Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

Microsoft が提供する多層検知ソリューション

Softbank様によるネットワークセキュリティの紹介

Perimeter (ペリメーター)

境界線

Network Perimeter

Office 365

Approved Cloud Services

Unmanaged Devices

Shadow ITサイバー攻撃

Resources

Identity Perimeter

攻撃者の一連の流れ

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

出典：http://www.verizon.com/about/news/2015-data-breach-report-info/

230 通開封

URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

出典：http://www.verizon.com/about/news/2015-data-breach-report-info/

230 通開封

URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知

242日感染に気がつかない

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

Azure ATPEMS E5

Windows Defender ATPWindows E5

Office 365

ATPOffice E5

Windows

Defender無償

URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

Office 365

ATPOffice E5

URL/メールフィルター

Exchange Online Protection (EOP)

既知の攻撃をブロック

Office 365

Advanced Threat Protection

(ATP)

サンドボックスで

未知の攻撃を

ブロック

危険なサイトhttps://www.contoso.com

不正なマルウェア 安全

危険

サンドボックス

Office 365 環境を守る セキュリティ

Microsoft Teams

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

Windows

Defender無償

アンチウイルスソフト

4時間

0.01%頻度

種類

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

Windows Defender ATPWindows E5

エンドポイント振る舞い検知

Windows Defender ATP

膨大なナレッジ情報

データをテナントに送信

管理者クライアント

ダッシュボード閲覧エージェントへの命令

ネットワーク分離プロセス停止 etc

Windows Defender ATP とは？

✓ MicrosoftのOS攻撃ナレッジを反映

※ EDR（Endpoint Detection and Response）

Windows Defender ATP 3つのメリット

エージェント展開不要

オンプレを必要としない

クラウドサービス

インターネット経由で

ネットワーク分離可能

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

Azure ATPEMS E5

ID の振る舞い検知

APPSAD

ADFS SIEM

HR

Azure ATPSENSOR

!

3434

メール受信

添付ファイル開封

URLクリック 攻略行為

マルウェアインストール

攻撃者のサーバーへ

接続

持続性 権限昇格 偵察 横方向の移動 ADへ侵入

攻撃者の一連の流れ

Azure ATPEMS E5

Windows Defender ATPWindows E5

Office 365

ATPOffice E5

Windows

Defender無償

URL/メールフィルター アンチウイルスソフト エンドポイント振る舞い検知 ID の振る舞い検知

✓ベンダー数を抑え運用負荷軽減

クライアント

Windows Defender ATP

Office 365 ATP

Azure ATP

4242

自己紹介資料

中野 博徳

ソフトバンク株式会社法人事業統括ICTイノベーション本部ネットワークサービス第1統括部ソリューションサービス第1部

【担当業務】付帯系サービス企画・開発・インターネットゲートウェイサービス

(NGFW, SSLVPN, プロキシ・・・)

・セキュリティ(MSS, PKI, CASB, EPセキュリティ・・・)

・モバイル(AirWatch, モバイルゲートウェイ・・・)

4343

進化する脅威への対応 ~多層防御~

App/Server

NW/GW

企業ICTインフラ 脅威対象カテゴリ

App/Client

サーバセキュリティ

クライアントセキュリティ

ネットワークセキュリティ 1-2Vender

今後の見極め要

今後の見極め要

アプリ

コンテンツ

ネットワーク

ネットワーク・アプリ

コンテンツ

デバイス

Closed NW

Internet

CASBWAFマイクロセグメンテーション

MCM・MTPMAM・VPNMDM・EDR

On-premise Cloud

GW

4444

3G／4G

ソフトバンクのセキュリテイソリューション（抜粋）

ソリューション

ネットワーク／ゲートウェイ

デバイス

マルウェア対策

リモートアクセス

セキュアリモートアクセス2

端末セキュリティ

ファイアウォールゲートウェイ

ビジネスコンシェルAirwatch

認証セキュリティ

PKIプラットフォーム

ワンタイムパスワード

クラウドサービス

4545

社内ネットワークにおけるセキュリティリスクの把握

自社ICT環境とリスクを精査し、それぞれ必要なソリューション検討が必要

NW構成

①インターネットGW ②モバイル/SaaS環境③基幹系NW（工場、IoT）

④公開システム

インターネット

インターネット

インターネット

社員PC 社員モバイル/BYOD

工場共有PC

コンシューマー/取引先端末等

インターネット/モバイル網

公開システム(Web等)

