ゼロトラスト時代のクラウドによる境界防御 - Akamai...1. アカマイが推進するゼロトラストセキュリティ 2. 海外拠点ネットワーク、 VPN

© 2019 Akamai | Confidential1

ゼロトラスト時代のクラウドによる境界防御

アカマイ・テクノロジーズ合同会社マーケティング本部

金子春信（CCIE、CISSP）

© 2019 Akamai | Confidential

アカマイ・クラウド・セキュリティ

ゼロ・トラスト化したネットワークの脅威をクラウドの『エッジ』で防御

WAF世界の有名サイトを守るWAFがウェブとAPIを狙う攻撃から防御

DDoS緩和大規化、巧妙化するDDoS攻撃をネットワークエッジですばやく超分散緩和

bot管理買い占め、価格調査、不正ログインなどを行う悪性botをふるまい検知＋機械学習で抑止

レピュテーションビッグデータで危険なIPを解析しゼロデイ攻撃からウェブを保護

マルウェア出口対策既存対策で発見できない標的型マルウェアの僅かな動きをDNSで検知

セキュアアクセスクラウドとモバイルにより分散するICT基盤をシンプルに接続。


本日のアジェンダ1. アカマイが推進するゼロトラストセキュリティ

2. 海外拠点ネットワーク、VPNよりもセキュアな接続環境株式会社エイチ・アイ・エス様

3. マルウェア対策強化とリモートアクセスの効率化マネックスグループ株式会社様

4. リモートワーカーのセキュリティ対策、シンプルに提供株式会社Kaizen Platform様

5. 欧州・アジア・日本におけるネットワークの可視化と脅威対策ヒロセ通商株式会社様


アカマイが推進するゼロトラスト


新たなセキュリティコンセプト 2010年にフォレスターリサーチ社のジョンキンダーバーグ氏が提唱ゼロトラストアーキテクチャ、ゼロトラストネットワーク等に拡張

従来：信頼し、必要なところだけを検査する

ゼロトラスト：信頼せず常に検査する


分散化するIT基盤

クラウド活用の増加モバイル活用の増加

利便性の向上＆新たな課題の出現※弊社レポート：「デジタル変革を成功に導くために不可欠なZEROTRUSTセキュリティモデル」より参照:1. IDC InfoBrief（Akamai協賛）、「Remote Access and Security」（2017 年 9 月）2. CBS Money

https://www.cbsnews.com/news/byod-alert-confidential-data-on-personal-devices3. https://www.securedgenetworks.com/blog/topic/strategy4. https://www.forbes.com/sites/louiscolumbus/2017/05/14/enterprises-are-running-cloud-based-apps-

nearly-50-of-the-time/5. https://www.securedgenetworks.com/blog/topic/strategy

40% 40.8%の企業では、21~40%の従業員がリモートで作業。25.7%の企業では、40%を超える従業員がリモートで作業。

67% 67%以上の従業員が職場で自分のデバイスを使用。

80% BYOD全体の80%は完全にアンマネージド。

50% エンタープライズがクラウドベースのアプリを実行している時間は、全体の約50%。

10% 自社のネットワークにアクセスしているデバイスをすべて把握していると報告した組織は、全体の 10% 以下。

https://www.cbsnews.com/news/byod-alert-confidential-data-on-personal-devices

https://www.securedgenetworks.com/blog/topic/strategy

https://www.forbes.com/sites/louiscolumbus/2017/05/14/enterprises-are-running-cloud-based-apps-nearly-50-of-the-time/

https://www.securedgenetworks.com/blog/topic/strategy


アプリ #2

アプリ #1

アプリ #3

ユーザー＆デバイスが外側に移動

アプリ#2

アプリ#1

アプリ#3

アプリケーション＆データが外側に移動

アプリ#1

アプリ#2

アプリ#3

脅威が内側に侵入

働き方改革ダイバーシティグローバル化

クラウドシフトSaaS/IaaSの利用

過渡期の弊害

ユーザーとアプリが外側に移動。脅威が内側に侵入。


ゼロトラストはネットワークのパラダイムシフト

1. 内か外かを区別しないネットワークモデル

2. 場所（VLAN、セグメント等）で信頼せず、常に認証認可

3. ユーザ/デバイスに応じてアプリ、データへ最小権限

4. 状態や振る舞いを管理分析する

ユーザ、デバイス、場所を信用しない

ゼロトラストセキュリティ

「ユーザー」なりすましユーザに情報を盗難されるリスク

「デバイス」感染済みの端末が攻撃を広げるリスク

「場所」組織のLANに攻撃者が接続しているリスク

組織を脅かすリスク

Windows/Linuxサーバ(RDP/SSH)

