃成功の可能性が高いと判断されたものをSIEMで警報
②横串にイベントを紐づけ、攻撃成功の可能性が高いと判断されたものをSIEMで警報
1.(9) 統合ログ解析 ②SIEMによる相関分析
@H29 Hyogo Prefecture Government. 21
兵庫県における攻撃防御・検知装置例と相関ルール
ロッキード・マーティン社が提唱した、サイバーキルチェーンモデル(段階的に進行するサイバー攻撃モデル)に基づき、攻撃の段階にあわせて対策装置を導入。検知ログから統合ログ解析にて早期発見ができるよう、以下の相関分析ルール(一部)で監視
FireEyeEX、FortiSandbox、IMSVAなどマルウェアが添付され、危険度が高いと判定されたが転送されたメールイベント
FireEyeNX、FortiSandbox、FortiGate、i-FILTERセキュリティ装置を通過した脆弱性を突いた攻撃の捕捉(攻撃と推測される通信があるが、影響があるかは要調査)
FireEyeNX、FortiSandbox、i-FILTERマルウェア感染により、追加のマルウェアダウンロード
FortiGate、FireEyeNX、FortiSandbox、i-FILTER、AD不審な接続先への定期的なアクセス
i-FILTER(不審なアドレスへ、)大きなサイズのファイルアップロード
統合ログ解析で早期発見する攻撃の段階
出典:一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC.「高度サイバー攻撃への対処におけるログの活用と分析方法」1.1版
1.(9) 統合ログ解析 ③相関分析ルール
@H29 Hyogo Prefecture Government. 22
サイバーキルチェーンモデル、年金機構事例等のセキュリティインシデントの教訓、SIEMに集約されるログ内容等から監視強化するにあたっての外部脅威に対するイベントの確認ポイントを示す。
分類 イベントの確認ポイント 防御・検知装置
1 メールサーバFrom フィールドの表示名偽装を手掛り IMSVA
実行ファイルが添付されたメールを手掛りFireEye EXFortiSandbox
2 Firewall 組織内から組織外への拒否通信を手掛り 各種Firewall
異なるセグメントに収容された PC 間の不正な通信を手掛り (Firewall)
3 Web プロキシサーバ
不審な送信先への通信を抽出 i-FILTER、各種Firewall
CONNECT メソッドで 80、443 以外ポートへの通信を抽出
i-FILTER標準利用以外の User Agent によるアクセスを抽出
定期的に発生する HTTP 通信を抽出
業務時間外に発生する HTTP 通信を抽出
大量の HTTP 通信を抽出するログ分析
4 認証サーバ
管理者が通常使用するIPアドレスと異なるIPアドレスからの管理者権限要求県AD
通常の運用では発生しない特殊な操作要求
出典:一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC.「高度サイバー攻撃への対処におけるログの活用と分析方法」1.1版
1.(9) 統合ログ解析 ④外部脅威に対するイベントの確認ポイント
@H29 Hyogo Prefecture Government. 23
分類 イベントの確認ポイント 検知装置
1 メールサーバ
フリーアドレス(gmail.com/yahoo.co.jp/など)や、プライベートアドレスへのメール転送
IMSVA
明らかに業務利用されないメールアドレスへの転送
2 Web プロキシサーバ
業務時間における違反カテゴリへのアクセス(ギャンブル、掲示板、アダルトなど)
i-FILTERオンラインストレージなど、外部サーバへのデータアップロード
ポリシ違反に該当するアプリケーション利用
重要情報の漏えいは外部の脅威だけでなく、セキュリティポリシに違反した内部のユーザによっても発生する。SIEMの内部脅威に対するイベントの確認ポイント(一部)を示す。
1.(9) 統合ログ解析 ⑤内部脅威に対するイベントの確認ポイント
@H29 Hyogo Prefecture Government. 24
Feb 03 15:47:28allow
Feb 05 10:10:11 callback detect
Feb 01 12:20:08detect
Feb 04 13:24:11allow
ユーザーAマルウェアコールバック通信
情報漏えいの疑い!?
