SONICWALLが提唱するBOUNDLESS CYBERSECURITYセキュリティは境界からエッジアクセスへ、SONICWALLはUTMからSASEへ
ソニックウォール・ジャパン株式会社
セキュリティエンジニア 小田真也
1
従来の境界セキュリティ対策
2ServersLaptops
External network
Internal network
Perimeter defense
Trojan
Spam
Worm
SpywarePhishing
境界対策から内部対策へ
3
Log Server
Enhance EndpointsInspect Internal traffic
Manage logs of all
時代は分散環境へ
4
SaaSIaaS
remote
Internal network
すべてがクラウドへ
5
remoteOffice
SaaSIaaS Internet
remote
従来の境界ネットワークから境界のない超分散環境へ
BOUNDLESS モデル
リモート・常時接続を前提
IT環境を常に監視
リアルタイム検知
柔軟な投資形態
自動化・機械学習
to
従来の環境
オフィス中心のアーキテクチャ
リモート環境への手薄な認識
リモート環境でのインシデント対応の遅れ
リモート環境へのさらなる対策投資
新たなスキルの人員が必要
To New Normal 新たなビジネスの常識へ
KNOW THE UNKNOWN未知の脅威への対応
UNIFIED VISIBILITY AND CONTROL統合管理による可視化と制御
DISRUPTIVE ECONOMICS新しいコストモデル
BOUNDLESS CYBERSECURITY
全てのデバイスであらゆる脅威をリアルタイム検知
• 高度かつ未知な脅威の検知
既知/未知に限らずあらゆる脅威をリアルタイムで検知する。SonicWallではディープラーニングを活用した独自の脅威情報プラットフォームを備えており、マルチエンジンサンドボックスであるCaptureATP、メモリの内部まで解析可能なRTDMIといった技術によって世界110万のデバイスに流れる脅威をリアルタイムに識別する。
• 全てのデバイスを保護
物理的な場所、国境、OSや機種の違いによらず、全てのデバイスを脅威から保護する。PC、スマホ、サーバー、スイッチ、無線AP、IaaS、SaaSとすべてのレイヤのデバイスが単一の脅威情報プラットフォームと連携することで、偏りのない全方位的な保護が可能。
KNOW THE UNKNOWN
1.1M+active sensors
around the globe
28Mmalware attacks
blocked daily
440Knew attack variants ID’dby Capture
ATP (2019)
<24 hr
response time to never-before-seen
attacks
154Knever-before-seen attack variants ID’dby RTDMI (2019)
140K+malware samples
collected daily
単一画面による可視化と制御
• 統合管理
統合管理サービスであるCapture Security Center(CSC)で全てのデバイス・サービスを横断的に管理・監視することができる。
UNIFIED VISIBILITY & CONTROL
新しいコストモデル
• 事業継続のための柔軟なコスト体系
ビジネススピードに合わせていつでもサービスを開始でき、スケーラブルにサービス規模を変更できる。
• ゼロタッチと自動化
全てのサービスはクラウド上の統合管理ツールによってデプロイ。電源とインターネットさえあれば物理アプライアンスもクラウド上でゼロタッチ・デプロイを可能とし、作業タスクを自動化することで人員コストの削減が可能。
DISRUPTIVE ECONOMICS
~ 40%Reduction
in TCO
Secure Access Service Edge:SASE
12
Network as a Service
Security as a Service
CASB SandboxFWaaS DLP ZTNA
VPN SD-WANNetwork PBR QoS
SASESecure Access Service Edge
SaaSIaaS Internet
Boundless Cybersecurityのビジョン
13
CSCCapture Security Center
FWaaSCASCloud App Security
CaptureATP
ZTNAZero trust network access
CaptureClientNGAV+EDR
NGFW
SaaS InternetIaaS
Boundless Cybersecurityを実現するユースケース
CaptureATPマルチサンドボックスエンジン+RTDMI
Capture Client次世代アンチウイルス+EDR
Cloud App SecuritySaaSアプリを監視・保護
Secure Mobile Accessセキュアなリモートアクセス環境を実現
API連携
remote
Office / Data center
Global Threat Intelligence Platform
Capture Security Centerすべてのデバイス・サービスを一元管理
SaaS
branch
Secure Mobile Access
15
Secure Mobile Access
業務アプリLDAP
ストレージ
オフィスに設置の端末
サンドボックス解析
リモートユーザに快適でセキュアなネットワーク環境を提供
remote