インターネット

4646

社内ネットワークにおけるセキュリティリスクの把握

自社ICT環境とリスクを精査し、それぞれ必要なソリューション検討が必要

NW構成

①インターネットGW ②モバイルワーク環境③基幹系NW（工場、IoT）

④公開システム

インターネット

インターネット

インターネット

社員PC 社員モバイル/BYOD

工場共有PC

コンシューマー/取引先端末等

インターネット/モバイル網

公開システム(Web等)

インターネット

本日はここ

4747

インターネットゲートウェイにおけるセキュリティリスク

水飲み場型攻撃

UTM・Anti-Virus・Anti-Spam・Web-filtering

高度な標的型攻撃・SSL通信を介して既存UTMを透過した攻撃が発生

Internet

標的型メールゼロデイ(WannaCryPetya・・・)

感染&権限奪取

社内サーバ(重要情報等含む)

感染&権限奪取

情報漏えいSSL通信→UTM機能享受不可

C&Cサーバ

4848

標的型攻撃対策セキュリティソリューション

ゲートウェイ＋エンドポイントによる多層防御と復号済通信ログのSOC監視によりリスク最小化

水飲み場型攻撃

Internet

標的型メールゼロデイ(WannaCry Petya・・・)

②MSS

①NGFW③プロキシ

復号化

EndPoint

全ログ相関分析

4949

ファイアウォールゲートウェイ TypeP

Paloalto社PAシリーズを当社データセンターでマネージド提供

インターネット

閉域網接続インターネット接続

インターネット接続 ファイアウォール 閉域網接続

帯域確保（10M～300Mbps）

モデル(機器)選択 帯域確保（10M～300Mbps）

IPアドレス追加 UTM系オプション（TP、Web-F､Sandbox）

基本サービス

セキュリティオプション

復号化対応

5050

マネージドセキュリティオプション

セキュリティ監視、対処をMSSベンダと弊社セキュリティ運用部隊がお客様に代わり連携し提供

Internet

☑セキュリティインシデントの分析/影響判断

☑セキュリティインシデントの運用管理/拡大防止対応

C&Cサーバ

攻撃者/不正サイト

攻撃痕跡の調査 緊急遮断設定

お客様環境

対応連携

監視・分析 対処MSSベンダ

5151

インシデント発生から対処までのフロー

インシデントの発生検知、分析、対処の一連のサービスを提供

対処通知重要度判定インシデント検知

インシデント発生

検知 対応

検出センサーインシデント分析

調査 通知(電話/メール) 緊急遮断設定

MSSベンダ

5252

URLフィルタリング for Enterprise

お客様専用（物理 or 仮想）のURLフィルタリングサーバ（プロキシ）をマネージド提供

一般サイト

不適切サイト

ブロック/書込規制

警告画面表示

サービスの特徴

SNS書き込みによる情報漏えいを防ぐことによるセキュリティ向上

業務上不要サイトへのアクセス禁止による業務効率の向上

フィルタリング設定による利用者のモラル向上

ワンクリック詐欺、フィッシング等の被害防止

MSS連携全ログ相関分析

5353

モバイルワーク環境におけるセキュリティリスク

高度な標的型攻撃や従業員によるデータ持ち出し等により情報漏えいリスク有

Internet

標的型メール/SMSゼロデイ(Pegasus Quadrooter・・・)

