2022年の攻撃からみる脅威の実態と対策～マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

Oracle Cloud ウェビナー
2022年の攻撃からみる脅威の実態と対策
～マルウェア、脆弱性の悪用、DDoSとの戦い方
日本オラクル株式会社
事業戦略統括事業開発本部大澤清吾, CISSP
クラウドエンジニアリング統括 COE本部西村克也, CISSP
2023年3月15日

View Slide

1. セキュリティのトレンド
2. オラクルのセキュリティへの取り組み
3. ネットワークセキュリティソリューションのご紹介
アジェンダ
Copyright © 2023, Oracle and/or its affiliates
2

View Slide

3
セキュリティのトレンド

View Slide

グローバルでのセキュリティインシデント
Thales, Impresa,
France ministry of
Justice. Red Cross
2022 1月
San Fran. 49ers,
Swissport,
McDonalds
2022 2月
Microsoft
Samsung, Okta,
Vodafone, AON
2022 3月
Coca Cola,
Russian Orthodox
Church
2022 4月
Vivalia, AGCO,
Christus Health,
Bank of Zambia
2022 5月
Macmillan
Publishers
Shoprite
2022 6月
City of Palermo,
La Poste Mobile
Entrust, Walmart
2022 7月
Entrust, La Poste
Mobile, Goa Water
Resource Dept.
2022 8月
TAP Air Portugal,
Cisco, Uber, LA
School District
2022 9月
Ferrari, Bank of
Brasilia, Pinnacle,
Tata Power, AT&T
2022 10月
Thales, Sobeys,
Legal Aid ACT,
Vanuatu, Ikea
2022 11月
Rackspace, City of
Antwerp,
Intersport France,
2022 12月
4

View Slide

10万件以上の情報漏洩、若しくは報道で大きく取り上げられたものを抜粋
近年、日本国内において多くの情報漏洩事件が発生しています（2020-2022年）
5
内部不正、外部からのサイバー攻撃による事件が増加しています。境界防御だけでは防ぎきれない状況が伺えます。
年日付法人・団体名件数・人数原因
境界
防御
漏洩内容
2022
10/31
大阪急性期・総合
医療センター - (システム障害) ランサムウェア × 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止した。
9/20 ニトリホールディングス約13万2,000 パスワードリスト型 × スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス
6/24 尼崎市 (46万517人) 内部不正 × 再委託先の従業員が、データ移管作業のためにUSBメモリーを不正に持ち出しと消去をせず、一時紛失
3/22 森永製菓 164万8,922名不正アクセス × ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃
2/28 メタップスペイメント最大46万395件不正アクセス × アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出
1/29 日能研最大28万106件不正アクセス SQLインジェクションを使った外部からの不正アクセス
1/12 北海道ガス 3万1,463件内部不正 × HDD１台が所在不明となり、内部に記録されていた個人情報関連データが流出した可能性
2021
11/4 ライトオン 24万7600件不正アクセス通販サイトへのサイバー攻撃により、同サイトと店舗会員24万7,600人分の個人情報が流出
8/6 警視庁 26万件内部不正 × 特権IDで捜査情報や人事情報に不正アクセス。上司のPCから26万件の運転免許データを削除
8/5 村田製作所 72,460件内部不正 × 会計システムの更新プロジェクトに携わっていた中国の再委託先社員が、取引先情報などを不正取得
3/31 神奈川県警詳細調査中内部不正 × 捜査で知り得た情報を漏らす見返りに、現金を受け取っていた可能性あり
3/29 松井証券 210名内部不正 × システム開発担当企業のSEが、顧客のID、パスワード、暗証番号を不正入手
2/12 マイナビ 21万2,816名不正アクセス不正ログインが発生し、サービス利用者21万2,816名分の履歴書情報が流出
1/15 ソフトバンク 170の機密ファイル内部不正 × ライバル企業に転職した元社員の社外秘情報持ち出し
2020
11/20 三菱電機 8,635件不正アクセスクラウドサービスへの攻撃により、取引先企業や個人事業主の金融口座情報について、情報が流出
11/17 peatix lnc. 677万件不正アクセスイベント管理サービスの677万件の氏名,メースアドレス,パスワード等の利用者情報が流出した可能性
11/16 カプコン合計約35万件不正アクセスサイバー攻撃により、保有する顧客・従業員等の情報合計約35万件に流出の可能性があると発表
9/8 NTTドコモ 120件不正利用ドコモ口座を悪用し、七十七銀行、東邦銀行、中国銀行など複数の銀行口座で不正出金が発生
7/22 みずほ総合研究所約250万件媒体の誤廃棄 × 顧客情報約66万9千件、顧客のサービス利用実績を記録した外部記憶媒体を誤って紛失(廃棄)
4/24 任天堂約16万件パスワードリスト型 × 「ニンテンドーネットワークID」約16万件及び、一部の「ニンテンドーID」に対し外部からの不正ログイン
4/19 リジョブ最大20万6991件不正アクセステストサーバーのデータベースに2015/12/5以前に登録していた最大20万6991件の流出の可能性
4/13 Classi 最大122万件不正アクセス教育機関向けSaaS「Classi」の最大122万件の利用ID・暗号化されたパスワードが流出の可能性