社内Webアプリ（Sharepoint等）

Enterprise Application Access (EAA) アーキテクチャ

リモートワーカー

自宅、外出先

Web APPsWeb

APPsWeb APPs

既存の社内ディレクトリ連携。（アクティブディレクトリ/LDAP）

SaaS（SFDC、O365等）

IaaS（AWS、Azure等）

従業員自社オフィス

ファイアウォールに外から内への許可不要。4

3

インターネット上のアカマイプラットフォーム－EAA Edge－

+ SSO+ 多要素認証+ 統合ID基盤

データセンター

社外関係者

取引先

Icon made by Zlatko Najdenovski from www.flaticon.com

クラウド

EAA Connector

必要な人に必要なアプリケーションだけを許可する。ゼロ・トラストのリモートアクセス。

EAAの価値

HTML5を利用し、クライアントレスのブラウザアクセス。（HTTP/S、RDP、SSH、VNC対応）クライアントを使えばVPNに代わる次世代リモートアクセス。

2

EAA Connector

様々なマルチクラウド環境を簡単に統合1

リモートワーカー

自宅、外出先

Agent

Icon made by Zlatko Najdenovski from www.flaticon.com Icon made by Zlatko Those Icons from www.flaticon.com

DNS

データセンター

インターネット上のアカマイプラットフォーム

－ETP－+ ポリシー適用（AUP）+ 脅威対策- フィッシング- マルウェアダウンロード- コマンド&コントロール

SecurityConnector

社外から直接インターネットへ抜ける(DIA)、を利用するモバイルユーザーも保護。

2

NGFW、SWG、サンドボックス等、従来の対策では対応出来ない新たな脅威(DNS Exfiltration, FastFlux、DGA)から保護。

3従業員自社オフィス

センサー/ロボット

工場

DNSを利用する事で、PCもIoT機器も保護。感染済み端末からの外部アクセスを遮断。

1

ETPの価値マルウェア、C&C、フィッシング等の脅威ある通信を排除。企業のポリシーに合致した通信のみをゼロトラストで許可。

Enterprise Threat Protector (ETP) アーキテクチャ


ETPが提供する脅威インテリジェンス


海外拠点ネットワーク、VPNよりもセキュアな接続環境株式会社エイチ・アイ・エス様


株式会社エイチ・アイ・エス様

導入製品：EAA課題グローバル展開国ごとに異なる71か国548拠点でのビジネス展開

国ごとに異なる通信環境 VPNの利用に伴う費用感小規模拠点においては費用対効果が低い

©2018 AKAMAI | FASTER FORWARDTM

ICTにおける課題海外拠点におけるVPNの「費用対効果」

• 海外VPNはコストが掛かる

- VPN機器購入＆メンテナンス

- VPN機器の現地への配送

- VPN機器現地設置要員確保

- VPN機器設置時の指示

-トラブル時の対応

-トラブル時の現地側対応要員確保

・・・etc

「小規模拠点においては、コストに対するメリットが見いだせない」


VPNの導入国内拠点

海外拠点

自社アプリケーション基盤

アプリケーション

VPNアプライアンス



ステップ1：拠点用アプライアンスの調達

Internet


国内拠点

海外拠点






ステップ2：VPNの設計設定

Internet