Root権限奪取遠隔制御

情報漏えい

C&Cサーバ

業務サーバ

重要情報をクラウドへ保存

盗難・紛失

データ持ち出し

SSLVPN

5454

モバイルワーク環境向けセキュリティソリューション

Internet

業務サーバ

盗難・紛失

SSLVPN

“SaaSや業務サーバへのアクセス制御”と、”SaaS・エンドポイントでの安全なデータ保存”を実現

③SaaSセキュリティ

②Airwatch

①セキュアリモートアクセス＋認証

DLP

アクセス制御

コンテンツ監査

5555

セキュアリモートアクセス2（+PKIプラットフォーム）

SDN基盤

・接続ユーザ設定（利用者アカウント）

・接続設定（同時接続数、接続時間など）

・プールアドレス設定（IPアドレスの配布）

・アクセスリスト（接続先の制御）

設定変更可能項目

Internet モバイル

外出先スマートデバイス

業務サーバ

お客様専用（物理 or 仮想）のSSLVPN機器をマネージド提供

サービスの特徴

PCやスマートデバイスからのリモートアクセスを実現

RADIUS、PKI、ワンタイムPWなど様々な認証に対応

当社データセンターでマネージド提供

SmartVPNWebポータルから様々な設定項目を変更可能

・業務サーバへの安全なアクセス・証明書ベースでの端末認証

クライアント証明書

クライアント証明書

PKIプラットフォームサービス

アクセス制御

5656

Airwatch

モバイルデバイスの統合管理とモバイルアプリにおけDLP機能を提供

システム連携

お客様のオンプレ設備と連携

Mail Server File ServerActive

Directory

SBのサービスと連携

VPN設定インターネットVPNアクセスセキュアリモートアクセス

グローバル対応マルチデバイスマルチOS対応

メール設定

MAM MCMMDM

証明書配布

PKIプラットフォームOffice365

G Suite

紛失時リモートワイプ

VPN設定や証明書配布

5757

AirWatch DLP機能

セキュアアプリでモバイルデバイスからの情報漏えいリスクを極小化

VMware Boxer

データ連携

VMware Browser VMware Content Locker漏えい防止

・セキュアなウェブ閲覧を提供・ウェブ閲覧ポリシーを設定可能

・セキュアなメール閲覧を可能・Email / 連絡先 / Calendarの機能

・セキュアなコンテンツ閲覧が可能・社内のファイルサーバと連携が可能

※iOS版のイメージとなります。

5858

CASBサービス（開発中）

クラウドストレージ内ファイルのセキュリティ状況確認・制御により情報漏えいリスク極小化

CASB 機能

利用状況の可視化

コンプライアンスルール適用

データセキュリティ

脅威防御（Sandbox連携）

API連携

会社PC

会社モバイルBYOD

取引先デバイス

・ファイル閲覧・ダウンロード（リンク付与）・アップロード

5959

機器運用＆セキュリティ運用を自社対応するか外部サービスを利用するか？

アウトソース（例） インハウス（例）

セキュリティデバイス（FW、プロキシ等）

資産名義 通信事業者 お客様

設置場所 通信事業者センター お客様DC

運用主体 通信事業者運用者 お客様IT担当

セキュリティ分析監視基盤（SIEM）

資産名義 通信事業者 お客様

設置場所 SOC お客様DC

セキュリティインテリジェンス

SOC SOC

運用・分析主体 MSSアナリスト お客様セキュリティ担当

人的リソース不足・技術の高度化・インシデント数増大等によりアウトソース傾向

6060

機器運用に関する課題

障害復旧対応

技術サポート

脆弱性対応

ソフトウェアバージョンUP

ハードウェア老朽化対応

運用に関する諸課題

当社サービス利用ならすべてソフトバンクが対応

6161

セキュリティ運用に関する課題（自社SIEM運用時）

61

様々な機器の膨大なログを毎日分析、インシデント時は機器への緊急設定など必要

IDS/IPS

FW/UTM

Sandbox

Proxy

お客様サイト （DC/拠点）

EP Security

AntiVirus

お客様ご利用クラウドサービス

CASB

お客様サービス環境

ログ取得LogCollector

LogLogLog SIEM

自社SOC

お客様IT部門

リソースノウハウ不足

お客様IT担当

NW運用セキュリティ運用

分析

セキュリティ機器へ緊急設定

6262

セキュリティ運用に関する課題（MSSサービス利用時）

62

インシデント時は機器への緊急設定など必要（サービス環境への橋渡しは残存）

IDS/IPS

FW/UTM

Sandbox

Proxy

お客様サイト （DC/拠点）

EP Security

AntiVirus

お客様ご利用クラウドサービス

CASB

お客様サービス環境

ログ取得LogCollector

LogLogLog SIEM

自社SOC

お客様運用環境

リソースノウハウ不足

お客様IT部門

NW運用セキュリティ運用

分析結果通知

セキュリティ機器へ緊急設定

6363

SoftBank MSS概要

緊急通知/対応（通信遮断/ブラックリスト登録等）

分析

統合窓口 セキュリティサービス運用（SNOC）

Security NetworkOperation Center

ネットワークサービス運用

問合せ対応 （メール/電話）

LogCollector

IDS/IPS

FW/UTM

Sandbox

Log

Proxy

お客様サイト （DC/拠点）

EP Security

AntiVirus

お客様ご利用クラウドサービス

CASB

LogLog SIEM

お客様

SOC

※

※

63

MSS(MSS) (サービス特化型)

ネットワークとセキュリティを一元的な窓口で24-365オペレーション

https://www.google.co.jp/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&ved=0ahUKEwiho4eu46PXAhWIXLwKHa2qAycQjRwIBw&url=https://launchcart.jp/seminar/20170529/&psig=AOvVaw0FvSfmc0J8_uvHgmbxw7li&ust=1509845588536661

https://aka.ms/SEC011

Session ID Title

DEP002新登場！ Windows Defender Application Guard 解説～ Microsoft Edge がセキュアブラウザに！？～

DEP003 次世代セキュリティ！ Windows Defender Exploit Guard 解説

SEC003 ランサムウェアにも効く。Security Baseline Windows 10 Fall Creators Update