2022年の攻撃からみる脅威の実態と対策 ～ マルウェア、脆弱性の悪用、DDoSとの戦い方 (2023年3月15日)

Transcript

1. Oracle Cloud ウェビナー 2022年の攻撃からみる脅威の実態と対策 ～ マルウェア、脆弱性の悪用、DDoSとの戦い方 日本オラクル株式会社 事業戦略統括 事業開発本部 大澤

   清吾, CISSP クラウドエンジニアリング統括 COE本部 西村 克也, CISSP 2023年3月15日

2. 1. セキュリティのトレンド 2. オラクルのセキュリティへの取り組み 3. ネットワークセキュリティソリューションのご紹介 アジェンダ Copyright © 2023,

   Oracle and/or its affiliates 2

3. Copyright © 2023, Oracle and/or its affiliates 3 セキュリティのトレンド

4. グローバルでのセキュリティインシデント Copyright © 2023, Oracle and/or its affiliates Thales, Impresa,

   France ministry of Justice. Red Cross 2022 1月 San Fran. 49ers, Swissport, McDonalds 2022 2月 Microsoft Samsung, Okta, Vodafone, AON 2022 3月 Coca Cola, Russian Orthodox Church 2022 4月 Vivalia, AGCO, Christus Health, Bank of Zambia 2022 5月 Macmillan Publishers Shoprite 2022 6月 City of Palermo, La Poste Mobile Entrust, Walmart 2022 7月 Entrust, La Poste Mobile, Goa Water Resource Dept. 2022 8月 TAP Air Portugal, Cisco, Uber, LA School District 2022 9月 Ferrari, Bank of Brasilia, Pinnacle, Tata Power, AT&T 2022 10月 Thales, Sobeys, Legal Aid ACT, Vanuatu, Ikea 2022 11月 Rackspace, City of Antwerp, Intersport France, 2022 12月 4

5. 10万件以上の情報漏洩、若しくは報道で大きく取り上げられたものを抜粋 近年、日本国内において多くの情報漏洩事件が発生しています（2020-2022年） Copyright © 2023, Oracle and/or its affiliates 5

   内部不正、外部からのサイバー攻撃による事件が増加しています。境界防御だけでは防ぎきれない状況が伺えます。 年 日付 法人・団体名 件数・人数 原因 境界 防御 漏洩内容 2022 10/31 大阪急性期・総合 医療センター - (システム障害) ランサムウェア × 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止した。 9/20 ニトリホールディングス 約13万2,000 パスワードリスト型 × スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス 6/24 尼崎市 (46万517人) 内部不正 × 再委託先の従業員が、データ移管作業のためにUSBメモリーを不正に持ち出しと消去をせず、一時紛失 3/22 森永製菓 164万8,922名 不正アクセス × ネットワーク機器に内在していた脆弱性を突いて複数のサーバーへ攻撃 2/28 メタップスペイメント 最大46万395件 不正アクセス × アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出 1/29 日能研 最大28万106件 不正アクセス SQLインジェクションを使った外部からの不正アクセス 1/12 北海道ガス 3万1,463件 内部不正 × HDD１台が所在不明となり、内部に記録されていた個人情報関連データが流出した可能性 2021 11/4 ライトオン 24万7600件 不正アクセス 通販サイトへのサイバー攻撃により、同サイトと店舗会員24万7,600人分の個人情報が流出 8/6 警視庁 26万件 内部不正 × 特権IDで捜査情報や人事情報に不正アクセス。上司のPCから26万件の運転免許データを削除 8/5 村田製作所 72,460件 内部不正 × 会計システムの更新プロジェクトに携わっていた中国の再委託先社員が、取引先情報などを不正取得 3/31 神奈川県警 詳細調査中 内部不正 × 捜査で知り得た情報を漏らす見返りに、現金を受け取っていた可能性あり 3/29 松井証券 210名 内部不正 × システム開発担当企業のSEが、 顧客のID、パスワード、暗証番号を不正入手 2/12 マイナビ 21万2,816名 不正アクセス 不正ログインが発生し、サービス利用者21万2,816名分の履歴書情報が流出 1/15 ソフトバンク 170の機密ファイル 内部不正 × ライバル企業に転職した元社員の社外秘情報持ち出し 2020 11/20 三菱電機 8,635件 不正アクセス クラウドサービスへの攻撃により、取引先企業や個人事業主の金融口座情報について、情報が流出 11/17 peatix lnc. 677万件 不正アクセス イベント管理サービスの677万件の氏名,メースアドレス,パスワード等の利用者情報が流出した可能性 11/16 カプコン 合計約35万件 不正アクセス サイバー攻撃により、保有する顧客・従業員等の情報合計約35万件に流出の可能性があると発表 9/8 NTTドコモ 120件 不正利用 ドコモ口座を悪用し、七十七銀行、東邦銀行、中国銀行など複数の銀行口座で不正出金が発生 7/22 みずほ総合研究所 約250万件 媒体の誤廃棄 × 顧客情報約66万9千件、顧客のサービス利用実績を記録した外部記憶媒体を誤って紛失(廃棄) 4/24 任天堂 約16万件 パスワードリスト型 × 「ニンテンドーネットワークID」約16万件及び、一部の「ニンテンドーID」に対し外部からの不正ログイン 4/19 リジョブ 最大20万6991件 不正アクセス テストサーバーのデータベースに2015/12/5以前に登録していた最大20万6991件の流出の可能性 4/13 Classi 最大122万件 不正アクセス 教育機関向けSaaS「Classi」の最大122万件の利用ID・暗号化されたパスワードが流出の可能性