remote
Office
CaptureATP
エンドポイントコントロール
16
デバイスの状態に応じてリモート接続のアクセスを制御。OSやOSバージョン、アンチウイルスソフトのインストール有無といったしきい値を設定することができる。
・リモート接続してくるデバイスの信頼性を担保することができる。・リモート接続を許可するデバイス「会社支給PC」と信頼されないデバイス「個人利用PC」を識別して、接続を制御することが可能
リモートユーザ
機能
利点
Windows10 OK
アンチウイルス OK
Windows7 NG
アンチウイルス NG
・Windows10・アンチウイルス有
・Windows7・アンチウイルス無
SMA
社内サーバ
デバイス管理機能
17
リモートアクセスするデバイスのHDDが持つシリアル情報や、SSL-VPNクライアントソフトがデバイス毎に生成する固有情報をSonicWallに登録することで、そのデバイスのみがSSL-VPNアクセスできる
MACアドレスを利用したデバイス制御が一般的だが、MACアドレス情報は通信を覗けば簡単に搾取できる情報であり、なりすましも容易。SonicWallでは簡単に搾取できないデバイス情報を利用して、より強固な認証を提供する。
リモートユーザ
機能
利点
Mc9x4oxw4
Jc294rmw
a2m0ewe
9jnej4k8b
HDDのシリアル
“Jc294rmw”
アプリが生成した固有情報
“an5kaos2m”
SMA
社内サーバ
接続を許可するデバイス登録
SonicWallが実現するリモートワークに対するサイバーセキュリティ
18
リモートアクセスとしてSSL-VPN接続機能を提供
通信の盗聴・改ざん・なりすましを防ぐ
柔軟な認可と多種類の認証を可能にする
不正アクセスを防ぐ
SSL-VPNトラフィックをクラウドサンドボックスで検査
悪性ファイルの侵入を防ぐ
1
2
3
Capture Client全ての機能を1つのエージェントで実現
Capture Client
19
エンドポイントソリューション:次世代アンチウイルス+EDR
防御Pre-Execution
検知On Execution
対応Post-Execution
高度な静的防御
CaptureATP連携
動的なマルウェア検知
動的なエクスプロイト検知
被害軽減・ロールバック
修復
フォレンジック
エンドポイントセキュリティの重要性
20
1.侵入・感染 2.基盤構築 3.内部偵察 4.権限昇格 5.水平展開 6.データ流出 7.証拠隠滅
Regedit.exe
01010100101001
・マルウェア感染・ファイルレス攻撃
・C&Cサーバ通信バックドアの開設・レジストリ変更自動起動設定・ファイルレス攻撃
・感染先NWの調査正規OSツールを利用・攻撃に必要なツールをC&CサーバからDL
・脆弱性、ハッキングツールを使って管理者権限を奪取
・目標のサーバまで感染を拡大・正規OSツールを利用
・目的の遂行 ・ログの削除・バックドアは残したまま
“マルウェア“による被害 “攻撃者が手動で行う操作”による被害
・標的型攻撃では感染したエンドポイントを起点に攻撃が進む・侵入後は攻撃者が手動で、Windows正規ツールやハッキングツールを利用する・Officeファイルに悪性コードを含んだ攻撃、ファイルレスマルウェア攻撃は現在では超一般的になっている
・シグネチャでは防げない攻撃がもはや一般的・侵入後の攻撃はシグネチャでは検知不可
Capture Client
21
エンドポイントソリューション:次世代アンチウイルス+EDR
攻撃の全貌を可視化ボタンひとつでリモートから被害修復クラウドコンソールで一元管理
Capture Clientの特長
22
AIによる振る舞い検知
機械学習による正確な判定を行う完全なふるまいベースのウイ
ルス対策
高度な脅威をシグネチャベースではなくふるまいに
基づいて防御
充実した対処機能
ファイルやシステムの被害を修復
・ロールバック機能によりランサムウェア被害によるデータの損失の心配不要
・ネットワーク隔離
・プロセス停止
・ファイル隔離
Webコンテンツフィルタ
Webに潜むセキュリティリスクを排除
主にリモートワークではゲートウェイでのWeb検疫が効かないため、本機能によって補完する。ウェブバイダウンロードの被害も予防
する。
暗号化トラフィック検査サポート
DPI-SSL証明書を簡単にインストールし、暗号化されたトラフィックの検査を容易
にします
暗号化トラフィックを検査する為の準備を簡素化
外部デバイス制御
USBデバイス利用の制御が可能
マルウェアの感染ルートは主にメール・Web・USBと言われており、本機能によりUSBによる感染を根源
から絶つ
コンテンツフィルタリング
• Web閲覧における脅威をブロック
• 統計情報の確認
• ブロックしたWebサイトの脅威情報を表示
23
Cloud App Security
フィッシング対策
ランサムウェア対策
ゼロデイ攻撃対策
アカウント乗っ取り対策
コンプライアンス制御
SaaSアプリケーションに対するシャドーITとサンクションITを制御
シャドーITの発見
シャドーITの可視化
アプリケーション制御
ログ収集・解析
コンプライアンス制御
SonicWall CAS Engine
シャドーIT対策 サンクションIT対策
許可しないSaaSアプリの利用を制御する
利用するSaaSアプリの安全を確保する
API制
御
UTMと連携した制御
CASが悪意あるファイルを検知・対処
SaaSアプリケーションとCASが直接API連携することにより監査
25
メール受信
検知アラートメール隔離
