shownet.conf_ 【01-06】 ShowNetを守るセキュリティ 〜広帯域化するネットワークを守る新たな挑戦〜 ShowNet NOC チームメンバー 神宮 真人

アジェンダ 昨今のセキュリティの脅威 ShowNetにおける課題 広域化するバックボーンネットワーク ShowNetにおけるセキュリティの課題 ShowNetにおけるセキュリティ対策 ShowNet 2023 セキュリティのテーマ 出展社へのセキュリティサービス ShowNet全体のセキュリティ監視 セキュアオペレーション まとめと今後の展望 • ShowNetトラフィックの集約と分配 • 多種多様のセキュリティアプライアンスによ る脅威検出 • SIEM / XDRによるアラート分析 • インテリジェンス駆動型のセキュリティオペ レーション • 外部攻撃対象領域管理（EASM） • 攻撃の顕在化 • オペレータ向けリモートアクセスサービス • マネジメントネットワークのセキュリティ • パスワードマネージャの運用 • 生活用ネットワークのセキュリティ

昨今のセキュリティの脅威

昨今の脅威 直近の主なインシデント事例 【脆弱性悪用】政府組織における電子 メール関連システムの脆弱性を悪用され たメール流出 【ランサムウェア】港の管理システムに おけるランサムウェア感染によるシステ ム障害 【IoT機器】機器の管理不備による河川 監視カメラへの不正アクセス 【DDoS攻撃】渋谷区公式サイトにおけ るDDoS攻撃を起因とする閲覧障害 4 出典: 「情報セキュリティ10大脅威 2023」, IPA, https://www.ipa.go.jp/security/10threats/ps6vr70000009r3z-att/setsumei_2023_soshiki.pdf

必要とされるセキュリティ対策 脅威を検出、対処できる体制の構築 ネットワーク/サーバ/クライアントへのセキュリティ対策 セキュリティポリシの統一 パスワードの管理・認証の強化 脆弱性の管理 攻撃対象領域の管理 5

ShowNetにおける課題

広帯域化するバックボーンネットワーク 通信事業者やデータセンターのバックボーンでは 400G / 800G が あたりまえの時代に 広帯域化するネットワークでもセキュリティ対策は必要 広帯域化するネットワークを守るための技術や セキュリティ製品が登場 7

ShowNetにおけるセキュリティの課題 出展社ごとの需要に対して柔軟に対応する必要がある 短期間ゆえのセキュリティ対策の抜け漏れ 非常に膨大な数のセキュリティアラート 様々なバックグラウンドをもつオペレータが参集するためセキュリ ティポリシの統一が困難 遠隔地からの安全なオペレーションの必要性 機器を設定するための管理ネットワークを早急に構築する必要がある 大人数のオペレータへの認証情報(パスワード)の共有 8

ShowNetにおけるセキュリティの課題 出展社ごとの需要に対して柔軟に対応する必要がある 短期間ゆえのセキュリティ対策の抜け漏れ 非常に膨大な数のセキュリティアラート 様々なバックグラウンドをもつオペレータが参集するためセキュリ ティポリシの統一が困難 遠隔地からの安全なオペレーションの必要性 機器を設定するための管理ネットワークを早急に構築する必要がある 大人数のオペレータへの認証情報(パスワード)の共有 9

ShowNetにおける セキュリティ対策

今年のテーマ 広帯域化するネットワークを守る新たな挑戦 ついに来た！400G対応NGFWの時代 400Gパケットブローカーが拓く広帯域ネットワーク時代のSOC基盤 セキュアなオペレーションを実現する多様なリモートアクセスサービス インテリジェンス駆動型のセキュリティオペレーション 11

セキュリティ対策全体像 12 NPB バックボーン トラフィック  NGFW  IPS  NDR  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  Remote Access GW  EASM  SASE 生活用ネットワークセキュリティ 感染端末