6. 近年、日本国内において多くのセキュリティインシデントが発生（2022年） Copyright © 2023, Oracle and/or its affiliates 6 年

   日付 法人・団体名 原因 インシデント内容 2022 11/21 ワコム 不正アクセス 「ワコムストア」に不正アクセスが発生、最大14万7,545名の個人情報が流出した可能性 10/31 大阪急性期・ 総合医療センター 脆弱性の悪用 電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止 10/4 しゅくみねっと アプリ不具合 管理者向けの検索システムの不具合で、組織外を含む全会員の情報を閲覧できる状態 9/20 ニトリホールディングス パスワードリスト型 スマートフォンアプリ「ニトリアプリ」の認証プログラムに対する不正アクセス 9/6 デジタル庁 DDoS攻撃 デジタル庁が所管する行政情報のポータルサイトでDDoS攻撃によるアクセス障害が発生 8/1 ディスコ 脆弱性の悪用 Webアプリケーションの脆弱性を突いたSQLインジェクションにより情報が流出した可能性 7/17 南房総市立小中学校 ランサムウェア 校務ネットワークがランサムウエアを使用したサイバー攻撃によりデータが使用不可 7/13 ハーモニック 脆弱性の悪用 システムの脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんされ漏洩 6/29 ディスクユニオン 脆弱性の悪用 オンライン上のサーバーのセキュリティ上の脆弱性が生じており、悪意ある第三者が不正アクセス 6/20 鳴門山上病院 ランサムウェア ランサムウェアにより電子カルテや病院内のLANが使用不可に。バックアップによって早期復旧 5/16 富士通クラウド テクノロジーズ 脆弱性の悪用 FJcloud-Vおよびニフクラの一部のロードバランサー機器の脆弱性を悪用した不正アクセスが発生 3/13 森永製菓 ランサムウェア 不正アクセスによりランサムウェアに感染し、システムダウン、データが不正に暗号化される 3/7 東映アニメーション マルウェア 外部からダウンロードしたソフトウエアに不正プログラムを混入され、そこを起点に不正アクセスが行われ、通常業 務や作品制作の一部に遅れが発生 2/28 メタップスペイメント 脆弱性の悪用 アプリケーションの脆弱性を使って侵入し、バックドアを設置されカード情報が流出 2/28 小島プレス工業 不正アクセス 社内サーバーの1つが停止する異常事象を検知しネットワークを遮断した影響で国内の全ライン停止 1/29 日能研 脆弱性の悪用 SQLインジェクションを使った外部からの不正アクセス サイバー攻撃による事件が増加しています。

7. 主なセキュリティインシデント セキュリティインシデントとは： 組織が定めるセキュリティポリシーやコンピュータの利用規定に対する違反行為または差し迫った脅威、あるいは、標準的 なセキュリティ活動に対する違反行為または差し迫った脅威 NISTコンピュータセキュリティインシデント対応より 一例 7 Copyright © 2023,

   Oracle and/or its affiliates セキュリティインシデント 概要 事例 マルウェア感染 悪意のある不正プログラムやコードをPCやサーバー等に感染させることで、データの抜き出しなど 有害な動作を行う攻撃 スパイウェア、ワーム、ウイルス、トロイの木馬、ランサムウェアなどの総称 森永製菓 東映アニメーション DoS攻撃・DDoS攻撃 ネットワーク上に配置されたサーバーなどに対して大量にデータを送ることでサーバーをダウンさせ、 サービスを提供できないようにする攻撃 デジタル庁 Webサイトの改ざん Webアプリケーションを構成するサーバーやソフトウェアに存在する脆弱性を悪用したり、システ ムの管理者権限の乗っ取り等により、Webサイトを意図しない状況に変更する攻撃 ハーモニック 脆弱性の悪用 （不正アクセス） システムやソフトウェアに存在する脆弱性を悪用してシステムに侵入し、データの抜き取りやシス テムの破壊などを行う攻撃 富士通クラウドテクノロジーズ