ユーザーA送信元偽装メール受信
ユーザーA不審なURL(ブラックリスト)との通信
ユーザーA30MBのデータアップロード
アナリスト調査
ログ収集/蓄積
Proxy
追跡調査例:C&Cサーバへのコールバック通信が発生
SIEMエンジン
端末ログ調査
プロキシログ調査
Sandbox
ウィルス対策
同一ユーザー(端末)による一連の不審な活動
SIEMエンジン(RSA Security Analytics)を活用し、膨大なログからデータを絞込み(ドリルダウン)追跡調査迅速に追跡調査を行うことでインシデントを早期発見・対処
PC
ユーザーA(端末)根本原因のファイル
Feb 01 12:20:10 メール受信ログ調査
ユーザー(端末)による各種ログの串刺し分析
1.(9) 統合ログ解析 ⑥追跡調査事例
@H29 Hyogo Prefecture Government. 25
SIEMに統合されたイベントに加え、様々な情報を組み合わせて新たな情報を導出する分析を行うイベント内容のみでは得られないインシデント管理に必要となる情報を発見・提供
不正URL不正IPアドレス情報
メール情報メールヘッダ情報メールタイトル
添付ファイル名/形式添付ファイルハッシュ値メール内容[抜粋])
マルウェアハッシュ値(ファイルハッシュ値)
MD5、SHA1ハッシュ値
マルウェア本体(ファイル本体)
外部情報マルウェア情報、
攻撃キャンペーン情報、不正URL/不正IP脅威情報
SOC情報SOCオペレータ分析結果アンチウイルスアラート
FWアラート各種イベントアラート
添付ファイル名やメールタイトルが利用される攻撃キャンペーン情報を過去・現在進行形の攻撃で同様の攻撃(手口)がないか調査
アンチウイルスアラートやFWアラート、SOCオペレータの分析結果を他の分析と突合し、分析結果を高める
外部サイトから得られる断片的な脅威情報を他の分析結果と突合することで情報を高める
マルチモーダル分析
関連する攻撃キャンペーンやマルウェア情報を調査・分析
マルウェアハッシュ値から公開されているマルウェア情報等を調査し、どのようなマルウェアであるか分析
SOCの解析環境を用いて動的解析
1.(9) 統合ログ解析 ⑦マルチモーダル分析
@H29 Hyogo Prefecture Government. 26
• 月次レポートで通知 • メールで通知件名 :【8】端末所属市町セキュリティアラート通知[#【1】アラート識別番号#]----------------------------------------------------------兵庫県CSIRT様
お世話になっております。*セキュリティオペレーションセンターです。
SIEMにてアラートを検知致しましたのでご報告いたします。=================================■イベント情報1.イベント名【2】相関ルールID
2.アラート時刻【4】検知日時
3.インシデント内容【5】インシデント内容
4.接続先情報接続先URL:【6】接続先URL※http→hxxpに置換しております。※FQDNの.を●に置換しております。
■対象情報対象市町:【8】端末所属市町IPアドレス:【7】端末IP
◆分析結果1.初動対応案【9】初動対応案=================================
• メールと電話で通知件名 :【8】端末所属市町セキュリティアラート通知[#【1】アラート識別番号#]----------------------------------------------------------兵庫県CSIRT様
お世話になっております。*セキュリティオペレーションセンターです。
SIEMにてアラートを検知致しましたのでご報告いたします。=================================■イベント情報1.イベント名【2】相関ルールID
2.アラート時刻【4】検知日時
3.インシデント内容【5】インシデント内容
4.接続先情報接続先URL:【6】接続先URL※http→hxxpに置換しております。※FQDNの.を●に置換しております。
■対象情報対象市町:【8】端末所属市町IPアドレス:【7】端末IP
◆分析結果1.初動対応案【9】初動対応案=================================
Critical(重要)Information(警告)Warning(情報)
情報セキュリティインシデントのレベルによる的確な初動対応を実現
Emergency(緊急)
• 重大かつ情報漏えい確定のインシデント
• 明らかに攻撃が成功しており、端末からの異常な通信、Webサイトの改ざん等が確認された場合
• 放置すれば情報漏えいの可能性があるインシデント
• 攻撃が成功した可能性が非常に高い(定期的な不審な通信)、あるいはパケット解析を要する
定義
インシデントのレベル
• 安全と判断される情報セキュリティイベント
