Upload
microsoft-tech-summit-2017
View
232
Download
3
Embed Size (px)
Citation preview
Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
Microsoft が提供する多層検知ソリューション
Softbank様によるネットワークセキュリティの紹介
Perimeter (ペリメーター)
境界線
Network Perimeter
Office 365
Approved Cloud Services
Unmanaged Devices
Shadow ITサイバー攻撃
Resources
Identity Perimeter
攻撃者の一連の流れ
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
出典:http://www.verizon.com/about/news/2015-data-breach-report-info/
230 通開封
URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
出典:http://www.verizon.com/about/news/2015-data-breach-report-info/
230 通開封
URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知
242日感染に気がつかない
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
Azure ATPEMS E5
Windows Defender ATPWindows E5
Office 365
ATPOffice E5
Windows
Defender無償
URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
Office 365
ATPOffice E5
URL/メールフィルター
Exchange Online Protection (EOP)
既知の攻撃をブロック
Office 365
Advanced Threat Protection
(ATP)
サンドボックスで
未知の攻撃を
ブロック
危険なサイトhttps://www.contoso.com
不正なマルウェア 安全
危険
サンドボックス
Office 365 環境を守る セキュリティ
Microsoft Teams
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
Windows
Defender無償
アンチウイルスソフト
4時間
0.01%頻度
種類
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
Windows Defender ATPWindows E5
エンドポイント振る舞い検知
Windows Defender ATP
膨大なナレッジ情報
データをテナントに送信
管理者クライアント
ダッシュボード閲覧エージェントへの命令
ネットワーク分離プロセス停止 etc
Windows Defender ATP とは?
✓ MicrosoftのOS攻撃ナレッジを反映
※ EDR(Endpoint Detection and Response)
Windows Defender ATP 3つのメリット
エージェント展開不要
オンプレを必要としない
クラウドサービス
インターネット経由で
ネットワーク分離可能
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
Azure ATPEMS E5
ID の振る舞い検知
APPSAD
ADFS SIEM
HR
Azure ATPSENSOR
!
3434
メール受信
添付ファイル開封
URLクリック 攻略行為
マルウェアインストール
攻撃者のサーバーへ
接続
持続性 権限昇格 偵察 横方向の移動 ADへ侵入
攻撃者の一連の流れ
Azure ATPEMS E5
Windows Defender ATPWindows E5
Office 365
ATPOffice E5
Windows
Defender無償
URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知
✓ベンダー数を抑え運用負荷軽減
クライアント
Windows Defender ATP
Office 365 ATP
Azure ATP
4242
自己紹介資料
中野 博徳
ソフトバンク株式会社法人事業統括ICTイノベーション本部ネットワークサービス第1統括部ソリューションサービス第1部
【担当業務】付帯系サービス企画・開発・インターネットゲートウェイサービス
(NGFW, SSLVPN, プロキシ・・・)
・セキュリティ(MSS, PKI, CASB, EPセキュリティ・・・)
・モバイル(AirWatch, モバイルゲートウェイ・・・)
4343
進化する脅威への対応 ~多層防御~
App/Server
NW/GW
企業ICTインフラ 脅威対象カテゴリ
App/Client
サーバセキュリティ
クライアントセキュリティ
ネットワークセキュリティ 1-2Vender
今後の見極め要
今後の見極め要
