第88回 雲勉【オンライン：中級者向け】DeepSecurity(C1WS)機能紹介 _現場から出た_にもこたえてみた

Transcript

1. 第88回 雲勉【オンライン︓中級者向け】 DeepSecurity(C1WS)機能紹介 ~現場から出た︖にもこたえてみた~ 2022/11/10

2. 0.講師⾃⼰紹介 1 ▪ 安彦 ⼒樹 • CI事業部 セキュリティセクション 東京第一グループ •

   経歴︓ 2018年 4⽉〜2020年 1⽉ 飲⾷店勤務 2020年 8⽉ アイレット⼊社 • アイレット歴︓2年ちょい • 主な業務︓C1WS (※)を利⽤したsecuritypackの運⽤等 • ふたこと︓初登壇です︕よろしくおねがいいたします︕ 好きなウィスキーはアードベッグです︕ ※以降、Trend Micro Cloud One™ - Workload Securityは「C1WS」と略してお話しさせていただきます。

3. アジェンダ 2 0.講師⾃⼰紹介 1.DeepSecurityとC1WS 2.C1WS機能紹介 3.現場で出たC1WSの「︖」 4.最後に 5.質疑応答

4. 1.DeepSecurityとC1WS 3

5. 1.DeepSecurityとC1WS 4 トレンドマイクロ株式会社 設立：1989年10月24日 事業内容︓ コンピュータ及びインターネット⽤ セキュリティ関連製品・サービスの開発・販売 ⾝近で⼊⼿できるトレンドマイクロ社の製品といえば︖ 引⽤元︓ https://www.trendmicro.com/ja_jp/about/profile.html

   ウイルスバスター

6. 5 1.DeepSecurityとC1WS Deep Security ・サーバー内部のセキュリティを保護する オールインワン製品。 ・トレンドマイクロ社からの直売ルートがなく パートナー企業を経由してライセンスを導⼊ する必要がある。 ・AWS等のマーケットプレイスからサブスクして利⽤可能。

   引⽤元︓https://cloudpack.jp/pdf/TrendMicro_DeepSecurityWhitePaper.pdf

7. 6 1.DeepSecurityとC1WS Trend Micro Cloud One™ - Workload Security(C1WS) ▶

   Deep Security のSaaS版であり、セキュリティ機能に変化はありません。 旧製品名称︓Deep Security as a Service (DSaaS) ★⼤きな違いはマネージャサーバを ⾃前で⽤意するかどうか。 ★あくまでC1WSはDeep Security に属する製品という位置付けです。 https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud.html

8. 2.C1WS機能紹介 7

9. 2.C1WS機能紹介 8 機能名 簡単な紹介 不正プログラム対策機能 サーバへ侵⼊したマルウェア対策 ファイアウォール機能 ファイアウォール設定が可能 WEBレピュテーション機能 サーバから不正ページへのアクセス防⽌

   侵⼊防御機能(IPS/IDS) サーバへの不正な通信を検知・遮断 変更監視機能 監視対象のファイルの作成、更新、削除の検知 セキュリティログ監視機能 監視対象のOSのセキュリティイベントの検知 アプリケーションコントロール 意図しないアプリケーションのインストール等を制限 機能紹介 ※ファイアウォール機能とアプリケーションコントロールを除く機能をサービス「securitypack」にて提供しております。

10. 2.C1WS機能紹介 9 機能紹介（不正プログラム対策機能①） ・対象︓ ウイルスやトロイの⽊⾺などの可能性のあるファイル。 ・どのように: トレンド社の脅威データベースの情報をもとにチェックします。 ・処理︓ 削除、隔離、放置、駆除(⼀部脅威に対して選択可能) ・スキャン⽅法︓

    リアルタイム – 読み書きが⾛った瞬間にスキャン。 オンデマンド – 最新のパターンファイルで全ファイルスキャン。 ⼿動スキャン、予約(定時)スキャンがある。 C1WSコンソールより引⽤

11. 2.C1WS機能紹介 10 機能紹介（不正プログラム対策機能②） ・パターンファイルとは ウイルス対策ソフトがマルウェアを検出する際に用いる情報を含んだ一種のデータベースのこと。 ▶ 更新日時が最新であることが良いとされている。 ②いつ更新されるか分からないから、 1時間に1回状況を確認するよ︕ ・トレンドマイクロ社のパターンファイル更新頻度

    基本的に曜日・休日を問わず毎日。1日に複数回更新される場合もある。 ▶あくまで更新のみ。自身の運用している環境に反映するためにはDLする必要がある。 ①パターンファイル更新したよ︕ ・弊社の運⽤の場合 ⾃動化して最新の状態をキープ !

