Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© 2019 Akamai | Confidential1
ゼロトラスト時代のクラウドによる境界防御
アカマイ・テクノロジーズ合同会社マーケティング本部
金子 春信(CCIE、CISSP)
© 2019 Akamai | Confidential
アカマイ・クラウド・セキュリティ
ゼロ・トラスト化したネットワークの脅威をクラウドの『エッジ』で防御
WAF世界の有名サイトを守るWAFがウェブとAPIを狙う攻撃から防御
DDoS緩和大規化、巧妙化するDDoS攻撃をネットワークエッジですばやく超分散緩和
bot管理買い占め、価格調査、不正ログインなどを行う悪性botをふるまい検知+機械学習で抑止
レピュテーションビッグデータで危険なIPを解析しゼロデイ攻撃からウェブを保護
マルウェア出口対策既存対策で発見できない標的型マルウェアの僅かな動きをDNSで検知
セキュアアクセスクラウドとモバイルにより分散するICT基盤をシンプルに接続。
© 2019 Akamai | Confidential
本日のアジェンダ1. アカマイが推進するゼロトラストセキュリティ
2. 海外拠点ネットワーク、VPNよりもセキュアな接続環境株式会社エイチ・アイ・エス様
3. マルウェア対策強化とリモートアクセスの効率化マネックスグループ株式会社様
4. リモートワーカーのセキュリティ対策、シンプルに提供株式会社Kaizen Platform様
5. 欧州・アジア・日本におけるネットワークの可視化と脅威対策ヒロセ通商株式会社様
© 2019 Akamai | Confidential
アカマイが推進するゼロトラスト
© 2019 Akamai | Confidential
新たなセキュリティコンセプト 2010年にフォレスターリサーチ社のジョン キンダーバーグ氏が提唱 ゼロトラストアーキテクチャ、ゼロトラストネットワーク等に拡張
従来:信頼し、必要なところだけを検査する
ゼロトラスト:信頼せず常に検査する
© 2019 Akamai | Confidential
分散化するIT基盤
クラウド活用の増加モバイル活用の増加
利便性の向上&新たな課題の出現※弊社レポート:「デジタル変革を成功に導くために不可欠なZEROTRUSTセキュリティモデル」より参照:1. IDC InfoBrief(Akamai協賛)、「Remote Access and Security」(2017 年 9 月)2. CBS Money
https://www.cbsnews.com/news/byod-alert-confidential-data-on-personal-devices3. https://www.securedgenetworks.com/blog/topic/strategy4. https://www.forbes.com/sites/louiscolumbus/2017/05/14/enterprises-are-running-cloud-based-apps-
nearly-50-of-the-time/5. https://www.securedgenetworks.com/blog/topic/strategy
40% 40.8%の企業では、21~40%の従業員がリモートで作業。25.7%の企業では、40%を超える従業員がリモートで作業。
67% 67%以上の従業員が職場で自分のデバイスを使用。
80% BYOD全体の80%は完全にアンマネージド。
50% エンタープライズがクラウドベースのアプリを実行している時間は、全体の約50%。
10% 自社のネットワークにアクセスしているデバイスをすべて把握していると報告した組織は、全体の 10% 以下。
© 2019 Akamai | Confidential
アプリ #2
アプリ #1
アプリ #3
ユーザー&デバイスが外側に移動
アプリ#2
アプリ#1
アプリ#3
アプリケーション&データが外側に移動
アプリ#1
アプリ#2
アプリ#3
脅威が内側に侵入
働き方改革ダイバーシティグローバル化
クラウドシフトSaaS/IaaSの利用
過渡期の弊害
ユーザーとアプリが外側に移動。脅威が内側に侵入。
© 2019 Akamai | Confidential
ゼロトラストはネットワークのパラダイムシフト
1. 内か外かを区別しないネットワークモデル
2. 場所(VLAN、セグメント等)で信頼せず、常に認証認可
3. ユーザ/デバイスに応じてアプリ、データへ最小権限
4. 状態や振る舞いを管理分析する
ユーザ、デバイス、場所を信用しない
ゼロトラスト セキュリティ
「ユーザー」なりすましユーザに情報を盗難されるリスク
「デバイス」感染済みの端末が攻撃を広げるリスク
「場所」組織のLANに攻撃者が接続しているリスク
組織を脅かすリスク
Windows/Linuxサーバ(RDP/SSH)
社内Webアプリ(Sharepoint等)
Enterprise Application Access (EAA) アーキテクチャ
リモートワーカー
自宅、外出先
Web APPsWeb
APPsWeb APPs
既存の社内ディレクトリ連携。(アクティブディレクトリ/LDAP)
SaaS(SFDC、O365等)
IaaS(AWS、Azure等)