View Slide

近年、日本国内において多くのセキュリティインシデントが発生（2022年）
6
年日付法人・団体名原因インシデント内容
2022
11/21 ワコム不正アクセス「ワコムストア」に不正アクセスが発生、最大14万7,545名の個人情報が流出した可能性
10/31
大阪急性期・
総合医療センター脆弱性の悪用電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止
10/4 しゅくみねっとアプリ不具合管理者向けの検索システムの不具合で、組織外を含む全会員の情報を閲覧できる状態
9/20 ニトリホールディングスパスワードリスト型スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス
9/6 デジタル庁 DDoS攻撃デジタル庁が所管する行政情報のポータルサイトでDDoS攻撃によるアクセス障害が発生
8/1 ディスコ脆弱性の悪用 Webアプリケーションの脆弱性を突いたSQLインジェクションにより情報が流出した可能性
7/17 南房総市立小中学校ランサムウェア校務ネットワークがランサムウエアを使用したサイバー攻撃によりデータが使用不可
7/13 ハーモニック脆弱性の悪用システムの脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんされ漏洩
6/29 ディスクユニオン脆弱性の悪用オンライン上のサーバーのセキュリティ上の脆弱性が生じており、悪意ある第三者が不正アクセス
6/20 鳴門山上病院ランサムウェアランサムウェアにより電子カルテや病院内のLANが使用不可に。バックアップによって早期復旧
5/16
富士通クラウド
テクノロジーズ脆弱性の悪用 FJcloud-Vおよびニフクラの一部のロードバランサー機器の脆弱性を悪用した不正アクセスが発生
3/13 森永製菓ランサムウェア不正アクセスによりランサムウェアに感染し、システムダウン、データが不正に暗号化される
3/7 東映アニメーションマルウェア
外部からダウンロードしたソフトウエアに不正プログラムを混入され、そこを起点に不正アクセスが行われ、通常業
務や作品制作の一部に遅れが発生
2/28 メタップスペイメント脆弱性の悪用アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出
2/28 小島プレス工業不正アクセス社内サーバーの1つが停止する異常事象を検知しネットワークを遮断した影響で国内の全ライン停止
1/29 日能研脆弱性の悪用 SQLインジェクションを使った外部からの不正アクセス
サイバー攻撃による事件が増加しています。

View Slide

主なセキュリティインシデント
セキュリティインシデントとは：
組織が定めるセキュリティポリシーやコンピュータの利用規定に対する違反行為または差し迫った脅威、あるいは、標準的
なセキュリティ活動に対する違反行為または差し迫った脅威 NISTコンピュータセキュリティインシデント対応より
一例
7 Copyright © 2023, Oracle and/or its affiliates
セキュリティインシデント概要事例
マルウェア感染悪意のある不正プログラムやコードをPCやサーバー等に感染させることで、データの抜き出しなど
有害な動作を行う攻撃
スパイウェア、ワーム、ウイルス、トロイの木馬、ランサムウェアなどの総称
森永製菓
東映アニメーション
DoS攻撃・DDoS攻撃ネットワーク上に配置されたサーバーなどに対して大量にデータを送ることでサーバーをダウンさせ、
サービスを提供できないようにする攻撃
デジタル庁
Webサイトの改ざん Webアプリケーションを構成するサーバーやソフトウェアに存在する脆弱性を悪用したり、システ
ムの管理者権限の乗っ取り等により、Webサイトを意図しない状況に変更する攻撃
ハーモニック
脆弱性の悪用
（不正アクセス）
システムやソフトウェアに存在する脆弱性を悪用してシステムに侵入し、データの抜き取りやシス
テムの破壊などを行う攻撃
富士通クラウドテクノロジーズ