• 実害を狙ったが、攻撃の失敗(端末にて対策済みも含む)が確認できる場合
通知方法
1.(9) 統合ログ解析 ⑧インシデントレベルに応じた対応
@H29 Hyogo Prefecture Government. 27
2.兵庫県システムの強靱性向上対策2.兵庫県システムの強靱性向上対策
@H29 Hyogo Prefecture Government. 28
2. (1)兵庫県システムのネットワーク分離構成
共通PC
個人番号利用事務系 インターネット接続系LGWAN接続系
仮想端末用サーバ(XenDesktop)
仮想端末用サーバ(XenApp)
仮想端末用サーバ(XRDP)
ADサーバ等
仮想端末認証PassLogic
仮想デスクトップ(VDI)
Windows Server SBC
Linux XRDP
ストレージ(NetApp)
AD認証
税 福祉 ・・・
ADサーバ等ADサーバ等
ストレージ(NetApp)
AD認証
専用端末等
AD認証
物理端末認証RSA SecurID
SBC/XRDP接続VDI接続
兵庫県情報セキュリティクラ
ウド
インターネット
RSA認証
ファイルサーバ
ファイル無害化Votiro FlowServer
ファイルサーバ
ファイル無害化Votiro Update
ファイル無害化Votiro SDS
RSAサーバ
@H29 Hyogo Prefecture Government. 29
2. (2)仮想デスクトップの導入 ①用途に応じて複数種類を導入
個人番号利用事務 → VDIインターネット利用 → SBCとXRDP(分離の負荷分散、バックアップ機能を実現するため)
職員A(共通PC利用) 仮想デスクトップ環境
インターネット
インターネット接続系LGWAN接続系
FW
兵庫県セキュリティクラウド
仮想デスクトップの比較
比較項目 VDI SBC XRDP
サーバ台数 UCS(ブレード) 12+1台 UCS(ブレード) 25+1台 Dell PowerEdge 10台
CPU性能 2.3MHz(18Core×2) 2.3MHz(18Core×2) 2.3MHz(18Core×2)
搭載メモリ 448GB 256GB 256GB
ローカルディスク/プロファイル容量300G(SAS)×2 300G(SAS)×2
800G(SSD)×4(Raid5)/7500GB /9000GB
想定ユーザー数 1,500人 6,000人 2,000人
仮想化ソフトウェア Citrix XenDesktop Citrix XenApp XRDP、Docker 1.12.1
仮想マシンのOS Windows 2012R2 CentOS 7.2
仮想マシンのアプリオフィス Microsoft Office Libre Office 4.3.7.2
ブラウザ Internet Explorer Firefox 45.5.1
@H29 Hyogo Prefecture Government. 30
共通PC
仮想端末用サーバ(XenDesktop)
PassLogic認証サーバ
ロードバランサ①AD及びICカードで認証
LGWAN接続系ドメインコントローラ
③ADによるユーザ(PW)認証
②ワンタイムパスワード認証
④仮想端末にログイン
ワンタイムパスワード画面イメージ
PassLogicGWサーバ
個人番号利用事務系 LGWAN接続系
個人番号利用事務系ドメインコントローラ
ユーザ情報連携
二要素認証
共通PCから個人番号利用事務系のシステムを起動する際には、VDI にログインする必要ありPassLogicを利用したワンタイムパスワード認証とADのユーザ認証を行うことで二要素認証を実現
2. (2)仮想デスクトップの導入 ②VDIの利用(共通PCから)
@H29 Hyogo Prefecture Government. 31
SecurID認証サーバ
専用端末
①IDとトークンコードを入力
個人番号利用事務系ドメインコントローラ
③入札されたトークンコードと、サーバ側で計算したトークンコードを比較して判定
②ADでユーザIDを参照
専用端末を利用する職員にトークンを配布
SecurID
個人番号利用事務系
所属導入の専用端末から個人番号利用事務系のシステムを起動する際には、RSA SecurIDを利用したワンタイムパスワード認証とADのユーザ認証を行うことで二要素認証を実現
(2) ADによるユーザ・PW認証
(1) ワンタイムパスワード認証
二要素認証
2. (2)仮想デスクトップの導入 ③VDIの利用(専用端末から)
@H29 Hyogo Prefecture Government. 32
共通PCから直接インターネットの閲覧の禁止 → インターネット接続環境を経由して閲覧
※庁内システム(総務事務、文書管理、財務会計、人事給与、CMS等)は、これまでどおり職員のPCのデスクトップからブラウザ経由で利用
2. (2)仮想デスクトップの導入 ④SBCの利用(共通PCから)
ADと連携し、シングルサインオン
