20180420_sophosutm9

Transcript

1. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 【さくらの夕べ セキュリティナイト】

   Sophos UTM9 徹底解説 〜必要なことをシンプルに〜 興安計装株式会社 ICT技術サービス部門Owlook営業部 技術担当 礒部 良輔 2018/4/20 1

2. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 自己紹介 礒部

   良輔（いそべ りょうすけ）  1980年12月23日生 山羊座 O型  興安計装株式会社 ICT技術サービス部門 営業部技術担当  情報処理安全確保支援士 第001561号  Sophos ソリューションアーキテクト Introduction 2

3. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Agenda 1.

   Sophos UTM9について 2. さくらのクラウドにおける Sophos UTM9の利用について 3. さくらのクラウドにおける Sophos UTM9のデモンストレーション 3

4. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Agenda 1.

   Sophos UTM9について 2. さくらのクラウドにおける Sophos UTM9の利用について 3. さくらのクラウドにおける Sophos UTM9のデモンストレーション 4

5. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 1. Sophos

   UTM9について Sophos UTMの歴史  2011年、ネットワーク アプライアンスを製造販売する Astaro社をSophos社が買収。  元はAstaro Security Gateway。  30,000以上の企業で使われていた。 5

6. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 1. Sophos

   UTM9について Sophos UTMの歴史  2014年からSGシリーズとして販売。 （SGはSecurityGateway）  アプライアンスのみでなく、 ソフトウェアライセンスとしても 提供を開始。  さくらのクラウドで提供している のはこのSGシリーズである、 現行の最新version9.5が利用可能。 6

7. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 1. Sophos

   UTM9について 岩波書店、大興電子通信、サングループ、講談社、芝浦工業大学、新日鉄ソリューションズ、 早稲田大学、東京大学、朝日新聞社、テイクアンドギヴ・ニーズ、伊那市、豊川市役所、 デザインフィルホールディングス、シネックスインフォテック その他、官公庁、地方自治体、銀行、大学、大手自動車メーカー、電機メーカー 、 コンピュータメーカーなど ハンガリー内務省、ブルックリンの宗教法人、キリスト教省庁、 Abu Dhabi（ドイツのインターナショナルスクール）、Futures Inc（ソフトウェアサービス）、 Compatibility（ITセキュリティ、ITサービス）、Integrity Office（ITセキュリティ教育）、 サウスエンド大学病院、First Keystone Community Bank(金融サービス)、 Globelink（ITセキュリティ）、オックスフォード大学、オハイオ州立大学、 Register Construction（建設）、Hannoush Jewelers（宝石小売）、クラントン警察、 バーミリオン図書館（公共機関） 導入実績 国内 ※3500社以上 海外 長い歴史と豊富な導入実績が特徴 7

8. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 1. Sophos

   UTM9について Magic Quadrant 2017 for UTM (SMB Multifunction Firewalls)  リーダー評価  セキュリティ機能が豊富  製品ビジョン、実行力が高い  使いやすく、管理がしやすい。  WAF機能の提供 8

9. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. クラウド環境 ベンダー

   スペック 保護対象 価格（税抜） さくらの クラウド SOPHOS 4コア／16GB 5IP ¥45,468 AWS CheckPoint m4.xlarge （4コア／16GB） 無制限 ¥84,562 Fortinet m3.xlarge （4コア／15GB） ¥170,575 Paloalto m4.xlarge （4コア／16GB） ¥117,380 ※1$：¥106 2018年3月15日現在のレートで計算しております。 ※AWSの料金に関しまして ・ストレージおよびデータ転送は含まれておりません。インスタンスのみの料金となります。 ・単体で起動した際の公表された価格表を参照しております。 参照：https://aws.amazon.com/jp/security/partner-solutions/ 競合他社製品との月額料金比較 1. Sophos UTM9について 9

10. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 1. Sophos

    UTM9について Enterprise appliance ・複雑なITインフラ ・セキュリティの高度な管理機能 ・高機能、フル機能、拡張性 Multifunctional UTM ・シンプルな操作性 ・幅広いセキュリティ機能 ・セキュリティ要件の多様性に対応 Basic FireWall ・低予算 ・基本的なFireWall機能 ・最低限の要件に対応 Sophos UTMが得意とするセグメント Sophosが 得意とする セグメント 10

11. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 1. Sophos

    UTM9について  豊富な導入実績と高い評価  マルチファンクション  中小規模向けに最適 セクションまとめ 11

12. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Agenda 1.