View Slide

• DDoS攻撃により、デジタル庁が所
管する行政情報のポータルサイトに
てアクセス障害が発生
•
不正プログラムが混入されたソフト
ウェアを誤ってダウンロードし、
不正アクセスが発生
•
不正アクセスにより、Webアプリケー
ションが改ざんされる
•
ロードバランサ―機器の脆弱性を
悪用した不正アクセスが発生
•
不正アクセスによりランサムウェアに
感染し、システムダウン、データが不
正に暗号化される
2022年に発生したセキュリティインシデントの事例とその対策
8
• DDoS攻撃
•
業務に使用するソフトウェアの
配布元サイトの改ざん
• Webアプリケーションに存在して
いた脆弱性の悪用
•
ロードバランサの脆弱性の悪用
デジタル庁 •
同一IPアクセスからの
アクセス制限
•
インターネット回線に設置してい
たネットワーク機器の脆弱性の
悪用
•
不正侵入を検知
•
パッチの適用、脆弱性情報収集
•
セキュアなバックアップ
東映アニメーション •
不正侵入を検知
ハーモニック
•
アプリケーションに存在する脆弱
性を狙った攻撃を検知、防御す
るファイアウォールの導入
富士通クラウドテ
クノロジーズ
•
パッチの適用
•
脆弱性の情報収集
•
多層防御
森永製菓
原因どのような対策を必要か
事件の概要

View Slide

CERT NZで対応した事例に基づく、人間が操作するランサムウェアインシデントの一般的な攻撃経路
ランサムウェアのインシデント・ライフサイクル
https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ から翻訳
フィッシング
パスワード
推測
有効な
認証情報
脆弱性の
利用
メール
悪意のある
文章
マルウェア
コマンドと
制御
インターネット
公開
サービス横への
動き
特権への
昇格
データの
抽出
バックアップ
破壊
データの
暗号化
初期アクセス
攻撃者はネットワークへの侵入経路を探索
統合と準備
攻撃者はすべてのデバイスへの
アクセスを試行
目標への影響
攻撃者はデータを盗み、
暗号化し、身代金を要求
Availability
(可用性)
Integrity
(完全性)
Confidentiality
(機密性)

View Slide

守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが寛容です
ネットワーク中心型セキュリティモデルデータ中心型セキュリティモデル
ゼロトラスト時代のデータ中心のセキュリティ対策
10
• 境界を突破された攻撃に無防備
• 対応できる脅威が限定的
• 内部攻撃(標的型攻撃,内部不正)から守れない
• 一元的なポリシーによるセキュリティ強化
• 新たな脅威に対しても効果的に保護
• 内部犯行、特権ID奪取にも対応
セキュリティ
ポリシー
ID管理
データ
アプリ N/W
内部不正
パスワードリスト
型攻撃
管理者
なりすまし攻撃
アプリケーション
への不正アクセス
Security
Enforcement
ネットワーク機器
脆弱性への攻撃
Detection & Response
Endpoint(端末)
ユーザ
ネットワーク
内部不正
データ
暗号化
特権ユーザー管理
アプリケーションへ
の不正アクセス
管理者
型攻撃
監査証跡
行列アクセス制御
多要素認証
アプリ
サイバーセキュリティ

View Slide

ゼロトラスト時代のデータ中心のセキュリティ対策
11
セキュリティ
ポリシー
ID管理
データ
アプリ N/W
内部不正
型攻撃
管理者
Security
Enforcement
Endpoint(端末)
ユーザ
内部不正
データ
暗号化
管理者
型攻撃
監査証跡
多要素認証
アプリ
ネットワーク

View Slide

12
オラクルのセキュリティへの取り組み

View Slide

オラクルが実現する堅牢なセキュリティ
データ中心の
セキュリティ
自動化された
セキュリティ
管理
セキュリティ
・バイ・デザイン
SECURITY ON THE CLOUD
＋
強力、完全なテナント分離
強制的な暗号化
(Database/Storage/Network)
階層型権限管理
リスクのある設定・行動を自動検知
13 * WAF: Web Application Firewall
脆弱性スキャン
セキュリティポリシーの自動有効
特権ユーザーのアクセス制御
ボット対策とWAF/
次世代ファイアウォール
多要素認証とリスクベース認証
重要情報の隠蔽セキュリティ構成
機密データ発見アクティビティ監査
DBセキュリティ対策の自動化
脆弱性自動修復
緑字：他社にないもの
自動化されたバックアップとリカバリ
DDoS保護サービス
SECURITY OF THE CLOUD