従業員自社オフィス
ファイアウォールに外から内への許可不要。4
3
インターネット上のアカマイプラットフォーム-EAA Edge-
+ SSO+ 多要素認証+ 統合ID基盤
データセンター
社外関係者
取引先
Icon made by Zlatko Najdenovski from www.flaticon.com
クラウド
EAA Connector
必要な人に必要なアプリケーションだけを許可する。ゼロ・トラストのリモートアクセス。
EAAの価値
HTML5を利用し、クライアントレスのブラウザアクセス。(HTTP/S、RDP、SSH、VNC対応)クライアントを使えばVPNに代わる次世代リモートアクセス。
2
EAA Connector
様々なマルチクラウド環境を簡単に統合1
リモートワーカー
自宅、外出先
Agent
Icon made by Zlatko Najdenovski from www.flaticon.com Icon made by Zlatko Those Icons from www.flaticon.com
DNS
データセンター
インターネット上のアカマイプラットフォーム
-ETP-+ ポリシー適用(AUP)+ 脅威対策- フィッシング- マルウェアダウンロード- コマンド&コントロール
SecurityConnector
社外から直接インターネットへ抜ける(DIA)、を利用するモバイルユーザーも保護。
2
NGFW、SWG、サンドボックス等、従来の対策では対応出来ない新たな脅威(DNS Exfiltration, FastFlux、DGA)から保護。
3従業員自社オフィス
センサー/ロボット
工場
DNSを利用する事で、PCもIoT機器も保護。感染済み端末からの外部アクセスを遮断。
1
ETPの価値マルウェア、C&C、フィッシング等の脅威ある通信を排除。企業のポリシーに合致した通信のみをゼロトラストで許可。
Enterprise Threat Protector (ETP) アーキテクチャ
© 2019 Akamai | Confidential
ETPが提供する脅威インテリジェンス
© 2019 Akamai | Confidential
海外拠点ネットワーク、VPNよりもセキュアな接続環境株式会社エイチ・アイ・エス様
© 2019 Akamai | Confidential
株式会社エイチ・アイ・エス様
導入製品:EAA課題 グローバル展開 国ごとに異なる71か国548拠点でのビジネス展開
国ごとに異なる通信環境 VPNの利用に伴う費用感 小規模拠点においては費用対効果が低い
©2018 AKAMAI | FASTER FORWARDTM
ICTにおける課題海外拠点におけるVPNの「費用対効果」
• 海外VPNはコストが掛かる
- VPN機器購入&メンテナンス
- VPN機器の現地への配送
- VPN機器現地設置要員確保
- VPN機器設置時の指示
-トラブル時の対応
-トラブル時の現地側対応要員確保
・・・etc
「小規模拠点においては、コストに対するメリットが見いだせない」
©2018 AKAMAI | FASTER FORWARDTM
VPNの導入国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
ステップ1:拠点用アプライアンスの調達
Internet
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
ステップ2:VPNの設計設定
Internet
IPSEC VPN
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
ステップ3:アプライアンスの配送
VPNアプライアンス
VPNアプライアンス
Internet
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
Internet
ステップ4:現地作業員の確保VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
Internet
ステップ5:現地導入作業&テスト
IPSEC VPN
IPSEC VPN
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
国内拠点
海外拠点
自社アプリケーション基盤
アプリケーション
VPNアプライアンス
VPNアプライアンス
VPNアプライアンス
ステップ6:保守&運用
※故障時は作業員を手配Internet
VPNの導入
©2018 AKAMAI | FASTER FORWARDTM
EAA Edge
自社アプリケーション基盤
アプリケーション
国内拠点
海外拠点
ステップ1:コネクターの起動(仮想マシン)
コネクタの仮想マシンはアカマイで用意済み。起動するだけで、設定は全く無し。
Internet
EAAの導入
©2018 AKAMAI | FASTER FORWARDTM
EAA Edge
自社アプリケーション基盤
アプリケーション
国内拠点
海外拠点
「誰が」「何を」を紐づける簡単設定
ステップ2:ユーザー&アプリの紐づけ
Internet
EAAの導入
©2018 AKAMAI | FASTER FORWARDTM
EAA Edge
自社アプリケーション基盤
