Slide 1
Slide 1 text
3Dアプローチで守る
セキュリティ
Interop Tokyo ShowNet NOC Team Member
1
Slide 2
Slide 2 text
ShowNetにおけるセキュリティとは
➢目的
✓最新のセキュリティ機器、技術を
使ってShowNetの安全を担保する
✓実データを使った分析結果、
ユースケースを来場者に提示する
➢守るべき対象
✓ShowNet利用者(出展社)
✓ShowNet関係者
(NOC、STM、コントリビュータ、
事務局)
✓ShowNet構成する機器、
コンピューティングリソース、
データ
2
Slide 3
Slide 3 text
昨今の脅威
3
Slide 4
Slide 4 text
昨今の脅威
➢直近(2024年8月)の主なインシデント事例
✓海外の委託業者の個人所有PCのマルウェア感染を
発端として約73万件の情報が流出(製薬会社)
✓検証環境を侵害され社内ネットワーク上のファイ
ルサーバーへ不正アクセスが拡大
(食品製造販売会社)
✓RDPを介して人事給与システム等稼働するサー
バーに対しランサムウエアを展開(ガス会社)
4
出典: 「情報セキュリティ10大脅威 2024」, IPA,
https://www.ipa.go.jp/security/10threats/m42obm00000044ba-att/setsumei_2024_soshiki.pdf
Slide 5
Slide 5 text
必要とされるセキュリティ対策
5
➢セキュリティポリシの統一
➢認証管理
➢適切なアクセス制御
➢脆弱性の管理
➢攻撃対象領域の管理
Slide 6
Slide 6 text
必要とされるセキュリティ対策
➢セキュリティポリシの統一
➢認証管理
➢適切なアクセス制御
➢脆弱性の管理
➢攻撃対象領域の管理
6
攻撃者からの侵害を
完全に防ぐことは不可能
脅威を検出、対処できる環境の構築
(攻撃者に侵害された前提で対策を行う)
Slide 7
Slide 7 text
ShowNetにおけるセキュリティ対策
7
Slide 8
Slide 8 text
テーマ
➢様々なEASMサービス群による攻撃対象領域管理
➢俯瞰的視点によるセキュリティ統合監視
➢SASEを活用したセキュアな管理ネットワーク
3DアプローチでShowNetを守るセキュリティ
攻撃者視点の対策
俯瞰的視点の対策 回線利用者視点の対策
オペレータ視点の対策
Slide 9
Slide 9 text
セキュリティ対策全体像
9
NPB
バックボーン
トラフィック
✓ NGFW
✓ IPS
✓ NDR
✓ Sandbox
✓ Forensics
NGFW + Sandbox NGFW + Sandbox
TAP
✓ SIEM
✓ XDR
✓ XSOAR
✓ TIM
脅威検出アラート
脅威情報
マネジメントネットワーク
セキュリティ
リモートアクセスサービス
外部攻撃対象領域管理
Deception
デコイ(攻撃のおとり)
アラート分析・自動化
脅威検出
Script
インディケータ
出展社向けセキュリティサービス
出展社ブース
✓ SASE
✓ ZTNA
✓ VPNaaS
✓ Remote
Access GW
✓ EASM
✓ SASE
認証情報管理
被疑端末特定支援
感染端末
統合認証
****
✓ SSO
Slide 10
Slide 10 text
セキュリティ対策全体像
10
NPB
バックボーン
トラフィック
✓ NGFW
✓ IPS
✓ NDR
✓ Sandbox
✓ Forensics
NGFW + Sandbox NGFW + Sandbox
TAP
✓ SIEM
✓ XDR
✓ XSOAR
✓ TIM
脅威検出アラート
脅威情報
マネジメントネットワーク
セキュリティ
リモートアクセスサービス
外部攻撃対象領域管理
Deception
デコイ(攻撃のおとり)
アラート分析・自動化
脅威検出
Script
インディケータ
出展社向けセキュリティサービス
出展社ブース
✓ SASE
✓ ZTNA
✓ VPNaaS
✓ Remote
Access GW
✓ EASM
✓ SASE
認証情報管理
被疑端末特定支援
感染端末
統合認証
****
✓ SSO
攻撃者視点のアプローチ
オペレータ視点のアプローチ
俯瞰的視点のアプローチ
回線利用者視点のアプローチ