View Slide

クラウドプラットフォームレベルでの環境隔離と暗号化
階層型権限管理
✓ 部署ごとの権限設定を実現
✓ コンパートメント間のリソースアクセ
スが可能、部署を跨いだシステム
構築も容易
✓ コンパートメント毎のクオータ設定に
より使い過ぎを抑止
強制的な暗号化
✓ すべてのデータ・サービスはOracle
がフルマネージドで暗号化
✓ データベースファイル,ストレージ
Block Volume, Boot Volume
✓ すべてのネットワーク通信も暗号化
強力、完全なテナント分離
✓ 分離された仮想ネットワークにより
情報漏洩のリスクを最小化
14
セキュリティ
AD2
リージョン1
AD2
リージョン2
MACSec
高速・スケーラブルな
Layer2 暗号化
部署ごとにCompartment（サブアカウント）を作成
「コンパートメント」モデル
テナント
コンパートメント A コンパートメントB
ユーザーグループポリシー
ポリシーポリシー
部署-A 部署-B
Hypervisor
VM VM VM
VM VM VM
ホストOS / カーネル
ネットワーク仮想化
物理サーバー
すべてのデータ
を暗号化

View Slide

• 一般的なL3およびL4に対するネットワーク攻撃から
OCIインフラを常時保護
• SYN flood、UDP flood、ICMP flood、
NTP reflection、DNS reflectionなど
• フルマネージドサービス
• ユーザによる設定、監視不要
(<->設定のカスタマイズやログ参照不可)
• 標準機能のため追加コスト不要
OCI DDoS Protection : 無償のL3/L4 DDoS保護サービス
15
OCI Region DDoS Protection
compute
Database
Storage
Internet
正常トラフィック不正トラフィック
セキュリティ

View Slide

再掲）ゼロトラスト時代のデータ中心のセキュリティ対策
16
セキュリティ
ポリシー
ID管理
データ
アプリ N/W
内部不正
型攻撃
管理者
Security
Enforcement
Endpoint(端末)
ユーザ
ネットワーク
内部不正
データ
暗号化
管理者
型攻撃
監査証跡
多要素認証
アプリ

View Slide

17
ネットワークセキュリティソリューションのご紹介

View Slide

すべてのレイヤーにセキュリティが組み込まれた包括的なソリューション
OCI Securityが実現する多層防御
18
データ中心の
セキュリティ
外部からの攻撃
» ボットによる攻撃
» 標的型攻撃
» ランサムウェア
» DDoS
内部からの攻撃
» バックドア
» 内部不正
» 不正アクセス
特権ユーザー
管理
ネットワーク
IDアクセス
管理
インフラ
ストラクチャ
データベース
データ
強制的な
暗号化
監査証跡
行列レベルの
アクセス制御
設定ミスの
検知・是正
多要素認証
強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理
Web
Application
Firewall
IAM Identity
Domains/
Identity
Cloud Service
Security Zones
Data Safe
Observability and Management
Threat Intelligence
Autonomous Database
Vulnerability Scanning
OCI
Network Firewall
Cloud Guard
Cloud Guard
Threat Detector
Database Vault

View Slide

Tokyo Region
OCIネットワークのファイアウォール機能
19
VCN
10.0.0.0/16
Internet
Gateway
Network Firewall
Private Subnet
10.0.2.0/24
Firewall Subnet
10.0.0.0/24
Private Subnet
10.0.3.0/24
Virtual
Machine
Virtual
Machine
Database
System
ADB-D
Public Subnet
10.0.1.0/24
Load
Balancer
WAF
(Region)
Users
Internet WAF (Global)
Network
Security
Group
Security Lists
WEBアプリケーションの保護
に特化したFirewall
VCN内のトラフィックを
網羅的に検査するFirewall
サブネットまたはVNICに
対する基本のFirewall