IPSEC VPN

VPNの導入


国内拠点

海外拠点




ステップ3：アプライアンスの配送



Internet

VPNの導入


国内拠点

海外拠点






Internet

ステップ4：現地作業員の確保VPNの導入


国内拠点

海外拠点






Internet

ステップ5：現地導入作業＆テスト

IPSEC VPN

IPSEC VPN

VPNの導入


国内拠点

海外拠点






ステップ6：保守＆運用

※故障時は作業員を手配Internet

VPNの導入


EAA Edge



国内拠点

海外拠点

ステップ1：コネクターの起動（仮想マシン）

コネクタの仮想マシンはアカマイで用意済み。起動するだけで、設定は全く無し。

Internet

EAAの導入


EAA Edge



国内拠点

海外拠点

「誰が」「何を」を紐づける簡単設定

ステップ2：ユーザー＆アプリの紐づけ

Internet

EAAの導入


EAA Edge



国内拠点

海外拠点

ステップ3：利用開始

Internet

※拠点側はクライアントレスのブラウザアクセスのため、メンテナンス不要

EAAの導入


POCを通して導入を決定

ご提案導入構成検

討 POC 導入決定運用スター

ト

「これまでの経験から我々の想定以上に管理コストを低減できる」「国ごとに異なるネットワークサービスを使っていても柔軟に対応できる」「上記2点のシナジーにより、業務の効率化が期待できる」

コスト柔軟性+ 効率化=


導入後の感想①設定の簡易さ

「管理者は、ユーザーを登録する、対象アプリを登録するのみ」• 設定対象は、EAAのみのシンプル運用（VPNの場合多岐に渡る）• 直感的なユーザインターフェースのデザイン


導入後の感想②ブラウザのみの簡単アクセス

「他社製品と異なりブラウザのみで始められる」• EAAはHTML 5の利用に寄りクライアントレス接続が可能• ブラウザを利用するのでスマートデバイスからの接続も可能


今後の拡張プラン

海外拠点以外での利用を検討中：「外勤営業、移動店舗、展示会でも可能性を感じる」


まとめ

• ビジネス上の課題• 国によって異なる通信制限への対応

• ICTにおける課題• 海外拠点におけるVPNの「費用対効果」

• 導入効果の事前確認

• 今後、展開の可能性

EAAにより解決

POCできちんと確認

外勤営業、移動店舗、展示会


マルウェア対策強化とリモートアクセスの効率化マネックスグループ株式会社様


マネックスグループ株式会社様導入製品：EAA＆ETP

課題事業継続性＆多様な働き方リモートアクセスの運用負荷（デバイスの追加や入れ替え、専用クライアントのキッティング）

セキュリティ・ファーストの徹底標的型攻撃におけるDNSの悪用に対策し多層防御を強化


リモートアクセスの運用負荷

「セットアップ開始から実質約2日で構築し、すぐに利用することができました。」（高橋氏）

ポイント①

ポイント②

ポイント③ ポイント④


• マルウェアは日々増大、より複雑化

• ＋DNSは常にオープン、F/W等でブロックしていない

• ＋C&Cサーバーのアクセスの91%※1はDNSを悪用

• ＋70~ 90%（ランサムウェア含）が特定の企業をターゲット

• DNSの仕組みを悪用、C&Cサーバとボット間の通信を確立。企業情報を盗み出す新しい攻撃→DNS tunneling

• DNS tunnelingは、従来のセキュリティ製品（Next Generation FW (NGFW), Endpoint security）では検知が難しい

