shownet.conf_ 進化するゼロトラスト実装技術が守る 大規模イベントネットワーク Interop Tokyo 2022 ShowNet NOCチームメンバ 神宮 真人

アジェンダ • ShowNetにおけるセキュリティの課題 • テーマと全体像 • ShowNetの構築と運用を支えるゼロトラストモデル • ShowNet利用者を守るセキュリティの取り組み • 運用を終えて

ShowNetにおける セキュリティの課題

機器のアカウント管理の課題 • 全ての機器で構築時に大人数のアカウントが必要 • 大人数/短期間で構築する大規模ネットワークという性質 • 全ての機器でRadius/LDAP/AD等の認証サービスがサポートされている わけではない • そもそも認証サーバが立ち上がる前から構築を進める必要がある • 機器へのアクセス方法も様々 • SSH, Web, RDP, etc. • 共通パスワードの危険性 • 全てのオペレータに厳重なパスワード管理が求められる • 認証情報の漏洩が疑われた場合、全ての機器でパスワード変更が必要

操作ログ管理の課題 • インシデント発生時は機器のログが重要データとなる • 誰がいつどの操作を行ったかをトレースしたい • ログ機能は機器の実装よって様々 • 残るログ / 残らないログ • 転送されるログ / 転送されないログ

リモートアクセス端末の健全性担保 • オペレータにShowNetの管理ネットワークへのリモート アクセスサービスを提供 • 様々なポリシのリモートアクセス端末 • 業務用PC、私物PC、レンタルPCなど • OSバージョン、アンチウィルス有無、FW有効/無効、ディス ク暗号化など • ShowNetへの接続前に健全性のチェックが必要 • 脆弱なソフトウェアが使われていないか • マルウェアに感染していないか

多拠点のセキュリティポリシ • ShowNetの拠点は幕張メッセ、パブリッククラウド２ リージョンの３拠点 • インターネットへの接続や拠点間の通信に統一したセ キュリティポリシの適用が求められる

テーマと全体像

ShowNet 2022 Security テーマ • 進化するゼロトラスト実装技術が守る大規模イベント ネットワーク • SASEによるセキュアなリモートアクセスとインターネット ゲートウェイ • XDRとSIEMによる次世代SOC基盤 • ゼロトラストによる柔軟で厳格な認証・認可

進化するゼロトラスト実装技術が守る大規模イベントネットワーク Booth Management NW ShowNet Backbone Security Appliances XDR Threat Intel XDRとSIEMを採用した 次世代SOC基盤 SIEM SASEによるセキュアなリモートアクセスと インターネットゲートウェイ Duplicated Traffic ShowNet TTDB 柔軟で厳密な認証認可を採用した ゼロトラストネットワークアクセス SAML MFA SASE IDM Threats Threats Threats Attack Surface Mgmt Attacker Operator ShowNet Public Cloud 出展社向け セキュリティサービス SASE CSPM クラウドセキュリティ

SASE・リモートアクセス 出展社向けセキュリティ 複製パケットによるトラフィック 検査・SIEM等

ShowNetの構築と運用を支える ゼロトラストモデル

境界型防御モデルからゼロトラストモデルへ ゼロトラストの原則 すべてのデータソースとコンピューティングサービスはリソースと見なす ネットワークの場所に関係なく、すべての通信を保護する リソースへのアクセスは、セッション単位で許可する リソースへのアクセスは動的なポリシーによって決定する すべてのリソースの整合性とセキュリティ動作を監視、測定する すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施 資産、ネットワークインフラ、通信の現状を可能な限り多く収集し、セキュリティ体制改善 に利用する ゼロトラストモデルでShowNetを運用

ShowNetの構築と運用を支える ゼロトラストモデル • セキュアなリモートアクセス • SASEによるセキュアリモートアクセス • リモートアクセスログの収集管理 • SASEによるセキュアインターネットゲートウェイ • 柔軟で厳格な認証・認可 • SAML連携による認証情報の一元化 • 二要素認証とデバイスポスチャによる厳格な認証・認可

SASEによるセキュアなリモートアクセス • リモート端末からの通信をSASEに 集約し、セキュアなリモートオペ レーションを実現 • SASEで提供されるコンポーネント • IPS • URL Filtering • Sandbox • SASEにより実現した対策 • リモートオペレーションのトラ フィックを監視 • マルウェア感染端末からの通信 やShowNetへの不正アクセスか ら保護 Global Protect PA-3250 Management NW Sandbox IPS URL Filtering Internet SMART-GW SASE

リモートアクセスログの収集管理 • セキュアゲートウェイにより特権IDの管理や 操作ログを記録 • 機器の認証情報とは別の一元管理された各自 の認証情報でログイン • アカウント毎に権限設定 • 誰がいつどの操作を行ったかを一元的にト レース可能に Management NW 誰が？ いつ？ どの機器に？ どんな操作を？ 記録 Operator 権限制御 操作履歴記録 SMART-GW