アプリ
コンテンツ
ネットワーク
ネットワーク・アプリ
コンテンツ
デバイス
Closed NW
Internet
CASBWAFマイクロセグメンテーション
MCM・MTPMAM・VPNMDM・EDR
On-premise Cloud
GW
4444
3G/4G
ソフトバンクのセキュリテイソリューション(抜粋)
ソリューション
ネットワーク/ゲートウェイ
デバイス
マルウェア対策
リモートアクセス
セキュアリモートアクセス2
端末セキュリティ
ファイアウォールゲートウェイ
ビジネスコンシェルAirwatch
認証セキュリティ
PKIプラットフォーム
ワンタイムパスワード
クラウドサービス
4545
社内ネットワークにおけるセキュリティリスクの把握
自社ICT環境とリスクを精査し、それぞれ必要なソリューション検討が必要
NW構成
①インターネットGW ②モバイル/SaaS環境③基幹系NW(工場、IoT)
④公開システム
インターネット
インターネット
インターネット
社員PC 社員モバイル/BYOD
工場共有PC
コンシューマー/取引先端末等
インターネット/モバイル網
公開システム(Web等)
インターネット
4646
社内ネットワークにおけるセキュリティリスクの把握
自社ICT環境とリスクを精査し、それぞれ必要なソリューション検討が必要
NW構成
①インターネットGW ②モバイルワーク環境③基幹系NW(工場、IoT)
④公開システム
インターネット
インターネット
インターネット
社員PC 社員モバイル/BYOD
工場共有PC
コンシューマー/取引先端末等
インターネット/モバイル網
公開システム(Web等)
インターネット
本日はここ
4747
インターネットゲートウェイにおけるセキュリティリスク
水飲み場型攻撃
UTM・Anti-Virus・Anti-Spam・Web-filtering
高度な標的型攻撃・SSL通信を介して既存UTMを透過した攻撃が発生
Internet
標的型メールゼロデイ(WannaCryPetya・・・)
感染&権限奪取
社内サーバ(重要情報等含む)
感染&権限奪取
情報漏えいSSL通信→UTM機能享受不可
C&Cサーバ
4848
標的型攻撃対策セキュリティソリューション
ゲートウェイ+エンドポイントによる多層防御と復号済通信ログのSOC監視によりリスク最小化
水飲み場型攻撃
Internet
標的型メールゼロデイ(WannaCry Petya・・・)
②MSS
①NGFW③プロキシ
復号化
EndPoint
全ログ相関分析
4949
ファイアウォールゲートウェイ TypeP
Paloalto社PAシリーズを当社データセンターでマネージド提供
インターネット
閉域網接続インターネット接続
インターネット接続 ファイアウォール 閉域網接続
帯域確保(10M~300Mbps)
モデル(機器)選択 帯域確保(10M~300Mbps)
IPアドレス追加 UTM系オプション(TP、Web-F、Sandbox)
基本サービス
セキュリティオプション
復号化対応
5050
マネージドセキュリティオプション
セキュリティ監視、対処をMSSベンダと弊社セキュリティ運用部隊がお客様に代わり連携し提供
Internet
☑セキュリティインシデントの分析/影響判断
☑セキュリティインシデントの運用管理/拡大防止対応
C&Cサーバ
攻撃者/不正サイト
攻撃痕跡の調査 緊急遮断設定
お客様環境
対応連携
監視・分析 対処MSSベンダ
5151
インシデント発生から対処までのフロー
インシデントの発生検知、分析、対処の一連のサービスを提供
対処通知重要度判定インシデント検知
インシデント発生
検知 対応
検出センサーインシデント分析
調査 通知(電話/メール) 緊急遮断設定
MSSベンダ
5252
URLフィルタリング for Enterprise
お客様専用(物理 or 仮想)のURLフィルタリングサーバ(プロキシ)をマネージド提供
一般サイト
不適切サイト
ブロック/書込規制
警告画面表示
サービスの特徴
SNS書き込みによる情報漏えいを防ぐことによるセキュリティ向上
業務上不要サイトへのアクセス禁止による業務効率の向上
フィルタリング設定による利用者のモラル向上
ワンクリック詐欺、フィッシング等の被害防止
MSS連携全ログ相関分析
5353
モバイルワーク環境におけるセキュリティリスク
高度な標的型攻撃や従業員によるデータ持ち出し等により情報漏えいリスク有
Internet
標的型メール/SMSゼロデイ(Pegasus Quadrooter・・・)
Root権限奪取遠隔制御
情報漏えい
C&Cサーバ
業務サーバ
重要情報をクラウドへ保存
盗難・紛失
データ持ち出し
SSLVPN
5454
モバイルワーク環境向けセキュリティソリューション
Internet
業務サーバ
盗難・紛失
SSLVPN
“SaaSや業務サーバへのアクセス制御”と、”SaaS・エンドポイントでの安全なデータ保存”を実現
③SaaSセキュリティ
②Airwatch
①セキュアリモートアクセス+認証
DLP
アクセス制御
コンテンツ監査
5555
セキュアリモートアクセス2(+PKIプラットフォーム)
SDN基盤
・接続ユーザ設定(利用者アカウント)
・接続設定(同時接続数、接続時間など)
・プールアドレス設定(IPアドレスの配布)
・アクセスリスト(接続先の制御)
設定変更可能項目
Internet モバイル
外出先スマートデバイス