CASの監査・検知・遮断プロセス(Office365の場合)1.CASとSaaSをAPIにより直接連携2.Microsoftによるスキャン後、メールを取得する3.SonicWall CASがメールに対し脅威スキャン4.脅威を検知しなければユーザにメールが届けられる5.脅威を検知した場合はメールは隔離される
脅威を検知脅威ナシ
API連携1
CAS Cloud Engine
脅威スキャン3
2
受信可能
54
CASが不正な振る舞いを検知・対処
SaaSアプリケーションとCASが直接API連携することにより監査
26
不正ログイン
CASの監査・検知・遮断プロセス(boxの場合)1.CASとSaaSをAPIにより直接連携2.不正利用者の振る舞いを監視・ログインの場所・ログイン失敗回数・大容量ファイルのダウンロード・初めて試行されるログインのデバイス・不自然な設定の変更(パスワードリセット宛先変更等)
3.不正利用を検知
API連携
CAS Cloud Engine
不正利用を検知
1
3
2
CASBとの違い
27
API型連携は導入ハードルが低い
ファイアウォールプロキシ
CASBサーバ
CASBクラウド
・ログ収集・アクセス制御・機能制御
ファイアウォールプロキシ
CASクラウド
プロキシ型 = 構築・変更アリ API連携型 = 構築・変更ナシ
必要ナシ
API連携
Capture Security Center
SonicWallが提供する全てのソリューションをクラウドで一括管理
Capture Security Center
SonicWallが提供する全てのソリューションをクラウドで一括管理
30
Art
ifa
ct 1
Art
ifa
ct 2
Art
ifa
ct 3
Art
ifa
ct n
許可GoodBad
BLOCK
BLOCK until verdict
EndpointsNetwork Security Appliances
IoTCloud/SaaSEmail Wi-FiRemote/Mobile
BOUNDLESS CYBERSECURITY
既知の脅威9.8億件の実績/2019年
99% 未知の脅威990万件の実績/2019年
1%
CAPTURE ATPマルチエンジンサンドボックス
リアルアイム分析
Hypervisor Emulation Virtualization
RTDMIリアルタイムメモリ分析
(422件/日)
CAPTURE LABSGlobal threat intelligence
ディープラーニングアルゴリズム全てのデバイスに流れるトラフィックやファイルを独自AI技術で検知
9.9億件の実績/2019年
CAPTURE SECURITY CENTER (CSC) : 単一画面による可視化と制御
場所やOSに関係なく全てのデバイス・プラットフォームを保護
Never-before-seen
variants
Malicious code
PhishingEncrypted
threats
Non-standard ports Ransomware
Memory threats
IoT attacks
Cryptojacking
Malware
Side-channel
Endpoints
IoT
Cloud/SaaS
Email Wi-Fi
Remote/Mobile
BOUNDLESS CYBERSECURITY
www.sonicwall.com
33
Appendix
・SonicWall総合カタログ2020https://sonicwall-pub.snwl.jp/files/whitepaper/SonicWall-Catalog.pdf
・SonicWall TZ Series データシート (中小企業向けUTM)https://sonicwall-pub.snwl.jp/files/tz/Datasheets/Datasheet-TZ-All-Japan-20200420.pdf
・SonicWall NSA Series データシート(中堅企業向けUTM)https://sonicwall-pub.snwl.jp/files/nsa/Datasheets/Datasheet-NetworkSecurityAppliance-All-Japan-20191101.pdf
・Secure Mobile Access データシート(SSL-VPN/リモートアクセスソリューション)https://sonicwall-pub.snwl.jp/files/sma/Datasheets/Datasheet-SMA-All-Japan-20200417.pdf
・Capture Client データシート(エンドポイントセキュリティ: NGAV + EDR)https://sonicwall-pub.snwl.jp/files/cc/Datasheets/Datasheet-CaptureClient-All-Japan-20191101.pdf
・Cloud App Security データシート(クラウドセキュリティ)https://sonicwall-pub.snwl.jp/files/cas/Datasheets/Datasheet-CloudAppSecurity-All-Japan-20190701.pdf
・Capture Security Center データシート(単一画面による可視化と制御)https://sonicwall-pub.snwl.jp/files/csc/Datasheets/Datasheet-CaptureSecurityCenter-All-Japan-20191001.pdf
・SonicWall日本語Websitehttps://www.sonicwall.com/ja-jp/
・SonicWallへのお問い合わせ[email protected]