View Slide

Security List
Network Security Group

View Slide

21
Tokyo Region
VCN
10.0.0.0/16
Internet
Gateway
Network Firewall
Private Subnet
10.0.2.0/24
Firewall Subnet
10.0.0.0/24
Private Subnet
10.0.3.0/24
Virtual
Machine
Virtual
Machine
Database
System
ADB-D
Public Subnet
10.0.1.0/24
Load
Balancer
WAF
(Region)
Users
Network
Security
Group
Security Lists
サブネットまたはVNICに
対する基本のFirewall

View Slide

セキュリティ・リスト
基本のファイア・ウォール
サブネットに対するインバウンド・アウトバウンド
通信を制御する仮想Firewall
IPアドレス、プロトコル、ポートを指定
設定できるのはAllowルールのみ
サブネット内すべてのインスタンスにルールが
一括に適用される
CIDR/Serviceを選択プロトコルタイプを設定
トラフィックの発生ポートを設定トラフィックの宛先ポートを設定
外部から入ってくるアクセス許可の設定
外部へ出ていくアクセス許可の設定
CIDRを設定
①すべてのIPアドレス(0.0.0.0)からのssh通信を許可
②インスタンス外部へのすべてのプロトコル通信を許可
Internet
Subnet
10.1.0.0/24
VCN 10.1.0.0/16
① ssh
Port 22
Security Lists
22

View Slide

インスタンスの仮想NIC（vNIC）に関連付けられるアクセスルール
セキュリティ・リストと同様にインバウンド・アウトバウンド通信を制御する仮想Firewall
インスタンスの仮想NIC（vNIC）に関連付ける--> 仮想NIC（vNIC）単位でのセキュリティ設定になる
複数の仮想NIC（vNIC）を関連付けることも可能 --> 複数の仮想マシンに同じセキュリティ設定を適用できる
ネットワーク・セキュリティ・グループ(NSG)
Subnet
10.1.0.0/24
VCN 10.1.0.0/16
Network
Security Group

View Slide

Web Application Firewall

View Slide

Tokyo Region
25
VCN
10.0.0.0/16
Internet
Gateway
Network Firewall
Private Subnet
10.0.2.0/24
Firewall Subnet
10.0.0.0/24
Private Subnet
10.0.3.0/24
Virtual
Machine
Virtual
Machine
Database
System
ADB-D
Public Subnet
10.0.1.0/24
Load
Balancer
WAF
(Region)
Users
Network
Security
Group
Security Lists
WEBアプリケーションの保護
に特化したFirewall

View Slide

Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス
クロスサイトスクリプティングやSQLインジェクション等の様々なサイバー攻撃から、Webアプリケーションを保護
Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断
Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等に保護
用途に合わせたグローバルWAFとリージョナルWAFの２種類のWAFをサポート
26
WAF and Anti-Bot Protection
クラウドベース
Web APP
オンプレミス
Web APP
Oracle Cloud
Web APP
悪意のボット
ハッカー
ユーザー
善良なボット
スパムメール
アクセス制御脅威
インテリジェンス
ボット対策保護ルール
すぐにデプロイできる俊敏性
マネージドサービスによる設定・運用管理の容易性
特定の国, URL
IP, ユーザー
エージェント等の
制限
最新の脅威情
報を基に脆弱
性をつく攻撃を
防御
悪意のボットを
ブロックさせるた
めのトラフィック
行動分析
サイバー攻撃を
遮断する600を
超えるルール
およびOWASP
トップ10への対応
専門
チーム
極度な状況の
場合に動員さ
れる専門家

View Slide

グローバルWAF
Webサーバー(オリジンサーバー)の前段にリバースプロキシとして配置
実際のWAFリバースプロキシサーバーは、世界中の22拠点に展開するPoP(Point of Presence)に分散配置
クライアントに最も近いWAFにルーティングされ、フィルタリングされたトラフィックのみバックエンドに転送
WAFポリシーは、OCIのグローバルリソースとして管理し、世界中のWAFに配信される
27
Web Server
攻撃者
攻撃者
攻撃者
リージョン内WAF
Edge PoP
Edge PoP
OCI REGION
VCN
WAF Policy
Internet
Gateway
Customer
Premises
Equipment
他クラウド / オンプレミス
も保護可能