8. • DDoS攻撃により、デジタル庁が所 管する行政情報のポータルサイトに てアクセス障害が発生 • 不正プログラムが混入されたソフト ウェアを誤ってダウンロードし、 不正アクセスが発生 • 不正アクセスにより、Webアプリケー

   ションが改ざんされる • ロードバランサ―機器の脆弱性を 悪用した不正アクセスが発生 • 不正アクセスによりランサムウェアに 感染し、システムダウン、データが不 正に暗号化される 2022年に発生したセキュリティインシデントの事例とその対策 Copyright © 2023, Oracle and/or its affiliates 8 • DDoS攻撃 • 業務に使用するソフトウェアの 配布元サイトの改ざん • Webアプリケーションに存在して いた脆弱性の悪用 • ロードバランサの脆弱性の悪用 デジタル庁 • 同一IPアクセスからの アクセス制限 • インターネット回線に設置してい たネットワーク機器の脆弱性の 悪用 • 不正侵入を検知 • パッチの適用、脆弱性情報収集 • セキュアなバックアップ 東映アニメーション • 不正侵入を検知 ハーモニック • アプリケーションに存在する脆弱 性を狙った攻撃を検知、防御す るファイアウォールの導入 富士通クラウドテ クノロジーズ • パッチの適用 • 脆弱性の情報収集 • 多層防御 森永製菓 原因 どのような対策を必要か 事件の概要

9. CERT NZで対応した事例に基づく、人間が操作するランサムウェアインシデントの一般的な攻撃経路 ランサムウェアのインシデント・ライフサイクル https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ から翻訳 フィッシング パスワード 推測 有効な 認証情報

   脆弱性の 利用 メール 悪意のある 文章 マルウェア コマンドと 制御 インターネット 公開 サービス 横への 動き 特権への 昇格 データの 抽出 バックアップ 破壊 データの 暗号化 初期アクセス 攻撃者はネットワークへの侵入経路を探索 統合と準備 攻撃者はすべてのデバイスへの アクセスを試行 目標への影響 攻撃者はデータを盗み、 暗号化し、身代金を要求 9 Copyright © 2023, Oracle and/or its affiliates Availability (可用性) Integrity (完全性) Confidentiality (機密性)

10. 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが寛容です ネットワーク中心型セキュリティモデル データ中心型セキュリティモデル ゼロトラスト時代のデータ中心のセキュリティ対策 Copyright © 2023, Oracle and/or its

    affiliates 10 • 境界を突破された攻撃に無防備 • 対応できる脅威が限定的 • 内部攻撃(標的型攻撃,内部不正)から守れない • 一元的なポリシーによるセキュリティ強化 • 新たな脅威に対しても効果的に保護 • 内部犯行、特権ID奪取にも対応 セキュリティ ポリシー ID管理 データ アプリ N/W 内部不正 パスワードリスト 型攻撃 管理者 なりすまし攻撃 アプリケーション への不正アクセス Security Enforcement ネットワーク機器 脆弱性への攻撃 Detection & Response Endpoint(端末) ユーザ ネットワーク 内部不正 データ 暗号化 特権ユーザー管理 アプリケーションへ の不正アクセス 管理者 なりすまし攻撃 パスワードリスト 型攻撃 ネットワーク機器 脆弱性への攻撃 監査証跡 行列アクセス制御 多要素認証 アプリ サイバーセキュリティ

11. 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが寛容です ネットワーク中心型セキュリティモデル データ中心型セキュリティモデル ゼロトラスト時代のデータ中心のセキュリティ対策 Copyright © 2023, Oracle and/or its

    affiliates 11 • 境界を突破された攻撃に無防備 • 対応できる脅威が限定的 • 内部攻撃(標的型攻撃,内部不正)から守れない • 一元的なポリシーによるセキュリティ強化 • 新たな脅威に対しても効果的に保護 • 内部犯行、特権ID奪取にも対応 セキュリティ ポリシー ID管理 データ アプリ N/W 内部不正 パスワードリスト 型攻撃 管理者 なりすまし攻撃 アプリケーション への不正アクセス Security Enforcement ネットワーク機器 脆弱性への攻撃 Detection & Response Endpoint(端末) ユーザ 内部不正 データ 暗号化 特権ユーザー管理 アプリケーションへ の不正アクセス 管理者 なりすまし攻撃 パスワードリスト 型攻撃 ネットワーク機器 脆弱性への攻撃 監査証跡 行列アクセス制御 多要素認証 アプリ サイバーセキュリティ ネットワーク