    Sophos UTM9について 2. さくらのクラウドにおける Sophos UTM9の利用について 3. さくらのクラウドにおける Sophos UTM9のデモンストレーション 12

13. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 2. さくらのクラウドにおけるSophos

    UTM9の利用について サービスの提供内容  Sophos UTM9アーカイブイメージ 一部機能を除き、動作検証及び初期設定が完了した 状態のアーカイブイメージを提供します。  Sophos UTM9 利用ライセンス 当社が提供したアーカイブイメージから展開した SophosUTM9のみが適用可能なライセンスを提供します。 引用： Owlook セキュリティマネジメントサービス仕様書（https://www.owlook.jp/kiyaku/shiyou.pdf）より 13

14. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 2. さくらのクラウドにおけるSophos

    UTM9の利用について サービスの提供機能 サービス項目 機能 ネットワークサービス ・DNS ・DHCP ・NTP ユーザポータル リモートアクセスサービスを提供するブラウザベースアプリケーションと付随する各種オプション ネットワークプロテクション ・ファイアウォール ・侵入防御(IPS) ・高度な防御機能(ATP) Webプロテクション ・Webフィルタリング ・アプリケーションコントロール Eメールプロテクション ・SMTPプロキシ ・POP3プロキシ 高度な防御 よりリスクの高い通信の防御 Webサーバプロテクション ・Web Application Firewall（WAF） サイト間VPN ・IPsec ・SSL ・Amazon VPC リモートアクセス ・SSL ・PPTP ・L2TP over IPsec ・IPsec ・HTML5 VPNポータル ・Cisco™ VPNクライアント ログとレポート ・各サービスのログ取得 ・各サービスのレポート作成 ・エグゼクティブサマリーレポートの作成 引用： Owlook セキュリティマネジメントサービス仕様書（https://www.owlook.jp/kiyaku/shiyou.pdf）より ※枠内の機能は デモでご紹介予定 14

15. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 注意点 2.

    さくらのクラウドにおけるSophos UTM9の利用について  当社で動作確認の取れた機能をサービスとして提供。  サービスのサポート範囲は仕様書に記載された範囲内で提供。  さくらのクラウドサービス環境では、一部利用できない機能がある。 引用： Owlook セキュリティマネジメントサービス仕様書（https://www.owlook.jp/kiyaku/shiyou.pdf）より 15

16. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 2. さくらのクラウドにおけるSophos

    UTM9の利用について ライセンスについて  UTMの配下に設置された保護対象（IPアドレス）をカウントする。  初期状態で5ライセンスがバンドルされている。  1ライセンス毎にさくらのクラウドコンパネから追加購入可能。 ライセンスのカウント方法についての詳細は仕様書に記載。 引用： Owlook セキュリティマネジメントサービス仕様書（https://www.owlook.jp/kiyaku/shiyou.pdf）より 16

17. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Sophos UTM9を

    共有セグメントへ展開 2. さくらのクラウドにおけるSophos UTM9の利用について 初期導入のデモンストレーション Scenario 1. パブリックアーカイブから SophosUTM9を展開。 2. 管理画面にアクセスし Activate処理の実施。 3. ライセンスの有効化を確認。 引用： サービス利用手順書 –初期導入編-（https://manual.sakura.ad.jp/cloud/_downloads/sophos-serviceguide_introduction.pdf）より 17

18. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. セクションまとめ（ドキュメント） 2.

    さくらのクラウドにおけるSophos UTM9の利用について サービス仕様書 https://www.owlook.jp/kiyaku/shiyou.pdf かんたん利用手順書 〜初期導入〜 https://manual.sakura.ad.jp/cloud/_downloads/sophos-serviceguide_introduction.pdf かんたん利用手順書 〜ネットワークプロテクション〜 https://manual.sakura.ad.jp/cloud/_downloads/sophos-serviceguide_networkprotection.pdf 18

19. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. セクションまとめ 2.

    さくらのクラウドにおけるSophos UTM9の利用について  ご利用前にサービス仕様書のご一読を  シンプルでかんたん  かんたん利用手順書シリーズは今後拡張予定 手順書の拡張にあわせ導入支援サービス展開も予定 19

20. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Agenda 1.

    Sophos UTM9について 2. さくらのクラウドにおける Sophos UTM9の利用について 3. さくらのクラウドにおける Sophos UTM9のデモンストレーション 20

21. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 3. さくらのクラウドにおけるデモンストレーション

    さくらのクラウドで利用するメリット  ファイアウォール機能を通信管理装置として使う。  IPS・WAF・ATP機能で防御装置として使う。  VPN機能で接続装置として使う。 21

22. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 通信管理装置として使う 3.

    さくらのクラウドにおけるデモンストレーション  基本的な通信制御機能  トラフィックの可視化 22

23. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 保護対象クライアント Windows

    Server 2016 スイッチ プライベートセグメント 192.168.15.0/24 192.168.15.199 (GW:192.168.15.1) Internal 192.168.15.1 External 153.120.102.68 通信管理装置として使う（デモ環境） 3. さくらのクラウドにおけるデモンストレーション 23

24. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 基本的な通信制御機能（ファイアウォール） 3.