Slide 11
Slide 11 text
出展社向けセキュリティサービス
11
Slide 12
Slide 12 text
出展社向けセキュリティサービス
➢ShowNetでは、Interop Tokyo出展社ブース向けに提供してい
るインターネットサービスを安心して使って頂けるよう、
希望する出展社はセキュリティサービスを利用できる
Slide 13
Slide 13 text
インラインファイアウォール構成
13
Palo Alto Networks
PA-5445
Fortinet
FortiGate 3201F
Cisco Systems
Secure Firewall 4245
Juniper Networks
SRX2300
インターネット
サンドボックスと連携 サンドボックスと連携
FortiNDR
WildFire Secure Malware
Analytics
ATP Cloud
出展社
ホール2・4
出展社
ホール3
出展社
ホール5
出展社
ホール6
Slide 14
Slide 14 text
セキュリティサービス実施内容
➢以下のセキュリティサービスを通信経路上で有効化し、リアルタイ
ムに悪性通信をブロック
✓アンチウィルス
✓クラウドサンドボックス
✓脅威インテリジェンスを用いた悪性通信の検出
✓Webフィルタリング
✓アプリケーション識別
✓IPS
➢400Gbpsのインターフェイスを持つNGFW装置をご提供いただき、広
帯域化するバックボーンネットワークの上で高速なセキュリティ
サービスを実現
14
Slide 15
Slide 15 text
セキュリティサービス提供実績
➢サービスが有効な出展社ドロップ数:204(全体の80%)
15
Hall2 Hall3 Hall4 Hall5 Hall6 合計
有効 20 38 39 63 44 204
無効 8 8 11 14 10 51
合計 28 46 50 77 54 255
有効
80%
無効
20%
Slide 16
Slide 16 text
セキュリティ検知数・ブロック数
16
検知数 ブロック数
6/12(水) 17,008,313 27,183
6/13(木) 21,965,872 25,595
6/14(金) 17,655,823 34,081
合計 56,630,008 86,859
3日間(65時間)で約5660万件のリスクを検知
内、8万件強の悪性通信をブロック
※テスターによる疑似トラフィックや、アドウェア/グレーウェアなどの通信を含む
Slide 17
Slide 17 text
運用上の苦労・工夫点
➢チューニング
✓出展社ブースでのデモ通信等がセキュリティサービスによって予期せぬ遮断
がされてしまうことがある
✓まずは遮断している原因を特定
• アラートを集約するSIEMや機器の管理コンソールで遮断した形跡を探す
✓過剰なFWルールによって遮断されていた場合はルールを緩和
• ex) 新規登録ドメイン(NRD)による過検知
➢検証
✓各出展社ブースのネットワークにはセキュリティサービスの有効/無効、通
るべきFW機器等の要件がある
✓すべてのネットワークが要件を満たしているかを確認するためにテストツー
ルを開発して都度検証を実施
17
Slide 18
Slide 18 text
脅威検出とアラート分析対処
18
Slide 19
Slide 19 text
脅威検出とアラート分析対処
19
複製
• 監視すべき接続ポイントに光TAPを配置
集約
• 複製トラフィックを集約
処理
• パケットブローカで重複排除やパケット処理
分配
• 多種多様のアプライアンスに分配
検知
• アプライアンスで脅威を検知
集約
• 膨大な検知アラートを集約
分析
• アラートを分析し、要対処インシデントを検出
ト
ラ
フ
ィ
ッ
ク
処
理
ア
ラ
ー
ト
処
理
Slide 20
Slide 20 text
トラフィック複製
Passive TAP
TX
RX TX
RX
TX
TX
A B
A B
FlexTap 11箇所のリンクに光TAPを接続
Slide 21
Slide 21 text
トラフィック集約 / 処理 / 分配
21
Vision400
VisionE100
Profitap
PA-5450
FG3201F
FortiNDR
FortiNDR Cloud
ISNG9895 w/ OCI