12. 2.C1WS機能紹介 11 機能紹介（侵⼊防御機能①） ・対象︓ サーバ上で発信および受信される通信の中の脆弱性に該当する通信。 ・どのように︓ 侵⼊防御ルールを割り当て、通信がそのルールに合致するか検査する。 ex)XSS⽤のルール、log4jの脆弱性に対するルールなど ・処理︓ 検出モードの場合

    – 検知イベントが作成されるだけ。 ▶誤検知が⽣じやすいルールや仮運⽤期間に利⽤。 防御モードの場合 – 検出イベントが作成され、その通信は遮断される。 ▶アクセスログに書き込まれない。 ★主にL3〜L6の保護(⼀部L7まで対応が可能) 仮運用期間とは？ ここではサービスがリリースしたてで どのような通信がC1WSで検知するか わからない期間を指しています。 この時期は攻撃通信とサービスの通信を 判別する材料が少ないため、 侵入防御ルールを検出モードで稼働させ、 通信の検知動向を確認しています。

13. 2.C1WS機能紹介 12 機能紹介（侵⼊防御機能②） ・侵⼊防御ルールは基本的に毎週⽔曜(JST)に配信されます ▶配信状況はwebまたはコンソール上から確認でき、 ユーザが適⽤する(⾃動化も可能)。 ※Log4jの脆弱性のような緊急で対応が必要なものや、 ルール自体の不具合があった場合は緊急リリースを行う。 引⽤元︓https://www.trendmicro.com/vinfo/us/threat-encyclopedia/vulnerability/deep-security-center

14. 2.C1WS機能紹介 13 機能紹介（侵⼊防御機能②） ▪侵⼊防御機能で対策が難しい攻撃 ・DDoS攻撃 複数のコンピューターを利⽤してサイバー攻撃を仕掛け膨⼤なデータを 攻撃対象のサーバへ送ることで、結果としてより過剰な負荷がかかることで サービス停⽌に追い込む攻撃 ▶侵⼊防御機能の仕様上サーバ到達前に通信を遮断することができない。 ・ブルートフォースアタック

    いわゆるパスワード総当たり攻撃です。 ▶パスワード失敗は脆弱性が介在しないため攻撃に合わせた 柔軟なアクセス制御を行う侵入防御ルールが用意できない。 ※指定時間内に しきい値を超過した過剰アクセスを検知するルールはあります。 引⽤元︓https://www.ntt.com/business/services/network/internet-connect/ocn- business/bocn/knowledge/archive_18.html ★他のセキュリティ機能を併⽤して多⾯的に保護することが⼤切︕

15. 2.C1WS機能紹介 14 機能紹介（変更監視機能①） ・対象︓ 変更監視ルールによって監視されているパスのファイル ・どのように︓ ベースラインに基づきレジストリ値、レジストリキー、プロセスの変更を検知。 ※検知ファイル内の具体的にどこが変更されたか等までは確認できない ・処理︓ 検出のみ(もとの状態にロールバックする機能はありません)。

    ・スキャン⽅法︓ リアルタイム、オンデマンド(⼿動スキャン、予約(定時スキャン)) ベースラインとは？ スキャンした情報との 比較対象となる基準の状態。 ここから差分が生じると アラートが発報される。

16. 2.C1WS機能紹介 15 機能紹介（変更監視機能②） ベースラインと検知について 前提： ・test.txtは監視対象であり、ベースラインに含まれている。 ・test.txtには「1+1=2」のみ記載されている。 ①test.txtを「1*1=1」に更新し手動でスキャンした ▶ベースラインから差分が生じたため検知する。＋差分が基準になる ②続けてtest.txtを「1-1=0」に更新し手動でスキャンした

    ▶①の差分が保存されたベースラインから差分が生じたため検知する。 ③test.txtを「1+1=2」と更新し、ベースラインを再設定した後スキャンした。 ▶更新後の状態がベースラインとなるため差分が確認できず検知しない。

17. 3.現場で出たC1WSの「︖」 16

18. 3.現場で出たC1WSの「︖」 17 ①AWS以外のクラウドにも対応しているの︖ マルチクラウド対応です。 AWS、GCP、AZUREならアカウント連携すると C1WSコンソール上からサーバの状況(停⽌中/稼働中まで) を確認できます。

19. 3.現場で出たC1WSの「︖」 18 ②サーバレスアーキテクチャへの導⼊は可能︖ DSAをインストールできないため監視ができません。 C1WSと同様のセキュリティ機能が実現できるわけではありませんが、 Cloud One™ConformityやPrisma Cloudなど、 サーバーレスセキュリティに利⽤できる製品をご検討ください。

20. 3.現場で出たC1WSの「︖」 19 ③セキュリティログ監視と変更監視の違いは︖ 主に監視している箇所が違います。 変更監視機能 機能 セキュリティログ監視機能 サーバ内のファイル 監視箇所 OSのイベントログ

    監視対象の作成/更新/削除 検知理由 特定のOSイベントの表⽰ リアルタイム/オンデマンド 検知タイミング リアルタイム 更新時間、ハッシュ値に留まり ファイルの中⾝は確認できない。 イベントの中⾝ 検知したセキュリティイベントがその ままC1WS上に表⽰される 検出のみ 検知後処理 検出のみ

21. 3.現場で出たC1WSの「︖」 20 検知イベントの例︓ 変更監視機能の場合 ▪リアルタイムによる検知 ・更新をリアルタイムで検知しているため 検知時刻(日時)が更新時刻に一致する。