    さくらのクラウドにおけるデモンストレーション  ルールセットはD&Dで設定可能  時間帯による制御が可能  自動ルールはVPN設定に便利 24

25. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 基本的な通信制御機能（NAT） 3.

    さくらのクラウドにおけるデモンストレーション  様々なパターンのNATに対応  自動ルールに対応  保護対象へのメンテナンス経路 確保などに便利 25

26. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. トラフックの可視化（ロギング） 3.

    さくらのクラウドにおけるデモンストレーション  ライブログでリアルタイム にデバック可能  ログファイルは自動的に アーカイブされる  リモートSyslog、ログの閾値設定 により、自動的に削除も可能 26

27. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. トラフックの可視化（レポート機能） 3.

    さくらのクラウドにおけるデモンストレーション  統計情報を即時に反映  通信状況の把握には エグゼクティブサマリーレポート 27

28. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. トラフックの可視化（レポート機能） 3.

    さくらのクラウドにおけるデモンストレーション  リソース使用状況  ネットワーク使用状況  ブロックした通信状況  IPS検知状況  ATP検知状況  Web利用状況  アプリケーション利用状況  Eメール利用状況  VPN利用状況 28

29. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 防御装置として使う 3.

    さくらのクラウドにおけるデモンストレーション  NMAPによるポートスキャン  SQLインジェクション  C2サーバへの接続 29

30. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 保護対象クライアント CentOS6.9

    スイッチ プライベートセグメント 192.168.15.0/24 192.168.15.198 (GW:192.168.15.1) Internal 192.168.15.1 example.koan-eng.be External 153.120.102.68 防御装置として使う（デモ環境） 3. さくらのクラウドにおけるデモンストレーション 攻撃用サーバ Windows Server 2016 153.120.102.69 ルータ＋スイッチ 30 保護対象クライアント Windows Server 2016 192.168.15.199 (GW:192.168.15.1)

31. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Scenario 1.

    ノーガード状態で攻撃用サーバからUTMの グローバルIPにポートスキャンを実施。 2. 幾つかのポートが検出されることを確認。 3. flood防御とポートスキャン防御を有効にし UTMのグローバルIPにポートスキャンを実施。 4. IPS機能のライブログでポートスキャンを 防御していることを確認。 3. さくらのクラウドにおけるデモンストレーション NMAPによるポートスキャン 31

32. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 3. さくらのクラウドにおけるデモンストレーション

    NMAPによるポートスキャン 2018:04:17-23:24:23 isobe153 ulogd[4403]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="eth0" srcmac="9c:a3:ba:30:22:3e" dstmac="9c:a3:ba:30:81:26" srcip="153.120.102.69" dstip="153.120.102.68" proto="17" length="328" tos="0x00" prec="0x00" ttl="58" srcport="42869" dstport="36381" 32

33. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Scenario 1.

    攻撃用サーバからWebサイト example.koan-eng.be へサイトへアクセス。 2. SQLインジェクションが成功することを確認。 3. WAF機能を有効にし再度アクセスする。 4. UTMのライブログでWAFが攻撃を 防御していることを確認。 3. さくらのクラウドにおけるデモンストレーション SQLインジェクション 33

34. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 3. さくらのクラウドにおけるデモンストレーション

    SQLインジェクション [security2:error] [pid 23877:tid 4037016432] [client 153.120.102.69] ModSecurity: Access denied with code 403 (phase 2). Pattern match "(.*)" at TX:981318- OWASP_CRS/WEB_ATTACK/SQL_INJECTION-ARGS:id. [file "/usr/apache/conf/waf/modsecurity_crs_inbound_blocking.c onf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 38, SQLi=20, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2” 34

35. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. Scenario 1.

    保護対象クライアント（Windows）から ブラウザを介しC2サーバへ接続する。 2. ATP機能が接続を防御することをWebフィルタの ライブログにて確認。 3. さくらのクラウドにおけるデモンストレーション C2サーバへの接続 35

36. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 3. さくらのクラウドにおけるデモンストレーション

    C2サーバへの接続 36

37. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 接続装置として使う 3.

    さくらのクラウドにおけるデモンストレーション  サイト間VPN  リモートアクセス 37

38. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 保護対象クライアント CentOS6.9

    スイッチ プライベートセグメント 192.168.15.0/24 192.168.15.198 (GW:192.168.15.1) Internal 192.168.15.1 External 153.120.102.68 接続装置として使う（サイト間VPNデモ環境） 3. さくらのクラウドにおけるデモンストレーション 保護対象クライアント Windows Server 2012 スイッチ プライベートセグメント 192.168.12.0/24 192.168.12.199 (GW:192.168.12.10) Internal 192.168.12.10 External 153.120.175.101 拠点A 拠点B 38

39. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. サイト間VPN 3.