@H29 Hyogo Prefecture Government. 33
XRDPは、仮想基盤からアプリケーションまですべてOSSで構築し(低コストで安定したシステム)機能、操作性において可能な限りユーザーの馴染みがあるWindowsに似せるようカスタマイズ
アプリケーションをアイコンで配置
スタートメニューを画面左下に表示
XRDPの機能一覧XRDPのデスクトップ
機能 備考
WEB閲覧 動画、音声も対応
WEBメールの利用 受信専用
Microsoft Office相当 のアプリケーショ
Microsoft Officeと互換性あり
ファイル圧縮・解凍 Zip対応
印刷 共通プリンタに出力可
無害化ソフト Votiroを利用
ADと連携し、シングルサインオンを実現
Votiroによる無害化
2. (2)仮想デスクトップの導入 ⑤XRDPの利用
Dockerコンテナを利用した冗長構成
@H29 Hyogo Prefecture Government. 34
障害時の補完普段はSBCを利用し、障害時にはXRDPに切り替えることで事務が停止しない
2. (2)仮想デスクトップの導入 ⑥SBCとXRDPの運用状況
@H29 Hyogo Prefecture Government. 35
職員A(共通PC利用)
LGWAN接続系
ファイルサーバ
SBC
インターネット接続系
ファイルサーバ
インターネット
Votiro SDSStation
Votiro FlowServer
Votiro UpdateServer
Web
②
③
⑤
④
Votiro-INVotiro-OUT
個人フォルダ
File File File ・・・
A CB
個人フォルダ 個人フォルダ
File ・・・
A CB
個人フォルダ
File File
インターネット接続系LGWAN接続系
FW
無害化済ファイル
無害化処理
無害化前ファイル
兵庫県情報セキュリティクラウド
インターネットからダウンロードしたファイル及びメールの添付ファイルをIN用の個人フォルダに保存SDS Stationで無害化した後で、OUT用の個人フォルダに保存ウイルス感染などのリスクを未然に防止
2. (3) ファイル無害化 ①Votiro SDSの導入
@H29 Hyogo Prefecture Government. 36
SBCとVotiroによる取り込み手順 → 処理状況が分かるように取り込み用のアプリを作成
2. (3)ファイル無害化 ②Votiro SDSへの取込み手順
@H29 Hyogo Prefecture Government. 37
インターネット受信メールの添付ファイルは直接確認を禁止 → SBC、XRDPを経由してWebmailで確認
2. (3)ファイル無害化 ③インターネットメールの添付ファイルの確認
Webmail (OSSのSquirrelMailを改造)
@H29 Hyogo Prefecture Government. 38
2. (3)ファイル無害化 ④Votiro SDSの利用状況
利用人数は1200人程度(全体の1割)→利用者数の低減による負荷分散インターネットメールの添付ファイルをSBCの中のみでチェックする傾向インターネットからのダウンロードも多くない(特定プロキシの効果もあり)
強靱化に一定の効果があったが、処理時間に問題がある。
1200人程度の利用に抑制MTAで利用した場合は全員が対象
遅延事例も多発→利用者の不満
日付 利用職員数 処理件数
計 0~3分 ~5分 ~10分 10分以上
3月2日 1,309 5,068 4,378 433 248 9
3月3日 1,066 4,090 3,475 299 94 222
3月6日 1,307 5,265 4,683 372 210 0
3月7日 1,393 5,712 5,147 253 195 117
3月8日 1,269 5,095 4,283 241 213 358
3月9日 1,322 4,801 4,728 66 6 1
3月10日 1,252 4,847 4,516 289 41 1
3月13日 1,267 6,242 4,601 587 498 556
3月14日 1,331 5,245 5,131 111 2 1
3月15日 1,261 5,711 5,121 420 96 74
3月16日 1,180 4,019 3,734 146 108 31
3月17日 1,113 4,219 4,128 89 0 2
@H29 Hyogo Prefecture Government. 39
2. (3)ファイル無害化 ⑤Votiro SDSの問題点
運用上で次の問題点が判明平均処理時間は3分程度とやや遅い。無害化の途中でハングした場合、後続のファイルの無害化も停止する → 1時間以上の停止が複数件発生
件数時間
製品スペック及びサイジング上の問題点が発覚→改善を検討
@H29 Hyogo Prefecture Government. 40