12. Copyright © 2023, Oracle and/or its affiliates 12 オラクルのセキュリティへの取り組み

13. オラクルが実現する堅牢なセキュリティ データ中心の セキュリティ 自動化された セキュリティ 管理 セキュリティ ・バイ・デザイン SECURITY ON

    THE CLOUD ＋ 強力、完全なテナント分離 強制的な暗号化 (Database/Storage/Network) 階層型権限管理 リスクのある設定・行動を自動検知 Copyright © 2023, Oracle and/or its affiliates 13 * WAF: Web Application Firewall 脆弱性スキャン セキュリティポリシーの自動有効 特権ユーザーのアクセス制御 ボット対策とWAF/ 次世代ファイアウォール 多要素認証とリスクベース認証 重要情報の隠蔽 セキュリティ構成 機密データ発見 アクティビティ監査 DBセキュリティ対策の自動化 脆弱性自動修復 緑字：他社にないもの 自動化されたバックアップとリカバリ DDoS保護サービス SECURITY OF THE CLOUD

14. クラウドプラットフォームレベルでの環境隔離と暗号化 階層型権限管理 ✓ 部署ごとの権限設定を実現 ✓ コンパートメント間のリソースアクセ スが可能、部署を跨いだシステム 構築も容易 ✓ コンパートメント毎のクオータ設定に

    より 使い過ぎを抑止 強制的な暗号化 ✓ すべてのデータ・サービスはOracle がフルマネージドで暗号化 ✓ データベースファイル,ストレージ Block Volume, Boot Volume ✓ すべてのネットワーク通信も暗号化 強力、完全なテナント分離 ✓ 分離された仮想ネットワークにより 情報漏洩のリスクを最小化 Copyright © 2023, Oracle and/or its affiliates 14 セキュリティ ・バイ・デザイン AD2 リージョン1 AD2 リージョン2 MACSec 高速・スケーラブルな Layer2 暗号化 部署ごとにCompartment（サブアカウント）を作成 「コンパートメント」モデル テナント コンパートメント A コンパートメントB ユーザー グループ ポリシー ポリシー ポリシー 部署-A 部署-B Hypervisor VM VM VM VM VM VM ホストOS / カーネル ネットワーク仮想化 物理サーバー すべてのデータ を暗号化

15. • 一般的なL3およびL4に対するネットワーク攻撃から OCIインフラを常時保護 • SYN flood、UDP flood、ICMP flood、 NTP reflection、DNS

    reflectionなど • フルマネージドサービス • ユーザによる設定、監視不要 (<->設定のカスタマイズやログ参照不可) • 標準機能のため追加コスト不要 OCI DDoS Protection : 無償のL3/L4 DDoS保護サービス Copyright © 2023, Oracle and/or its affiliates 15 OCI Region DDoS Protection compute Database Storage Internet 正常トラフィック 不正トラフィック セキュリティ ・バイ・デザイン

16. 守るべき経営資源（リソース）に焦点をあてセキュリティ対策を実施することが寛容です ネットワーク中心型セキュリティモデル データ中心型セキュリティモデル 再掲）ゼロトラスト時代のデータ中心のセキュリティ対策 Copyright © 2023, Oracle and/or its

    affiliates 16 • 境界を突破された攻撃に無防備 • 対応できる脅威が限定的 • 内部攻撃(標的型攻撃,内部不正)から守れない • 一元的なポリシーによるセキュリティ強化 • 新たな脅威に対しても効果的に保護 • 内部犯行、特権ID奪取にも対応 セキュリティ ポリシー ID管理 データ アプリ N/W 内部不正 パスワードリスト 型攻撃 管理者 なりすまし攻撃 アプリケーション への不正アクセス Security Enforcement ネットワーク機器 脆弱性への攻撃 Detection & Response Endpoint(端末) ユーザ ネットワーク 内部不正 データ 暗号化 特権ユーザー管理 アプリケーションへ の不正アクセス 管理者 なりすまし攻撃 パスワードリスト 型攻撃 ネットワーク機器 脆弱性への攻撃 監査証跡 行列アクセス制御 多要素認証 アプリ サイバーセキュリティ