拠点本社 IOT

TLD DNSルート DNS 権威 DNS

DNS クエリーサーバー

攻撃者が設置した悪意のあるサイト

C&Cサーバ

NG Firewall

標的型攻撃で悪用されるDNS

Source: Cisco 2016 Annual Security Report


「Cyber Kill Chain」をDNSで断ち切る

遠隔操作偵察 & 武器化配送攻撃インストール目的の実行

機密情報の搾取、ボットの拡散など、さまざまなアクションを要求するC＆Cコールバックをブロック。

C&Cサーバとの接続を切断し、遠隔操作させません。

機密情報の流出をブロック。

外部への名前解決をブロック。加えて、DNSを偽装した不正データ持ち出し（DNSexfiltration）を防ぎます。

Eメールやウェブページに埋め込まれたフィッシング、マルウェア、ランサムウェアのリンクへのアクセスをブロック。

ユーザデバイスのボットネット化を防ぎます。

DNSは、標的型攻撃にブロックするのに適したプロテクションポイント91%以上のボットネットとC＆Cサーバ間の通信にDNSが利用されている


セキュリティファーストの徹底ポイント①

ポイント②

ポイント③


まとめ

事業継続性＆多様な働き方リモートアクセスの運用負荷

（デバイスの追加や入れ替え、専用クライアントのキッティング）

セキュリティ・ファーストの徹底

標的型攻撃におけるDNSの悪用に対策し多層防御を強化

EAAにより削減

ETPにより強化


リモートワーカーのセキュリティ対策、シンプルに提供株式会社Kaizen Platform様


Kaizen Platform様導入製品：EAA＆ETP

課題リモートワーク推進のセキュリティ

自宅やカフェ等、フレキシブルに仕事をする社員のセキュリティをどの様に守るか？

出先から利用するユーザの利用状況をどの様に把握するか？

5年前に設立したKaizen Platformは、WebサイトをA/Bテストで改善する事業からスタートした。徐々に改善の対象は広がり、現在は企業そのものを改善することにも広がっている。「企業からの依頼に答えるうちに、単純なWebサイト改善にとどまらず、企業体質を変える必要があるケースがあり、依頼に応えていくうちに改善対象が拡大していきました。いわゆるコンサルティングビジネスになりますが、当社がユニークなのはテクノロジーを活用して企業を診断することです。コンサルティングビジネスでありながら属人性が低いことが特徴となっています」（前田氏）


エンジニア行動指針

https://medium.com/kaizen-product-team/kaizen-platform-inc-%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E8%A1%8C%E5%8B%95%E6%8C%87%E9%87%9D-6623d7aca4c2

https://medium.com/kaizen-product-team/kaizen-platform-inc-%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E8%A1%8C%E5%8B%95%E6%8C%87%E9%87%9D-6623d7aca4c2


バックグラウンド通信可視化「あがってきたレポートを見ると、思っていた以上にセキュリティ脅威が多いことがわかりました」という。「従来からセキュリティ脅威のレポートは存在していたものの、リモートワーク上での脅威動向、さらに意図せずに悪意あるサイトと通信したケースなど、これまでは可視化できていなかったものもありました。こうした状況が可視化できたことは、導入後のメリットのひとつといえると思います」（前田氏）

時間ごとのDNSクエリ数

地域ごとカテゴリごと

脅威検知状況推移


まとめ

リモートワーク推進のセキュリティ自宅やカフェ等、フレキシブルに仕事をする

社員のセキュリティをどの様に守るか？

出先から利用するユーザの利用状況をどの様に把握するか？

ETPにより強化


欧州・アジア・日本におけるネットワークの可視化と脅威対策ヒロセ通商株式会社様


ヒロセ通商株式会社様導入製品：ETP＆EAA

課題海外拠点におけるセキュリティ

それぞれインターネット接続を持つ拠点に、統一的で強固なセキュリティが必要

海外における接続性交通の便が悪く、VPNの保守手配が困難なマレー

シア拠点、リモートアクセスを低コストで実現したい


海外拠点セキュリティ

拠点ごとにインターネットへの出口は異なるが、DNSは共通して使うため容易に導入可能


海外における接続性

インターネット

EAAはインターネット上で提供されるクラウドサービス。インターネット接続さえあればどこからでも簡単に接続可能。

本社/データセンター


出張時も簡単アクセス


まとめ

• 海外拠点におけるセキュリティ• それぞれインターネット接続を持つ拠点

に、どう統一的で強固なセキュリティを実装するか？

• 海外における接続性• 交通の便が悪いマレーシア拠点からのリ

モートアクセス EAAにより削減

ETPにより強化

© 2019 Akamai | Confidential47

The Internet is the backbone of your digital business

AKAMAI — THE ENTERPRISE-CLASS INTERNET THAT ELEVATES YOUR BUSINESS ABOVE THE UNPREDICTABILITY AND

INSECURITY OF CLOUD-BASED EXPERIENCE DELIVERY

Documents

ゼロトラスト時代のクラウドによる境界防御 - Akamai...1. アカマイが推進するゼロトラストセキュリティ 2. 海外拠点ネットワーク、 VPN