View Slide

リージョナルWAF
VCN内のフレキシブル・ロード・バランサーに対してWAF保護ポリシーを適用
- インターネット・アプリケーションだけではなく、VCN内部のプライベートなアクセスに対してもWAFでの保護が可能に
DNSには、ロードバランサーのIPアドレスを登録することで、クライアントはWAFを経由したアクセスになる
WAFのバックエンドサーバーとして保護できるのは、VNCインスタンスのみ
28
OCI
パブリック・サブネットプライベート・サブネット
VCN
DRG
パブリック・
ロード・バランサ
インターネット・
ゲートウェイ
インスタンス
インスタンス
プライベート・
ロード・バランサ
WAFポリシー WAFポリシー
オンプレミス
保護
保護
インターネット

View Slide

アクセス制御
トラフィック制御の条件に設定できるパラメータ
29
評価基準内容備考
URL • URL is
• URL is not
• URL starts with
• URL ends with
• URL contains
• URL regex
URL正規表現マッチングはPerl互換の正規表現
IPアドレス • Client IP Address is
• Client IP Address is not
地域 / 国 • Country is
• Country is not
APIには、2文字の国別コードを使用
UserAgent • User Agent is
• User Agent is not
HTTPヘッダ • HTTP Header contains 値は、コロンで区切った：で入力する必要がある

View Slide

フォームに入力された値をチェックし、アプリケーションへの不正な操作をブロック
30
クロスサイトスクリプティング
PHPインジェクション
SQLインジェクション
OSインジェクション
ファイル・インクルージョン
ディレクトリ・トラバーサル
etc..
アプリケーションの脆弱性を突いた攻撃
ブロック時には、レスポンスコード 403 、指定したメッセージを表示させる
-----
' OR 1=1 #

View Slide

保護ルール
31
事前定義済ルールがサービスに同梱
• 現時点で600以上のルールが定義済
• 最新の脅威情報を元に随時アップデート
ユーザーがルールの適用可否をカスタマイズ
• Block(ブロック)、Detect(検知のみ) 、Off(無効)
• mod_security フォーマットによるカスタム・ルールの登録
AI機能による運用サポート
• 一定期間のトラフィックを機械学習(ML)で自動的に分析し、
推奨アクションを提示 (※エッジポリシーの場合)
• OWASPの推奨事項などをタグでフィルタリング
ブロック時のアクション指定
• レスポンスコード
• エラーページ

View Slide

ボット管理
32
単純なルールでは判別不可能なBotを、複雑なロジック
を用いアダプティブに判断して検知、ブロックを行う
5種類の保護をサポート
• JavaScriptチャレンジ
• ヒューマン・インタラクション・チャレンジ
• デバイスのフィンガープリント・チャレンジ
• アクセス・レート制限 (API経由で設定可能)
• CAPCHAチャレンジ
良好なBotホワイトリスト機能で、サーチエンジンなどにも
対応

View Slide

価格
33
SKU メトリック単価
Web Application Firewall – Instance
1インスタンス ¥0
2インスタンスからは、1インスタンスごとに ¥700/月
Web Application Firewall - Requests
1000万リクエスト/月 ¥0
1000万リクエストからは、100万リクエストごとに ¥84/月
WAFの課金体系は、インスタンスとリクエストのメトリックで構成される
インスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味する
ひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される

View Slide

Network Firewall

View Slide

Tokyo Region
35
VCN
10.0.0.0/16
Internet
Gateway
Network Firewall
Private Subnet
10.0.2.0/24
Firewall Subnet
10.0.0.0/24
Private Subnet
10.0.3.0/24
Virtual
Machine
Virtual
Machine
Database
System
ADB-D
Public Subnet
10.0.1.0/24
Load
Balancer
WAF
(Region)
Users
Network
Security
Group
Security Lists
VCN内のトラフィックを
網羅的に検査するFirewall