17. Copyright © 2023, Oracle and/or its affiliates 17 ネットワークセキュリティソリューションのご紹介

18. すべてのレイヤーにセキュリティが組み込まれた包括的なソリューション OCI Securityが実現する多層防御 18 データ中心の セキュリティ 外部からの攻撃 » ボットによる攻撃 »

    標的型攻撃 » ランサムウェア » DDoS 内部からの攻撃 » バックドア » 内部不正 » 不正アクセス 特権ユーザー 管理 ネットワーク IDアクセス 管理 インフラ ストラクチャ データベース データ 強制的な 暗号化 監査証跡 行列レベルの アクセス制御 設定ミスの 検知・是正 多要素認証 強力、完全なテナント分離 / 強制的な暗号化 / 階層型権限管理 Web Application Firewall IAM Identity Domains/ Identity Cloud Service Security Zones Data Safe Observability and Management Threat Intelligence Autonomous Database Vulnerability Scanning OCI Network Firewall Cloud Guard Cloud Guard Threat Detector Database Vault 18 Copyright © 2023, Oracle and/or its affiliates

19. Tokyo Region OCIネットワークのファイアウォール機能 19 VCN 10.0.0.0/16 Internet Gateway Network Firewall

    Private Subnet 10.0.2.0/24 Firewall Subnet 10.0.0.0/24 Private Subnet 10.0.3.0/24 Virtual Machine Virtual Machine Database System ADB-D Public Subnet 10.0.1.0/24 Load Balancer WAF (Region) Users Internet WAF (Global) Network Security Group Security Lists WEBアプリケーションの保護 に特化したFirewall VCN内のトラフィックを 網羅的に検査するFirewall サブネットまたはVNICに 対する基本のFirewall Copyright © 2023, Oracle and/or its affiliates

20. Security List Network Security Group 20 Copyright © 2023, Oracle

    and/or its affiliates

21. OCIネットワークのファイアウォール機能 21 Tokyo Region VCN 10.0.0.0/16 Internet Gateway Network Firewall

    Private Subnet 10.0.2.0/24 Firewall Subnet 10.0.0.0/24 Private Subnet 10.0.3.0/24 Virtual Machine Virtual Machine Database System ADB-D Public Subnet 10.0.1.0/24 Load Balancer WAF (Region) Users Internet WAF (Global) Network Security Group Security Lists サブネットまたはVNICに 対する基本のFirewall Copyright © 2023, Oracle and/or its affiliates

22. セキュリティ・リスト 基本のファイア・ウォール サブネットに対するインバウンド・アウトバウンド 通信を制御する仮想Firewall IPアドレス、プロトコル、ポートを指定 設定できるのはAllowルールのみ サブネット内すべてのインスタンスにルールが 一括に適用される CIDR/Serviceを選択 プロトコルタイプを設定

    トラフィックの発生ポートを設定 トラフィックの宛先ポートを設定 外部から入ってくるアクセス許可の設定 外部へ出ていくアクセス許可の設定 CIDRを設定 ①すべてのIPアドレス(0.0.0.0)からのssh通信を許可 ②インスタンス外部へのすべてのプロトコル通信を許可 Internet Subnet 10.1.0.0/24 VCN 10.1.0.0/16 ① ssh Port 22 Security Lists 22 Copyright © 2023, Oracle and/or its affiliates

23. インスタンスの仮想NIC（vNIC）に関連付けられるアクセスルール セキュリティ・リストと同様にインバウンド・アウトバウンド通信を制御する仮想Firewall インスタンスの仮想NIC（vNIC）に関連付ける--> 仮想NIC（vNIC）単位でのセキュリティ設定になる 複数の仮想NIC（vNIC）を関連付けることも可能 --> 複数の仮想マシンに同じセキュリティ設定を適用できる ネットワーク・セキュリティ・グループ(NSG) 23 Copyright

    © 2023, Oracle and/or its affiliates Subnet 10.1.0.0/24 VCN 10.1.0.0/16 Network Security Group

24. Web Application Firewall 24 Copyright © 2023, Oracle and/or its

    affiliates

25. Tokyo Region OCIネットワークのファイアウォール機能 25 VCN 10.0.0.0/16 Internet Gateway Network Firewall

    Private Subnet 10.0.2.0/24 Firewall Subnet 10.0.0.0/24 Private Subnet 10.0.3.0/24 Virtual Machine Virtual Machine Database System ADB-D Public Subnet 10.0.1.0/24 Load Balancer WAF (Region) Users Internet WAF (Global) Network Security Group Security Lists WEBアプリケーションの保護 に特化したFirewall Copyright © 2023, Oracle and/or its affiliates