アプリケーション
国内拠点
海外拠点
ステップ3:利用開始
Internet
※拠点側はクライアントレスのブラウザアクセスのため、メンテナンス不要
EAAの導入
©2018 AKAMAI | FASTER FORWARDTM
POCを通して導入を決定
ご提案導入構成検
討 POC 導入決定運用スター
ト
「これまでの経験から我々の想定以上に管理コストを低減できる」 「国ごとに異なるネットワークサービスを使っていても柔軟に対応できる」 「上記2点のシナジーにより、業務の効率化が期待できる」
コスト 柔軟性+ 効率化=
©2018 AKAMAI | FASTER FORWARDTM
導入後の感想①設定の簡易さ
「管理者は、ユーザーを登録する、対象アプリを登録するのみ」• 設定対象は、EAAのみのシンプル運用(VPNの場合多岐に渡る)• 直感的なユーザインターフェースのデザイン
©2018 AKAMAI | FASTER FORWARDTM
導入後の感想②ブラウザのみの簡単アクセス
「他社製品と異なりブラウザのみで始められる」• EAAはHTML 5の利用に寄りクライアントレス接続が可能• ブラウザを利用するのでスマートデバイスからの接続も可能
©2018 AKAMAI | FASTER FORWARDTM
今後の拡張プラン
海外拠点以外での利用を検討中:「外勤営業、移動店舗、展示会でも可能性を感じる」
©2018 AKAMAI | FASTER FORWARDTM
まとめ
• ビジネス上の課題• 国によって異なる通信制限への対応
• ICTにおける課題• 海外拠点におけるVPNの「費用対効果」
• 導入効果の事前確認
• 今後、展開の可能性
EAAにより解決
POCできちんと確認
外勤営業、移動店舗、展示会
©2018 AKAMAI | FASTER FORWARDTM
マルウェア対策強化とリモートアクセスの効率化マネックスグループ株式会社様
© 2019 Akamai | Confidential
マネックスグループ株式会社様導入製品:EAA&ETP
課題 事業継続性&多様な働き方 リモートアクセスの運用負荷(デバイスの追加や入れ替え、専用クライアントのキッティング)
セキュリティ・ファーストの徹底 標的型攻撃におけるDNSの悪用に対策し多層防御を強化
© 2019 Akamai | Confidential
リモートアクセスの運用負荷
「セットアップ開始から実質約2日で構築し、すぐに利用することができました。」(高橋氏)
ポイント①
ポイント②
ポイント③ ポイント④
© 2019 Akamai | Confidential
• マルウェアは日々増大、より複雑化
• +DNSは常にオープン、F/W等でブロックしていない
• +C&Cサーバーのアクセスの91%※1はDNSを悪用
• +70~ 90%(ランサムウェア含)が特定の企業をターゲット
• DNSの仕組みを悪用、C&Cサーバとボット間の通信を確立。企業情報を盗み出す新しい攻撃→DNS tunneling
• DNS tunnelingは、従来のセキュリティ製品(Next Generation FW (NGFW), Endpoint security)では検知が難しい
拠点本社 IOT
TLD DNSルート DNS 権威 DNS
DNS クエリーサーバー
攻撃者が設置した悪意のあるサイト
C&Cサーバ
NG Firewall
標的型攻撃で悪用されるDNS
Source: Cisco 2016 Annual Security Report
© 2019 Akamai | Confidential
「Cyber Kill Chain」をDNSで断ち切る
遠隔操作偵察 & 武器化 配送 攻撃 インストール 目的の実行
機密情報の搾取、ボットの拡散など、さまざまなアクションを要求するC&Cコールバックをブロック。
C&Cサーバとの接続を切断し、遠隔操作させません。
機密情報の流出をブロック。
外部への名前解決をブロック。加えて、DNSを偽装した不正データ持ち出し(DNSexfiltration)を防ぎます。
Eメールやウェブページに埋め込まれたフィッシング、マルウェア、ランサムウェアのリンクへのアクセスをブロック。
ユーザデバイスのボットネット化を防ぎます。
DNSは、標的型攻撃にブロックするのに適したプロテクションポイント91%以上のボットネットとC&Cサーバ間の通信にDNSが利用されている
© 2019 Akamai | Confidential
セキュリティファーストの徹底ポイント①
ポイント②
ポイント③
© 2019 Akamai | Confidential
まとめ
事業継続性&多様な働き方 リモートアクセスの運用負荷
(デバイスの追加や入れ替え、専用クライアントのキッティング)
セキュリティ・ファーストの徹底
標的型攻撃におけるDNSの悪用に対策し多層防御を強化
EAAにより削減
ETPにより強化
© 2019 Akamai | Confidential
リモートワーカーのセキュリティ対策、シンプルに提供株式会社Kaizen Platform様
© 2019 Akamai | Confidential
Kaizen Platform様導入製品:EAA&ETP
課題 リモートワーク推進のセキュリティ
自宅やカフェ等、フレキシブルに仕事をする社員のセキュリティをどの様に守るか?