業務サーバ
お客様専用(物理 or 仮想)のSSLVPN機器をマネージド提供
サービスの特徴
PCやスマートデバイスからのリモートアクセスを実現
RADIUS、PKI、ワンタイムPWなど様々な認証に対応
当社データセンターでマネージド提供
SmartVPNWebポータルから様々な設定項目を変更可能
・業務サーバへの安全なアクセス・証明書ベースでの端末認証
クライアント証明書
クライアント証明書
PKIプラットフォームサービス
アクセス制御
5656
Airwatch
モバイルデバイスの統合管理とモバイルアプリにおけDLP機能を提供
システム連携
お客様のオンプレ設備と連携
Mail Server File ServerActive
Directory
SBのサービスと連携
VPN設定インターネットVPNアクセスセキュアリモートアクセス
グローバル対応マルチデバイスマルチOS対応
メール設定
MAM MCMMDM
証明書配布
PKIプラットフォームOffice365
G Suite
紛失時リモートワイプ
VPN設定や証明書配布
5757
AirWatch DLP機能
セキュアアプリでモバイルデバイスからの情報漏えいリスクを極小化
VMware Boxer
データ連携
VMware Browser VMware Content Locker漏えい防止
・セキュアなウェブ閲覧を提供・ウェブ閲覧ポリシーを設定可能
・セキュアなメール閲覧を可能・Email / 連絡先 / Calendarの機能
・セキュアなコンテンツ閲覧が可能・社内のファイルサーバと連携が可能
※iOS版のイメージとなります。
5858
CASBサービス(開発中)
クラウドストレージ内ファイルのセキュリティ状況確認・制御により情報漏えいリスク極小化
CASB 機能
利用状況の可視化
コンプライアンスルール適用
データセキュリティ
脅威防御(Sandbox連携)
API連携
会社PC
会社モバイルBYOD
取引先デバイス
・ファイル閲覧・ダウンロード(リンク付与)・アップロード
5959
機器運用&セキュリティ運用を自社対応するか外部サービスを利用するか?
アウトソース(例) インハウス(例)
セキュリティデバイス(FW、プロキシ等)
資産名義 通信事業者 お客様
設置場所 通信事業者センター お客様DC
運用主体 通信事業者運用者 お客様IT担当
セキュリティ分析監視基盤(SIEM)
資産名義 通信事業者 お客様
設置場所 SOC お客様DC
セキュリティインテリジェンス
SOC SOC
運用・分析主体 MSSアナリスト お客様セキュリティ担当
人的リソース不足・技術の高度化・インシデント数増大等によりアウトソース傾向
6060
機器運用に関する課題
障害復旧対応
技術サポート
脆弱性対応
ソフトウェアバージョンUP
ハードウェア老朽化対応
運用に関する諸課題
当社サービス利用ならすべてソフトバンクが対応
6161
セキュリティ運用に関する課題(自社SIEM運用時)
61
様々な機器の膨大なログを毎日分析、インシデント時は機器への緊急設定など必要
IDS/IPS
FW/UTM
Sandbox
Proxy
お客様サイト (DC/拠点)
EP Security
AntiVirus
お客様ご利用クラウドサービス
CASB
お客様サービス環境
ログ取得LogCollector
LogLogLog SIEM
自社SOC
お客様IT部門
リソースノウハウ不足
お客様IT担当
NW運用セキュリティ運用
分析
セキュリティ機器へ緊急設定
6262
セキュリティ運用に関する課題(MSSサービス利用時)
62
インシデント時は機器への緊急設定など必要(サービス環境への橋渡しは残存)
IDS/IPS
FW/UTM
Sandbox
Proxy
お客様サイト (DC/拠点)
EP Security
AntiVirus
お客様ご利用クラウドサービス
CASB
お客様サービス環境
ログ取得LogCollector
LogLogLog SIEM
自社SOC
お客様運用環境
リソースノウハウ不足
お客様IT部門
NW運用セキュリティ運用
分析結果通知
セキュリティ機器へ緊急設定
6363
SoftBank MSS概要
緊急通知/対応(通信遮断/ブラックリスト登録等)
分析
統合窓口 セキュリティサービス運用(SNOC)
Security NetworkOperation Center
ネットワークサービス運用
問合せ対応 (メール/電話)
LogCollector
IDS/IPS
FW/UTM
Sandbox
Log
Proxy
お客様サイト (DC/拠点)
EP Security
AntiVirus
お客様ご利用クラウドサービス
CASB
LogLog SIEM
お客様
SOC
※
※
63
MSS(MSS) (サービス特化型)
ネットワークとセキュリティを一元的な窓口で24-365オペレーション
https://aka.ms/SEC011
Session ID Title
DEP002新登場! Windows Defender Application Guard 解説~ Microsoft Edge がセキュアブラウザに!?~
DEP003 次世代セキュリティ! Windows Defender Exploit Guard 解説
SEC003 ランサムウェアにも効く。Security Baseline Windows 10 Fall Creators Update