26. Webアプリケーションの保護をクラウド型で提供するOCIのマネージドサービス クロスサイトスクリプティングやSQLインジェクション等の様々なサイバー攻撃から、Webアプリケーションを保護 Webアプリケーションのプロキシとして動作し、多層的に不正なアクセスを検出・遮断 Oracle Cloudだけでなくオンプレミスや他クラウド上にあるWebアプリケーションも同等に保護 用途に合わせたグローバルWAFとリージョナルWAFの２種類のWAFをサポート Web Application Firewall 26

    WAF and Anti-Bot Protection クラウドベース Web APP オンプレミス Web APP Oracle Cloud Web APP 悪意のボット ハッカー ユーザー 善良なボット スパムメール アクセス制御 脅威 インテリジェンス ボット対策 保護ルール すぐにデプロイできる俊敏性 マネージドサービスによる設定・運用管理の容易性 特定の国, URL IP, ユーザー エージェント等の 制限 最新の脅威情 報を基に脆弱 性をつく攻撃を 防御 悪意のボットを ブロックさせるた めのトラフィック 行動分析 サイバー攻撃を 遮断する600を 超えるルール およびOWASP トップ10への対応 専門 チーム 極度な状況の 場 合 に動員 さ れる専門家 Copyright © 2023, Oracle and/or its affiliates

27. グローバルWAF Webサーバー(オリジンサーバー)の前段にリバースプロキシとして配置 実際のWAFリバースプロキシサーバーは、世界中の22拠点に展開するPoP(Point of Presence)に分散配置 クライアントに最も近いWAFにルーティングされ、フィルタリングされたトラフィックのみバックエンドに転送 WAFポリシーは、OCIのグローバルリソースとして管理し、世界中のWAFに配信される Web Application Firewall

    27 Web Server 攻撃者 攻撃者 攻撃者 リージョン内WAF Edge PoP Edge PoP OCI REGION VCN WAF Policy Internet Gateway Customer Premises Equipment 他クラウド / オンプレミス も保護可能 Copyright © 2023, Oracle and/or its affiliates

28. リージョナルWAF VCN内のフレキシブル・ロード・バランサーに対してWAF保護ポリシーを適用 - インターネット・アプリケーションだけではなく、VCN内部のプライベートなアクセスに対してもWAFでの保護が可能に DNSには、ロードバランサーのIPアドレスを登録することで、クライアントはWAFを経由したアクセスになる WAFのバックエンドサーバーとして保護できるのは、VNCインスタンスのみ Web Application Firewall 28

    OCI パブリック・サブネット プライベート・サブネット VCN DRG パブリック・ ロード・バランサ インターネット・ ゲートウェイ インスタンス インスタンス プライベート・ ロード・バランサ WAFポリシー WAFポリシー オンプレミス 保護 保護 インターネット Copyright © 2023, Oracle and/or its affiliates

29. アクセス制御 トラフィック制御の条件に設定できるパラメータ Web Application Firewall 29 評価基準 内容 備考 URL

    • URL is • URL is not • URL starts with • URL ends with • URL contains • URL regex URL正規表現マッチングはPerl互換の正規表現 IPアドレス • Client IP Address is • Client IP Address is not 地域 / 国 • Country is • Country is not APIには、2文字の国別コードを使用 UserAgent • User Agent is • User Agent is not HTTPヘッダ • HTTP Header contains 値は、コロンで区切った<name>：<value>で入力する必要がある Copyright © 2023, Oracle and/or its affiliates

30. フォームに入力された値をチェックし、アプリケーションへの不正な操作をブロック Web Application Firewall 30 クロスサイトスクリプティング PHPインジェクション SQLインジェクション OSインジェクション ファイル・インクルージョン

    ディレクトリ・トラバーサル etc.. アプリケーションの脆弱性を突いた攻撃 ブロック時には、レスポンスコード 403 、指定したメッセージを表示させる <script>-----</script> ' OR 1=1 # Copyright © 2023, Oracle and/or its affiliates

31. 保護ルール Web Application Firewall 31 事前定義済ルールがサービスに同梱 • 現時点で600以上のルールが定義済 • 最新の脅威情報を元に随時アップデート

    ユーザーがルールの適用可否をカスタマイズ • Block(ブロック)、Detect(検知のみ) 、Off(無効) • mod_security フォーマットによるカスタム・ルールの登録 AI機能による運用サポート • 一定期間のトラフィックを機械学習(ML)で自動的に分析し、 推奨アクションを提示 (※エッジポリシーの場合) • OWASPの推奨事項などをタグでフィルタリング ブロック時のアクション指定 • レスポンスコード • エラーページ Copyright © 2023, Oracle and/or its affiliates