CheckPoint
ArborEdgeDefense
NIRVANA改
Synesis
TAP
dedup trimming
脅威検出
ネットワークフォレンジック
DDoS攻撃検知
可視化
処理済み
トラフィック
複製
トラフィック
Secure Network Analytics
Slide 22
Slide 22 text
アラート検知 / 集約 / 分析
22
Cortex XDR / XSOAR
NIRVANA改
Splunk Enterprise Security
脅威アラート
集約
PacketMaster
脅威アラート
分配
脅威検出機器群
SIEM / XDR
オペレータ
対処が必要な
インシデントを確認
Slide 23
Slide 23 text
攻撃対象領域管理
23
Slide 24
Slide 24 text
外部攻撃対象領域管理(EASM)
24
Cortex Xpanse
Pentera Surface
Tenable ASM
ULRTA RED
ネットde診断
OSINT Exploit
PortScan
・・・
EASMサービス
攻撃可能な領域を通知
VulnScan
対処
オペレータ
ShowNetに設置したデコイを含めた
攻撃対象領域を様々なEASM製品で管理
攻撃可能な領域を検出
深刻な攻撃対象が検出された
場合は是正対処を実施
様々なアプローチで検出
ShowNetのドメイン /
IPアドレスを登録
Slide 25
Slide 25 text
攻撃の顕在化
25
受けた攻撃をレポート
✓ RedHat
✓ macOS
✓ IoT (ルーター)
✓ IoT (スイッチ)
✓ IoT (プリンター)
✓ IoT (IPカメラ)
✓ SAP
✓ VoIP (4G/5G)
✓ Webmin
✓ Citrix
ShowNetで稼働するデコイ
攻撃者の行動を監視
攻撃者 攻撃
ShowNetオペレータ
ShowNetの潜在的な
攻撃リスクを認識
FortiGate901G
FWと連携して攻撃者を隔離
FortiDeceptor
Slide 26
Slide 26 text
リモートアクセスサービス
26
Slide 27
Slide 27 text
リモートアクセスサービス
➢目的
✓ShowNetオペレータ向けにセキュアなリモートアクセスサービス
を提供
✓展示会期にはShowNet活用デモ向けアクセスサービスにも利用
➢構成
✓TTDBを中心としたSSO環境
✓なりすまし防止のための二要素認証
✓デバイスポスチャによる健全性担保
✓多様なアクセス手段
• SASE、ZTNA、VPNaaS、リモートデスクトップゲートウェイ
Slide 28
Slide 28 text
TTDBとは
➢トラブルチケットデータベースの略
➢ShowNet内製のチケットシステム
✓実際にはチケットだけではなく、機器情報や配線、出展社の
VLANやIPアドレスといったShowNetの構成情報の大部分を管理
➢TTDBにはShowNetに接続する関係者すべてのアカウントと、
すべての機器の情報が存在する
→TTDBの情報を基に、一元的なアクセス制御を実施
28
Slide 29
Slide 29 text
終端装置
5種のサービスを運用
29
Duo
SAML IdP
Device
Posture
TTDB
SAML
IdP
SP
SP
2FA
管理ネットワーク
Prisma Access
SMART Gateway
Keeper Connection Manager
Cisco Secure Access
FortiSASE
リモートアクセスサービス
✓ SSO
✓ 利用者情報
AnyConnect
FortiClient
GlobalProtect
Agent Free
Agent Free
SASE
SASE
ZTNA
Remote
Desktop
Remote
Desktop
pa3440.sec
fg901g.sec
c8500.svc
smart-gw.sec
keeper-cm.sec
VPNaaS
The Internet
Slide 30
Slide 30 text
SASE
➢セキュリティコンポーネントをクラウドに集約
➢どこから接続しても統一されたセキュリティチェックを適用
The Internet
DNS SWG
CDFW
CASB DLP ZTNA
SASE POP
etc..