セキュリティ対策全体像 13 NPB バックボーン トラフィック  NGFW  IPS  NDR  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  Remote Access GW  EASM  SASE 生活用ネットワークセキュリティ 感染端末 ShowNet全体を守るセキュリティ 出展社を守るセキュリティ セキュアなオペレーションを 実現するセキュリティ

ShowNet 2023 トポロジー図 14

ShowNet 2023 トポロジー図 15

出展社への セキュリティサービス

出展社へのセキュリティサービス ShowNetでは、出展社ブースでのデモンストレーション等 のために、インターネット接続を提供している インターネット接続を安心して使っていただくため、希望 する出展社はセキュリティサービスを利用可能 17

Palo Alto Networks PA-5430 Fortinet FortiGate 4801F インラインファイアウォール構成 18 Palo Alto Networks PA-5430 Fortinet FortiGate 4801F インターネット FortiSandbox WildFire クラウドサンドボックスと連携 クラウドサンドボックスと連携 出展社 ホール4・5 など 出展社 ホール6・7 など 出展社収容ルータ mx10004, ne8000m4-2

セキュリティサービス実施内容 以下のセキュリティサービスを通信経路上で有効化し、リ アルタイムに悪性通信をブロック アンチウィルス サンドボックス Webフィルタリング アプリケーション識別 IPS 今年は最大で400Gbpsのインターフェイスを持つNGFW装置 をご提供いただき、広帯域化するバックボーンネットワー クの上で高速なセキュリティサービスを実現 19

セキュリティサービスの検証 ShowNetで提供するネットワークは、アドレス種別(プライベート/グ ローバル)やセキュリティサービスの有効/無効、通るべきインライ ンファイアウォールの機器など、ネットワークごとに異なる要件を もつ これらの要件をすべてのネットワークが満たしているかを確認する ために、ShowNet Team Member(STM)やテスターによる確認に加え、 専用のテストツールを開発し、サービス提供開始前に検証している 20

セキュリティサービス運用結果 セキュリティサービス有効：199ドロップ（約82%） 検出アラート アラート全体数：489,496件 ブロックした通信：8,271件 • テスター機器からの通信以外でHigh以上のアラートは0件 21 Hall 4 Hall 5 Hall 6 Hall 7 合計 有効 48 73 54 24 199 無効 16 12 13 4 45 合計 64 85 67 28 244

ShowNet全体の セキュリティ監視

ShowNet全体のセキュリティ監視 ShowNetバックボーンを流れるトラフィックを複製 トラフィックを集約し、重複排除 多種多様のセキュリティ機器に分配し、脅威を検出 検出されたアラートを集約、分析 23

ShowNetトラフィックの集約と分配 Passive TAP TX RX TX RX TX TX A B A B TAP接続場所 FlexTap 24

多種多様のセキュリティアプライアンスによる脅威検出 vision400 agg-c32 omnia120 PA-5450 FortiGate4801F FortiNDR SRX380 ISNG9895 w/ OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis 複製トラフィック 検出アラート SIEM / XDR TAP dedup stripping 脅威検出 ネットワークフォレンジック DDoS攻撃検知 トラフィック、アラート可視化 25

NPB構成 2 3 5 6 n TAP vision400.sec omnia120.sec pa5450.sec isng9895.sec aed.sec srx380.sec fgt4801f-1.noc fdr3500f.sec synesis.sec 400G-FR4 100G-LR4 10G-LR cp-mho140.sec cp-sg16khs-1 cp-sg16khs-2 cp-sg16khs-3 nirvana-sensor01.sec nirvana-sensor02.sec インラインFW用の FortiGateと同一筐体 100G-SR4 10G-SR pm-ex5-1-traffic.mon 10G-T 100G-DAC 3rd party optics 9 10 sys-6028r-wtr.moip (KAIT TrafficMonitor) QSFP-DD x16 SFP56 x24 agg-c32.sec A B A B dedup QSFP28 x32 7 8 flowinspector100g.mon メディコン 100G-CWDM4 A B 1 4 Packet Trimming SFP+ x48 QSFP28 x4 flowmon-probe.mon P25 P26 P27 P28 P29 P30 P31 P32 P33 P34 P35 P36 P37 P38 P39 P40 P01 P02 P03 C1 C2 C3 C4 C5 C6 C7 C8 C9 C1 C2 C3 X1 X2 X3 X4 X5 X6 X7 X8 ラックまたぎ xg-0-50 xg-1-13 xg-3 xg-0-0-16 xg-2-3 xg-1 xg-2 xg-2 hg-1-56-1 hg-1 hg-1 hg-1 hg-1 hg-1-49-1 hg-1-50-1 hg-1-51-1 xg-0-0 xg-0-1 not multicast