32. ボット管理 Web Application Firewall 32 単純なルールでは判別不可能なBotを、複雑なロジック を用いアダプティブに判断して検知、ブロックを行う 5種類の保護をサポート • JavaScriptチャレンジ

    • ヒューマン・インタラクション・チャレンジ • デバイスのフィンガープリント・チャレンジ • アクセス・レート制限 (API経由で設定可能) • CAPCHAチャレンジ 良好なBotホワイトリスト機能で、サーチエンジンなどにも 対応 Copyright © 2023, Oracle and/or its affiliates

33. 価格 33 SKU メトリック 単価 Web Application Firewall – Instance

    1インスタンス ¥0 2インスタンスからは、1インスタンスごとに ¥700/月 Web Application Firewall - Requests 1000万リクエスト/月 ¥0 1000万リクエストからは、100万リクエストごとに ¥84/月 WAFの課金体系は、インスタンスとリクエストのメトリックで構成される インスタンスは、WAFのポリシー、リクエストは実際にWAFが処理するHTTPリクエストを意味する ひとつめのWAFポリシーで1000万リクエスト/月までは、無償として提供される Copyright © 2023, Oracle and/or its affiliates

34. Network Firewall 34 Copyright © 2023, Oracle and/or its affiliates

35. Tokyo Region OCIネットワークのファイアウォール機能 35 VCN 10.0.0.0/16 Internet Gateway Network Firewall

    Private Subnet 10.0.2.0/24 Firewall Subnet 10.0.0.0/24 Private Subnet 10.0.3.0/24 Virtual Machine Virtual Machine Database System ADB-D Public Subnet 10.0.1.0/24 Load Balancer WAF (Region) Users Internet WAF (Global) Network Security Group Security Lists VCN内のトラフィックを 網羅的に検査するFirewall Copyright © 2023, Oracle and/or its affiliates

36. Palo AltoのテクノロジーをベースにしたOCIネイティブの次世代ファイアウォール 悪意のあるトラフィックやマルウェアの伝搬からOCIのワークロードを保護するファイアーウォール・サービス OCIが提供するメンテナンスフリーの侵入検知・防止のポリシー可用性・拡張性を意識しない簡単なデプロイメント オンプレミスとOCI VCNやVCN-VCN間などユーザーの様々なネットワーク構成に適用が可能 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング :

    IPv4/IPv6, ポート, プロトコルに基づいたホワイトリスト・ブラックリストによる接続ルールの作成 - URLフィルタリング: ドメイン、ワイルドカードやカスタムURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 多種多様なサイバー攻撃を最新の脅威インテリジェンスが検知及び遮断 - SSLインスペクション: クライアントとサーバー間のSSL暗号化通信を復号し、ネットワーク・トラフィックを検査 Network Firewall 36 VCN Subnet Instance Firewall Subnet Network Firewall ✓ ステートフル・ネットワーク・ フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止(IPS/IDS) ✓ SSLインスペクション ✓ ✕ Internet IGW/NAT Gateway Copyright © 2023, Oracle and/or its affiliates

37. ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいた ネットワーク・ファイアウォール・ポリシーでトラフィックを制御 ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -

    宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル ルール条件に合致した場合のアクション - トラフィックの許可・削除 - 侵入検知・防止 - トラフィックの拒否 最大50のセキュリティ・ルールの組み合わせ、判定の優先順位の 指定が可能 VCNのセキュリティリスト、セキュリティグループとは共存 37 Copyright © 2023, Oracle and/or its affiliates

38. インバウンドおよびアウトバウンドのHTTPプロトコルを FQDNやワイルドカードを用いたURL指定で制御 ファイアウォール・ポリシーのルール要素として 条件に合致したURLへの接続を許可・拒否させる 侵入検知・防止のルール・アクションと組み合わせて WEBサイトへの様々なサイバー攻撃を検出しブロック 最大25のURLまで指定可能 38 URLフィルタリング Copyright

    © 2023, Oracle and/or its affiliates

39. 不正侵入検知・防止(IDS・IPS) 39 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築された統合IDS/IPS ソリューションは最新の脅威シグネチャと検知メカニズムで 脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う

    セキュリティ・ルールのアクションとして実行 - 不正侵入検知は、脅威を検出しログ出力のみ - 不正侵入防止は、検知・ログ出力だけでなくトラフィックを切断 Copyright © 2023, Oracle and/or its affiliates

40. TLSで暗号化されたHTTPS通信を Network Firewallが復号し、トラフィック内容を検査する 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 復号に使用なシークレット情報(秘密鍵と証明書)は OCI