View Slide

Palo AltoのテクノロジーをベースにしたOCIネイティブの次世代ファイアウォール
悪意のあるトラフィックやマルウェアの伝搬からOCIのワークロードを保護するファイアーウォール・サービス
OCIが提供するメンテナンスフリーの侵入検知・防止のポリシー可用性・拡張性を意識しない簡単なデプロイメント
オンプレミスとOCI VCNやVCN-VCN間などユーザーの様々なネットワーク構成に適用が可能
主なセキュリティ機能
- ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づいたホワイトリスト・ブラックリストによる接続ルールの作成
- URLフィルタリング: ドメイン、ワイルドカードやカスタムURLを用いたインバウンド・アウトバウンド通信制限
- 不正侵入検知・防止(IPS/IDS): 多種多様なサイバー攻撃を最新の脅威インテリジェンスが検知及び遮断
- SSLインスペクション: クライアントとサーバー間のSSL暗号化通信を復号し、ネットワーク・トラフィックを検査
Network Firewall
36
VCN
Subnet
Instance
Firewall Subnet
Network
Firewall
✓
ステートフル・ネットワーク・
フィルタリング
✓ URLフィルタリング
✓ 不正侵入検知・防止(IPS/IDS)
✓ SSLインスペクション
✓
✕
Internet
IGW/NAT
Gateway

View Slide

ステートフル・ネットワーク・フィルタリング
送信元および宛先のIPアドレス、ポート、プロトコルに基づいた
ネットワーク・ファイアウォール・ポリシーでトラフィックを制御
ポリシーに使用できるルール要素
- 送信元IPアドレス (IPv4/IPv6)
- 送信元ポート番号
- 宛先IPアドレス
- 宛先ポート番号 (IPv4/IPv6)
- プロトコル
ルール条件に合致した場合のアクション
- トラフィックの許可・削除
- 侵入検知・防止
- トラフィックの拒否
最大50のセキュリティ・ルールの組み合わせ、判定の優先順位の
指定が可能
VCNのセキュリティリスト、セキュリティグループとは共存

View Slide

インバウンドおよびアウトバウンドのHTTPプロトコルを
FQDNやワイルドカードを用いたURL指定で制御
ファイアウォール・ポリシーのルール要素として
条件に合致したURLへの接続を許可・拒否させる
侵入検知・防止のルール・アクションと組み合わせて
WEBサイトへの様々なサイバー攻撃を検出しブロック
最大25のURLまで指定可能
38
URLフィルタリング

View Slide

不正侵入検知・防止(IDS・IPS)
39
Palo Alto Networksの脅威分析エンジンとUnit42
(セキュリティ研究チーム)で構築された統合IDS/IPS
ソリューションは最新の脅威シグネチャと検知メカニズムで
脅威を識別
既知の脆弱性の悪用、マルウェア、悪意のあるURL、
スパイウェア、C&C攻撃に対する検知やブロックを行う
セキュリティ・ルールのアクションとして実行
- 不正侵入検知は、脅威を検出しログ出力のみ
- 不正侵入防止は、検知・ログ出力だけでなくトラフィックを切断

View Slide

TLSで暗号化されたHTTPS通信を
Network Firewallが復号し、トラフィック内容を検査する
2つのSSL復号方式をサポート
- SSLフォワード・プロキシ
- SSLインバウンド・インスペクション
復号に使用なシークレット情報(秘密鍵と証明書)は
OCI Vaultでセキュアに管理
復号後のトラフィックに対して
マルウェアや不正なアクテビティを検出・遮断
40
SSLインスペクション

View Slide

Network Firewallでインターネットアクセスを監視する基本的な設定例
インバウンドおよびアウトバウンド・トラフィックを保護
41
VCN
172.16.0.0/21
Firewall Subnet
172.16.1.0/24
Internet
Gateway
Secure Public Subnet
172.16.0.0/24
Instance
172.16.0.1
Network Firewall
172.16.1.100
Destination
CIDR
Route Target
0.0.0.0/0 172.16.1.100
Internet
Destination
CIDR
Route Target
0.0.0.0/0 IGW
①
②
③
Destination
CIDR
Route Target
172.16.0.0/24 172.16.1.100
Internet Gateway Route Table
Firewall Subnet Route Table
Secure Public Route Table
④ ⑤
vNIC0
①
③
FW
④ ②
⑤
：インバウンド
：アウトバウンド
FW
インバウンド・アウトバウンドのトラフィックを
Network Firewallに通過させる

View Slide

Network Firewallの課金体系は、Firewall InstanceとData processingの２種類
インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって
処理されるトラフィック量を対象とする
価格
42
SKU PAYG（Pay As You Go rate）
Oracle Cloud Infrastructure - Network Firewall Instance ¥385/時
Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.4/GB （1ヶ月あたり10TBまで無料）