出先から利用するユーザの利用状況をどの様に把握するか?
5年前に設立したKaizen Platformは、WebサイトをA/Bテストで改善する事業からスタートした。徐々に改善の対象は広がり、現在は企業そのものを改善することにも広がっている。「企業からの依頼に答えるうちに、単純なWebサイト改善にとどまらず、企業体質を変える必要があるケースがあり、依頼に応えていくうちに改善対象が拡大していきました。いわゆるコンサルティングビジネスになりますが、当社がユニークなのはテクノロジーを活用して企業を診断することです。コンサルティングビジネスでありながら属人性が低いことが特徴となっています」(前田氏)
© 2019 Akamai | Confidential
エンジニア行動指針
https://medium.com/kaizen-product-team/kaizen-platform-inc-%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E8%A1%8C%E5%8B%95%E6%8C%87%E9%87%9D-6623d7aca4c2
© 2019 Akamai | Confidential
バックグラウンド通信可視化「あがってきたレポートを見ると、思っていた以上にセキュリティ脅威が多いことがわかりました」という。「従来からセキュリティ脅威のレポートは存在していたものの、リモートワーク上での脅威動向、さらに意図せずに悪意あるサイトと通信したケースなど、これまでは可視化できていなかったものもありました。こうした状況が可視化できたことは、導入後のメリットのひとつといえると思います」(前田氏)
時間ごとのDNSクエリ数
地域ごとカテゴリごと
脅威検知状況推移
© 2019 Akamai | Confidential
まとめ
リモートワーク推進のセキュリティ 自宅やカフェ等、フレキシブルに仕事をする
社員のセキュリティをどの様に守るか?
出先から利用するユーザの利用状況をどの様に把握するか?
ETPにより強化
© 2019 Akamai | Confidential
欧州・アジア・日本におけるネットワークの可視化と脅威対策ヒロセ通商株式会社様
© 2019 Akamai | Confidential
ヒロセ通商株式会社様導入製品:ETP&EAA
課題 海外拠点におけるセキュリティ
それぞれインターネット接続を持つ拠点に、統一的で強固なセキュリティが必要
海外における接続性 交通の便が悪く、VPNの保守手配が困難なマレー
シア拠点、リモートアクセスを低コストで実現したい
© 2019 Akamai | Confidential
海外拠点セキュリティ
拠点ごとにインターネットへの出口は異なるが、DNSは共通して使うため容易に導入可能
© 2019 Akamai | Confidential
海外における接続性
インターネット
EAAはインターネット上で提供されるクラウドサービス。インターネット接続さえあればどこからでも簡単に接続可能。
本社/データセンター
アプリケーション
出張時も簡単アクセス
© 2019 Akamai | Confidential
まとめ
• 海外拠点におけるセキュリティ• それぞれインターネット接続を持つ拠点
に、どう統一的で強固なセキュリティを実装するか?
• 海外における接続性• 交通の便が悪いマレーシア拠点からのリ
モートアクセス EAAにより削減
ETPにより強化
© 2019 Akamai | Confidential47
The Internet is the backbone of your digital business
AKAMAI — THE ENTERPRISE-CLASS INTERNET THAT ELEVATES YOUR BUSINESS ABOVE THE UNPREDICTABILITY AND
INSECURITY OF CLOUD-BASED EXPERIENCE DELIVERY