    Vaultでセキュアに管理 復号後のトラフィックに対して マルウェアや不正なアクテビティを検出・遮断 40 SSLインスペクション Copyright © 2023, Oracle and/or its affiliates

41. Network Firewallでインターネットアクセスを監視する基本的な設定例 インバウンドおよびアウトバウンド・トラフィックを保護 41 VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet

    Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ： インバウンド ： アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる Copyright © 2023, Oracle and/or its affiliates

42. Network Firewallの課金体系は、Firewall InstanceとData processingの２種類 インスタンスの課金はアクティブなインスタンスの数に基づいており 、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 42 SKU

    PAYG（Pay As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥385/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.4/GB （1ヶ月あたり10TBまで無料） Copyright © 2023, Oracle and/or its affiliates

43. Security Listによるトラフィックの保護 43 Security List HTTP/HTTPS SSH許可 Firewallを通過する順番 Tokyo Region

    vcn Internet Gateway Private Subnet Web Server Public Subnet Load Balancer Security Lists Application User (HTTP/HTTPS) Internet User (SSH) Copyright © 2023, Oracle and/or its affiliates

44. Security List + WAF によるトラフィックの保護 44 Security List HTTP/HTTPS SSH許可

    Firewallを通過する順番 Tokyo Region vcn Internet Gateway Private Subnet Web Server Public Subnet Load Balancer Application User (HTTP/HTTPS) Internet Security Lists WAF HTTP/HTTPS 検査 WAF User (SSH) Copyright © 2023, Oracle and/or its affiliates

45. Security List + WAF + Network Firewallによるトラフィックの保護 45 Security List

    HTTP/HTTPS SSH許可 Firewallを通過する順番 WAF HTTP/HTTPS 検査 Network Firewall HTTP/HTTPS 許可 SSHはIPSで検査 Tokyo Region vcn Internet Gateway Private Subnet Web Server Public Subnet Load Balancer Security Lists WAF Network Firewall Firewall Subnet Application User (HTTP/HTTPS) Internet User (SSH) Copyright © 2023, Oracle and/or its affiliates

46. SIEM 脅威分析 機械学習 OCIリソースを横断的に監視するSIEM基盤 機械学習のテクノロジーを活用した高度なログ分析・サービス基盤 - 200種類を超える様々なタイプのログ・フォーマットに対応 - OS上の様々なミドルウェア、データベースのログに対応 -

    未対応のフォーマットにはカスタムで作成可能 大量のログを高速にビジュアライズするクラスタ分析 ログ・データの値に応じた自動ラベリング アーカイブ機能によりTBを超えるログ保存のコストを削減 SIEMとしての機能強化 (予定) - Threat Intelligence (脅威分析サービス)と連携し ログに含まれる脅威となりそうなアクティビティを検出しアラート Logging Analyticsでセキュリティ・ログを集約 46 Logging Analytics Compute Instance Syslog、セキュアログ Windowイベントログ ミドルウェア、アプリケーションログ データベースログ etc.. Database System WAF Network Firewall Auditing Threat Intelligence (予定) VCN Flow Logs IAM Copyright © 2023, Oracle and/or its affiliates

47. 検出された不正トラフィック 47 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか？ 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです

    Copyright © 2023, Oracle and/or its affiliates

48. <まとめ> それぞれのファイアウォールの違い 48 Network Security List Network Security Group Web

    Application Firewall Network Firewall 対象 VCNのサブネット (サブネットには必ずセキュリティ リストが必須) コンピュート・インスタンス(VNIC) やLB,DB等の個々のサービス WEBアプリケーションに対する アクセス VCN内に流れる すべてのトラフィック 制限可能なアクセス・ルール IPアドレス、プロトコル、 ポート番号 IPアドレス、プロトコル、 ポート番号 IPアドレス、URL、国/リージョン ユーザー・エージェント、 HTTPヘッダー、HTTPメソッド IPアドレス、プロトコル、 ポート番号、URL 通信プロトコルの内容の検査 および通信制御 N/A N/A クロスサイトスクリプティング等の 攻撃に対する保護ルール Botアクセスの検出と遮断 最新の脅威シグネチャが プロトコルの内容を検知・遮断 (IDS/IPS) 難易度 簡単 簡単 DNS、ネットワークの一部変更が 必要だが、柔軟な導入が可能 OCIのネットワークやサービスを 考慮した設計が必要 費用 無料 無料 1インスタンス無料 2インスタンスから700円/月 1インスタンス 約28万/月 Copyright © 2023, Oracle and/or its affiliates
49. None