View Slide

Security Listによるトラフィックの保護
43
Security List
HTTP/HTTPS
SSH許可
Firewallを通過する順番
Tokyo Region
vcn
Internet
Gateway
Private Subnet
Web
Server
Public Subnet
Load
Balancer
Security
Lists
Application
User
(HTTP/HTTPS)
Internet
User
(SSH)

View Slide

Security List + WAF によるトラフィックの保護
44
Security List
HTTP/HTTPS
SSH許可
Firewallを通過する順番
Tokyo Region
vcn
Internet
Gateway
Private Subnet
Web
Server
Public Subnet
Load
Balancer
Application
User
(HTTP/HTTPS)
Internet
Security
Lists
WAF
HTTP/HTTPS
検査
WAF
User
(SSH)

View Slide

Security List + WAF + Network Firewallによるトラフィックの保護
45
Security List
HTTP/HTTPS
SSH許可
Firewallを通過する順番 WAF
HTTP/HTTPS
検査
Network Firewall
HTTP/HTTPS 許可
SSHはIPSで検査
Tokyo Region
vcn
Internet
Gateway
Private Subnet
Web
Server
Public Subnet
Load
Balancer
Security
Lists
WAF
Network
Firewall
Firewall
Subnet
Application
User
(HTTP/HTTPS)
Internet
User
(SSH)

View Slide

SIEM
脅威分析
機械学習
OCIリソースを横断的に監視するSIEM基盤
機械学習のテクノロジーを活用した高度なログ分析・サービス基盤
- 200種類を超える様々なタイプのログ・フォーマットに対応
- OS上の様々なミドルウェア、データベースのログに対応
- 未対応のフォーマットにはカスタムで作成可能
大量のログを高速にビジュアライズするクラスタ分析
ログ・データの値に応じた自動ラベリング
アーカイブ機能によりTBを超えるログ保存のコストを削減
SIEMとしての機能強化 (予定)
- Threat Intelligence (脅威分析サービス)と連携し
ログに含まれる脅威となりそうなアクティビティを検出しアラート
Logging Analyticsでセキュリティ・ログを集約
46
Logging
Analytics
Compute
Instance
Syslog、セキュアログ
Windowイベントログ
ミドルウェア、アプリケーションログ
データベースログ etc..
Database
System
WAF
Network
Firewall
Auditing
Threat
Intelligence
(予定)
VCN Flow
Logs
IAM

View Slide

検出された不正トラフィック
47
Network Firewallが検知した1週間の不正トラフィック
どこの国からのアクセスか？不正トラフィックのカテゴリと比率
Network Firewallが判別した不正トラフィックの種類
※これらの画面はLogging Analyticsのものです

View Slide

<まとめ> それぞれのファイアウォールの違い
48
Network
Security List
Network
Security Group
Web Application
Firewall
Network Firewall
対象 VCNのサブネット
(サブネットには必ずセキュリティ
リストが必須)
コンピュート・インスタンス(VNIC)
やLB,DB等の個々のサービス
WEBアプリケーションに対する
アクセス
VCN内に流れる
すべてのトラフィック
制限可能なアクセス・ルール IPアドレス、プロトコル、
ポート番号
IPアドレス、プロトコル、
ポート番号
IPアドレス、URL、国/リージョン
ユーザー・エージェント、
HTTPヘッダー、HTTPメソッド
IPアドレス、プロトコル、
ポート番号、URL
通信プロトコルの内容の検査
および通信制御
N/A N/A クロスサイトスクリプティング等の
攻撃に対する保護ルール
Botアクセスの検出と遮断
最新の脅威シグネチャが
プロトコルの内容を検知・遮断
(IDS/IPS)
難易度簡単簡単 DNS、ネットワークの一部変更が
必要だが、柔軟な導入が可能
OCIのネットワークやサービスを
考慮した設計が必要
費用無料無料 1インスタンス無料
2インスタンスから700円/月
1インスタンス約28万/月

View Slide

View Slide

2022年の攻撃からみる脅威の実態と対策～マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

2022年の攻撃からみる脅威の実態と対策～マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

oracle4engineer
PRO

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

2022年の攻撃からみる脅威の実態と対策 ～ マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

2022年の攻撃からみる脅威の実態と対策 ～ マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

oracle4engineer PRO

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript

2022年の攻撃からみる脅威の実態と対策～マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

2022年の攻撃からみる脅威の実態と対策～マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

oracle4engineer
PRO