2. (3)ファイル無害化 ⑥Votiro SDSの改善検討
案1、2 1つのフォルダを複数のSDSソフトで無害化(2は開始ファイルをずらす)案3、4 複数のフォルダを複数のSDSソフトで個々に無害化 (4は1台のみ共有)
SDS1 SDS2 SDS3 SDS4
・・・
構成案1、2 【 フォルダ構成数「1」 】
SDS1 SDS2
・・・
・・・
SDS3 SDS4
・・・
・・・
構成案3、4 【 フォルダ構成数「4」 】
※SDS1のみ4Core※SDS1のみ4Core
長所:1台でも正常であれば運転可能短所:毎回同じフォルダから処理開始されるため後尾のフォルダが遅くなる。
長所:各SDSの受持数が少ないため、処理が速い。短所:1台故障すれば25%の職員が影響を受ける。
→ 案2は開始ファイルをずらす → 案4は一台のみ共有
@H29 Hyogo Prefecture Government. 41
SDS1
SDS2
・・・
・・・
SDS3
SDS4
・・・
・・・
案3 【SDSごとに担当フォルダを分割】
SDS1 SDS2 SDS3 SDS4
・・・
案1 【SDSごとに開始フォルダをずらしスキャン】 案4 【SDSごとに担当フォルダを分割し、1台のみ共有】
SDS1 SDS2 SDS3 SDS4
・・・
案2 【全てのSDSが同じ開始フォルダからスキャン】
SDS1
SDS2
・・・
・・・
SDS3 SDS4
・・・
2. (3)ファイル無害化 ⑦Votiro SDSの実証実験と改善方針の決定
処理ファイル数:300ファイル/分を15分間→75ファイル/分を105分間稼働で実験 ‒はロック数結果、案1を採用して改善予定 (H29年3月中)
案3、4は最大処理時間が長い。
案1は案2より最大処理時間が短い。
案1が理論的に最速
0:00:00
0:12:00
0:24:00
0:36:00
0:48:00
1:00:00
1:12:00
1:24:00
1:36:00
0:00:00
0:12:00
0:24:00
0:36:00
0:48:00
1:00:00
1:12:00
1:24:00
1:36:00
サニタイズ(平均) スキャン(平均) サニタイズ(最大) スキャン(最大)
@H29 Hyogo Prefecture Government. 42
特定Proxy(2台)SBC Proxy(5台)
DMZ公開Web
内部Web
特定サイト
LGWANWeb
Proxy.pac
WinHTTPプロキシ
プロキシ指定
SBCXRDP
通信可
通信不可
インターネット接続系 LGWAN接続系
インターネット
2. (4)Web閲覧の制御 ①プロキシ構成
複数のProxy導入によりWeb閲覧の負荷分散、安定稼働を実現
XRDP Proxy(2台)
@H29 Hyogo Prefecture Government. 43
2. (4)Web閲覧の制御 ②特定プロキシについて
認証サイトや国・自治体系の特定サイトは特定プロキシを介してLGWAN接続系からアクセス可能
区 分 対象サイトの例
1 認証局系 Verisign,Symantec,LGPKI 等
2 Office365 Microsoft,PC起動時に通信するURL 等
3 ライセンス系 Adobe,java,一太郎,Autodesk 等
4 アップデート系Windows Update,TrendMicro,Symantec,Mcafee,F-Secure,Kaspersky,Canon ESET等
5 業務アプリFirefox,Chrome,Mac,Skype for Business,Google Earth,Google Map,証明書導入、VPN接続アプリ 等
6 国、地方自治体 *.go.jp, *.lg.jp, *.hyogo.jp 等
7 県業務関係県と県関係公社等が運用管理するサイト(県がセキュリティチェック実施済)
8 その他 システム稼動で必要なもの 等
LGWAN接続系 特定通信用プロキシの対象例
・強靱化済(予定)
・国等の資料のダウンロード需要が多い。
@H29 Hyogo Prefecture Government. 44
3. 全体スケジュール
スケジュール平成28年度 平成29年度
1Q 2Q 3Q 4Q 1Q 2Q
全 体
セキュリティクラウド
セキュリティ
強靭化対策
セキュリティクラウド
設計/構築/試験
メールシステム移行
(県庁)
市町移行(順次)
県システムの強靭化対策
設計/構築/試験
NW分離
▲公告
▲SOC運用開始▲業者決定 ▲10/8 サービス開始
▲構築開始
▲構築完了
・兵庫県は全国に先駆けてセキュリティクラウドシステムを構築し、平成28年10月にメールシステムを移行・市町についても順次移行し、6月末には移行完了予定・平成29年2月には県インターネット閲覧方法の変更が完了
システム順次移行
各市町ごとに順次移行
▲2/16 NW分離完了▲公告
▲業者決定
▲構築開始