SASEによるセキュアインターネットゲートウェイ • ShowNetの管理ネットワークの インターネットGWにSASEによる セキュリティコンポーネントを適用 • DNS Security • Cloud-Delivered Firewall • Secure Web Gateway • Threat Intelligence • (NAT) • ShowNetの機器をリソース単位で アクセス制御 • ShowNetの機器情報DBと連携 • APIを用いたアクセス制御の自動化 c8500 DNS SWG CDFW NAT The Internet Azure (Japan East) c8000v Azure (West US) c8000v Umbrella PoP 悪性ドメインの クエリを遮断 FWポリシで遮断 • 悪性URLカテゴリで遮断 • ダウンロードファイルは Sandboxで解析 DNS cache Management NW Umbrella SASE 80/443 TI

SAML認証による認証情報の一元化 • ShowNetオペレータのアカウント をTTDBで一元管理 • DuoをSAML認証の中継サービス としたSSO環境を構築 • TTDBとは • トラブルチケットデータベース • NOC内製のWebアプリケーション • ShowNetのあらゆる情報を管理 Global Protect Booth FortiClient TTDB Management NW SAML IdP SP SAML SP IdP IdP SP SAML SAML IdP SP PA-3250 FortiGate200F SMART-GW ブース連携デモ用 アクセスサービス オペレータ用 アクセスサービス

二要素認証とデバイスポスチャによる 厳格な認証・認可 • リモートアクセスの認証時は二要素認証を実施 • Duo Pushによるワンタップ認証 • フィンガープリンティングによるデバイスポス チャで脆弱な端末からのアクセスを制御 • End of LifeのOS、ブラウザからの接続を拒否 ShowNet Device Posture macOS 10.14.6 Windows 7 Latest Version OS 2FA 2FA

ShowNet利用者を守る セキュリティの取り組み

ShowNet利用者を守るセキュリティの取り組み • 出展社ブース向けセキュリティサービス • ShowNet全体のセキュリティ監視基盤 • ShowNetトラフィックの複製と分配 • XDR / SIEMによるアラート分析 • スレットインテリジェンスの集約

出展社ブース向けセキュリティサービス • インラインNGFWにより悪性通信を 検知・遮断 • ShowNetへの不正アクセス • 感染端末からの通信 • 悪性URLカテゴリへの通信 • 悪性DNSの名前解決 • クラウド上のサンドボックスと連携 • ダウンロードファイルを動的解析 • 不審な挙動をするファイルを遮断 Hall4 Attacker Hall5 Hall6 Life PA-5280 FortiGate3500F Victim FortiSandbox WildFire

ShowNetトラフィックの複製と分配 Omnia120 EXA64100 VisionOne Hall4〜Hall6 1 2 3 4 5 6 7 8 NPB Aggregation Distribution Deduplication fx2.noc ne8000-f1a.noc FortiGate3500F w/FortiSandox FortiNDR3500F PA-5450 w/WildFire SRX380 w/SD Cloud, ATP Cloud NSX-NDR NIRVANA改 w/NICTER, Daedalus, CURE CheckPoint w/SandBlast Synesis FortiNAC

XDR / SIEMによるアラート分析 • ShowNetのデータソースを包括的に分析 / 可視化 セキュリティアプライアンス 認証機器、サービス EX5 DatalaiQ NIRVANA改 機械学習 分析基盤 可視化 各種ログ / 脅威アラート Cortex XDR 分析結果

スレットインテリジェンスの集約 • 各ベンダが提供する IoC Feed を一元的に集約 EXIST srx380 Feed取得 Feed取得 Feed取得 AutoFocus FortiGuard ATP Cloud 連携 Feed取得 Lastline TI Operator Search

運用を終えて

セキュリティアラート集計結果 6月15日 6月16日 6月17日 インラインFW 2,056,164 1,794,441 1,061,834 全体監視 5,636,870 3,588,656 1,956,735 管理ネットワーク 644 933 212 合計 7,693,678 5,384,030 3,018,781

インラインFW & 全体監視 • 検出されたアラート（一部） • SSHブルートフォース攻撃 • グローバル接続ドロップ宛の脆弱性スキャン • 弱い暗号スイートを使ったSSL通信 • RFC非準拠のトラフィック • テスターからの模擬攻撃通信 • マルウェアによるコールバック通信や感染の疑いのあ る通信の検出なし

管理ネットワーク • 検出されたアラート • DNSセキュリティ機能により、ShowNetのホストから大量の 悪性ドメインの名前解決をする通信を検出 • 原因 • 取得したブラックリストを名前解決する仕様のセキュリティ 製品があったため • 対処内容 • コントリビュータ様にご連絡済み

リモートアクセス接続数集計結果 • 合計：2,157件（前年比 133%） • 特にホットステージは昨年より も利用数が増加 • サービス開始 (Day2) から終了ま で停止期間なし HotStage Deploy 本番

ご協力企業様（五十音順）

No content