※ 提供されるコンポーネントは
ベンダにより異なる
Slide 31
Slide 31 text
ZTNAとVPNaaS
31
HTTPS
HTTPS
ポスチャチェック + 認可
ポスチャチェック + 認可
Device1
Device2
IPsec
IPsec
TLS ポスチャチェック + 認可
ZTNA:セッションごとにポスチャチェックと認可を実施
VPNaaS:トンネル接続時にポスチャチェックと認可を実施
Device1
Device2
Slide 32
Slide 32 text
Remote Desktop Gateway
➢ブラウザやCLIでリモートデバイスに多種プロトコルで接続
➢操作内容の録画やコマンドログを記録し、証跡を管理
32
Device2
Device3
RemoteDesktop
Gateway
HTTPS
HTTPS
SSH
RDP/VNC
HTTPS
SSH/Telnet
Device1
✓ 利用者情報
SAML
操作ログ記録
Slide 33
Slide 33 text
認証情報管理
33
Slide 34
Slide 34 text
認証情報管理
➢Keeper Password ManagerによりShowNetを
構成する全ての機器の認証情報を管理
➢認証情報の共有
✓ 個人から個人へ共有
✓ NOCから全員へ共有
✓ NOCからコントリビュータ、NOCからSTMへ共有
➢権限管理
✓ チームで権限を管理
✓ 指定条件によりBotがチームを自動割り当て
➢利便性向上
✓ ブラウザ拡張機能サポート
✓ フォームへの自動入力
34
NOC Team Contributor
Team
STM Team
****
Write Read Read
NOC→全員
共有ボルト
User B
****
Write Read
個人→個人
共有ボルト
User A
NOC Team
STM Team
Contributor Team
STM
Activate
条件により
Botがチームを
自動割り当て
User A
****
個人用ボルト
Slide 35
Slide 35 text
リモートアクセス・パスワードマネージャ
利用数
リモートアクセス パスワードマネージャ
6/1 (土) 56 337
6/2 (日) 289 341
6/3 (月) 293 363
6/4 (火) 267 251
6/5 (水) 275 185
6/6 (木) 213 177
6/7 (金) 170 122
6/8 (土) 51 140
6/9 (日) 67 94
6/10 (月) 181 156
6/11 (火) 199 138
6/12 (水) 164 73
6/13 (木) 147 72
6/14 (金) 96 80
35
Slide 36
Slide 36 text
管理用ネットワークセキュリティ
36
Slide 37
Slide 37 text
管理用ネットワークのセキュリティ
➢マネジメントネットワークからのインターネットアクセスを制御
➢SASEを用いることでセキュアなインターネット接続をクイックに提供
➢SASEのセキュリティコンポーネントで悪性通信を検出
管理ネットワーク
ShowNet構成機器
Umbrella
Secure Internet Gateway
C8500
The Internet
CDF/IPS SWG
アセット情報ベースで
アクセス制御
TTDB
asset
参照
Anti-malware TI
TTDB/SD-WAN
Connector
Catalyst SD-WAN
API
DNS Security
Internet OK Internet NG
Internet OK
- switch X
- server Z
Internet NG
- router Y
Internet OK
Slide 38
Slide 38 text
被疑端末特定支援
38
Slide 39
Slide 39 text
被疑端末特定支援
39
FortiGate AX-Collector
The Internet
netflow
被疑端末
NAT
➢NAT機器のログ情報を可視化
➢インシデント被疑端末のNAT変換前後のアドレスを紐づけてオペレータによる
端末特定作業を支援
AX-NVで可視化
時刻/IPアドレス/ポートの
組み合わせで被疑端末を特定
グローバルIPアドレス(x.x.x.x)から
不審な通信を受信した
マルウェアに感染している可能性あり
外部機関
private
global
報告
Slide 40
Slide 40 text
耐量子計算機暗号VPN
相互接続検証
40
Slide 41
Slide 41 text
量子計算機時代に備えた相接検証
➢PQC を実装したIPsec VPN (RFC 8784) によるベンダ間相互接続を検証
✓PQCとは:量子計算機による暗号解読攻撃に耐える強度をもつ暗号化方式
✓近い将来に既存の暗号技術が危殆化するおそれがあるため、
先駆けてマルチベンダ間で標準化ドラフト技術の実装状況を検証
41
SRX2300 PA-5445
IPsec VPN
RFC 8784 PQ PPK enabled
Synesis Portable
TAP
暗号化通信経路上の通信をキャプチャ
PQC VPN接続と疎通性を確認
Slide 42
Slide 42 text
おわりに
➢多種多様な視点からのセキュリティ対策を実施
➢実トラフィックでの実機検証
➢セキュリティ技術の活用例を提示
➢最新のネットワークを最新のセキュリティ技術で守る
42
Slide 43
Slide 43 text
セキュリティ分科会 協力企業一覧(50音順)
43