22. 3.現場で出たC1WSの「︖」 21 検知イベントの例︓ 変更監視機能の場合 ▪オンデマンドによる検知 ←更新時刻と検知時刻が異なる ←更新時刻と検知時刻が異なる

23. 3.現場で出たC1WSの「︖」 22 検知イベントの例︓セキュリティログ監視イベントの場合 ▪Linuxの場 合︓ ▪windowsの場 合︓ ↑元々のイベントに⼀致 ↑元々のイベントに⼀致

24. 3.現場で出たC1WSの「︖」 23 ④各機能のユースケースを聞きたい 基本的に全機能利⽤いただくことがセキュリティ的には良いです。 ただし、各機能は要件や⽅針に合わせて取捨選択いただければと思います。 ▪ケース①︓ AWS（インフラ側）サーバに到達する通信を管理している ▶ファイアウォール機能を利⽤して⼆重管理する必要はないのでオフにする。 ▪ケース② できるだけサーバ内の情報を外に出したくない。

    ▶セキュリティログ監視機能をオフにする。

25. 3.現場で出たC1WSの「︖」 24 ⑤各サーバに適切なルールを割り当てるのは⼤変では︖ 推奨設定の検索を利用することで ルール割り当ての負担を最小限にできます。 ただし、、、 ・一部のルールは推奨検索により推奨されないため、 必要の場合は手動で割り当てる必要がある。 (XSS用のルールや自作ルールなど) ・推奨されるルールはあえて広い範囲で推奨されるため、

    脆弱性がないのに割り当てられる場合もある。 (WPを利用していなくてもPHPが入っていれば推奨される) 推奨設定の検索とは？ エージェントがOS内を検索し、 インストールされたアプリケーションや オープンポート、設定などをチェックし、 そのOSに合ったルールを抽出する機能。

26. 3.現場で出たC1WSの「︖」 25 ⑥仮想パッチ的な運⽤はC1WSで可能︖ 侵⼊防御機能にてルールが配信されている場合 適⽤することで可能となります。 ただし、、、 全てC1WSに頼りきりにすることは望ましくありません。 ・攻撃コードなどが公開されていない場合 ・ルール作成に必要な情報が不⾜している場合 ルールが作成されないor配信遅延する可能性があります。

    仮想パッチとは︖ ソフトウェアベンダーが提供する 本来のセキュリティパッチを 早急に適用する事が難しい環境環境に対し 暫定的なセキュリティを担保するために 適用するセキュリティ対策。

27. まとめ 26 C1WSでできること ・毎⽇更新される最新のパターンファイルを利⽤したマルウェア対策 ・ホワイトリスト管理によるサーバ内のアプリケーション制御 ・通信トラフィックを監視し、不要な通信を遮断できる。 ・危険なサイトへの通信を事前に遮断できる。 ・システムの重要なイベントに気づける。 ・重要なファイルの変更を監視できる。 ・仮想パッチとしての侵⼊防御機能。

    …etc

28. まとめ 27 C1WSは⼿軽に試すことができます。 https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-workload-security.html ・無料の30日間体験版では、Trend Micro Cloud Oneの全機能が利用可能！ ・面倒な会員登録不要。メアドだけ用意して即サインアップ！

29. いろいろ聞いてきたけど、、、 28 ▪ C1WS導⼊要件よくわからん。 ▪ 実際に運⽤しないとわからないことって多くない︖ ▪ 深夜にアラートが⾶んできたりするんでしょ︖ ▪ C1WSのライセンス等、アカウント管理が⾯倒、、、

    ▪ 知識０から運⽤していくにはラーニングコストが⾼い、、、 ▪ アプリ開発に⼒注ぎたいからできればリソース割きたくない、、、 ▪ ルール多すぎて何を追加するべきか絶対悩む、、、 ▪ どっかに任せたい。。。

30. 4.最後に -サービス「securitypack」について- 29

31. 4.最後に -サービス「securitypack」について- 30 セキュリティ機能をオールインワンで提供。 有⼈によるセキュリティ監視を24時間365⽇リモートで対応。 ※securitypackを契約いただくためにはcloudpack監視運⽤保守サービスを 契約いただく必要があります(securitypackのみのサービス提供はございません)。 ▪ C1WS導⼊要件よくわからん。ルール設定悩む ▶初期構築、ルール設定を代⾏します。

    ▪ 運⽤、管理にリソース割きたくないし深夜のアラート対応つらい ▶24365の体制で監視し運⽤の代⾏をします。 ▪知識０から運⽤していくにはラーニングコストが⾼い ▶現在1000サーバ以上の運⽤している実績から得たノウハウ を元にサポートしていきます。 …etc

32. もう少し詳細が知りたい、、、︕ 31 「securitypack」で検索︕

33. 質疑応答 32 Q：C1WS利用するのにコストはかかりますか？ A： 金銭コストと解釈して回答いたします。 フリートライアル期間については５台までの制約はありますが、 全ての機能が追加コストなしで利用できます。 フリープラン終了後はライセンス販売をしているパートナー企業の 提示する金額で購入し利用してください。 マーケットプレイスの場合は従量課金となります。