    さくらのクラウドにおけるデモンストレーション Scenario 1. 拠点AのUTMでSSL VPNのプロファイルを作成する。 2. 作成したプロファイルを拠点BのUTMに設定する。 3. 拠点Bから拠点AのInternalセグメント https://192.168.15.198/にアクセスできる ことを確認する。 39

40. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 保護対象クライアント CentOS6.9

    スイッチ プライベートセグメント 192.168.15.0/24 192.168.15.198 (GW:192.168.15.1) Internal 192.168.15.1 External 153.120.102.68 接続装置として使う（リモートアクセスデモ環境） 3. さくらのクラウドにおけるデモンストレーション 拠点A Office User: tetsuto-yamada 40

41. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. リモートアクセス 3.

    さくらのクラウドにおけるデモンストレーション Scenario 1. 拠点AのUTMでリモートユーザと接続 プロファイルを作成する。 2. Officeからユーザポータルへアクセスし リモートアクセスクライアントをダウンロードする。 3. OfficeのPCから拠点AのUTMへSSL VPN接続を行う。 4. OfficeのPCから拠点AのInternalセグメント https://192.168.15.198/にアクセスできる ことを確認する。 41

42. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. セクションまとめ 

    通信管理装置として基本的な機能の提供と 全てのアクセスを記録に残すことができます。  防御装置として基本的な防御機能を提供します。  VPN装置としての機能を簡単に実装することができます。 3. さくらのクラウドにおけるデモンストレーション 42

43. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 運用のポイント 

    通知機能をカスタマイズし有効にします。  Up2date、パターンファイル更新を 自動実行し最新の状態を維持します。  エグゼクティブサマリーレポートを取得し、 UTMの状態を把握します。 最後に 43

44. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 最後に 44

45. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. AI 働き方改革

    IoT 過労死 情報漏洩 標的型攻撃 プロセッサ脆弱性 内製化 ダークウェブ 仮想通貨 FinTech VR 機械学習 改ざん 個人情報管理 Facebook サイバー犯罪 ハッキング イイね 2025年問題 東京オリンピック SIGFOX ランサムウェア 人材不足 消費税増税 ワンクリック詐欺 デジタルフォレンジック 超高齢化 年金問題 情報格差 デジタルハラスメント SNS 限られた予算とリソースで 最低限やるべきことをやる必要がある。 最後に 96敗 45

46. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. まとめ 

    中小規模向けのソリューションに強み。  クラウド環境における最低限の機能を提供できる。  導入後も手間をかけずに運用できる。 最後に 46

47. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. ご静聴ありがとうございました。 47

48. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 会社概要 項目

    内容 名称 興安計装株式会社 KOANKEISO CO.,LTD. 創立 昭和35年11月1日（1960年11月1日） 代表者 代表取締役社長 田中康晴 資本金 82,500千円 拠点 ＜本社＞ 愛媛県松山市南吉田町2798-36 TEL（089）972-2627 ＜東京支社＞ 東京都千代田区神田須田町1-25 JR神田万世橋ビル15F TEL（03）5295-8800 他、関西営業所、松山事業所、新居浜事業所、岩国事業所 従業員数 2２2名（2017年4月1日現在） 主なサービス １．ＩＣＴ技術サービス ２．ヘルスケア技術サービス ３．計装技術サービス 48

49. Copyright ©2018 KOANKEISO CO., LTD. All rights reserved. 興安計装のオリジナルブランドOwlook（アウルック）では、システム監視・運用・保 守、セキュリティ運用・管理の統合ソリューションでお客様のビジネスをサポートして

    います。 ® サービスのラインナップ（2018年4月現在） ® とは サービス名 サービス概要 Owlook®システムマネジメントサービス 「Owlook システムマネジメント」は、お客様のシステムを24 時間365日の有人体制で監視し、異常検知時は専門エンジニア が遠隔にて復旧作業を実施します。お客様が実施されている定 期作業・インシデント対応などを、当社が代行することで、お 客様の負担を軽減いたします。また、それらの状況はOwlook ポータルサイトでリアルタイムに確認することが可能です。 Owlook®セキュリティマネジメントサービス 「Owlook セキュリティマネジメント」は、興安計装が契約を結 ぶ、Sophos社の統合脅威管理ソフトウェア「Sophos UTM」、 F-Secure社の脆弱性試験ソフトウェア「Radar」、エンドポイ ントソフトウェア「PSB」を活用した24時間365日の有人体制 のセキュリティ運用・管理サービスです。 49