脅威アラート分析と自動化 脅威アラート分析 脅威インテリジェンス分析 プレイブックによる自動化 IoCの調査 Feed取得 ShowNet通信ログ照合 脅威アラート 27

インテリジェンス駆動型の セキュリティオペレーション 脅威情報のインディケータを定期的に取得 SIEM / XDR からインディケータに一致する通信を確認 インディケータに紐づく情報を取得 通信遮断の判断（手動） ブロック設定の実行 インシデントレポーティング 28

検出アラート 検出アラート件数（脅威検出アラートのみを集計） 検出アラート抜粋 Zyxel Firewallのコマンドインジェクションの脆弱性 (CVE-2023-28771) • 本脆弱性を悪用するDDoSボットネットによる活動が5月末から観測されている • POCが公開されており、ホットステージ期間中にCISAのKEVカタログにも追加された • （参考）Fortinet様の解析レポート https://www.fortinet.com/blog/threat-research/ddos-botnets-target-zyxel-vulnerability-cve-2023-28771 従来から大量に検出される脆弱性スキャン • SIP VoIP/PBX のスキャン • RPC Portmapper DUMP のスキャン • Metasploit による VxWorks WDB エージェントのスキャン 29 6月14日 6月15日 6月16日 会期合計 2,634,343 4,553,739 1,736,846 8,924,928

DoS攻撃の傾向 30 # 国名 ホスト数 1 中国 707 2 米国 633 3 ニュージーランド 66 4 ドイツ 42 5 韓国 19 6 英国 17 7 香港 17 8 ロシア 16 9 日本 16 10 インド 16 送信元ホスト数（上位10ヶ国） # 攻撃種別 件数 1 TCP SYN Flood Detection 801 2 Invalid Packets 702 3 Block Malformed DNS Traffic 83 4 Malformed HTTP Filtering 26 5 Invalid Packets, Malformed HTTP Filtering 13 攻撃種別件数（上位5種） ※ 1分未満、10パケット未満の検出イベントは除外 # ポート 件数 1 6379/tcp 707 2 80/tcp 633 3 53/udp 66 4 22/tcp 19 5 443/tcp 17 宛先ポート別件数（上位10ヶ国） 通信量 [Mbps] 件数 1 Mbps 未満 1,646 1〜2 Mbps 1 2〜3 Mbps 3 3 Mbps 以上 2 攻撃の通信量 3.4 Mbps 1.2 Gbps Redis

外部攻撃対象領域管理（EASM） 攻撃者視点でShowNetの 攻撃対象領域を監視 ShowNetオペレータ 攻撃対象領域を検出した場合 攻撃ステップとExploitコードを提示 ShowNetのリスクを 管理コンソールで確認 31

攻撃の顕在化 デコイ（攻撃のおとり） 攻撃を誘引 受けた攻撃の詳細をレポート ShowNetオペレータ ShowNetの潜在的な 攻撃リスクを認識 32

セキュアオペレーション

オペレータ向けリモートアクセスサービス 目的 ShowNetオペレータ向けにセキュアなリモートアクセスサービス を提供 展示会期にはブース連携デモアクセスサービスにも利用 構成 TTDBを中心としたSSO環境 なりすまし防止のための二要素認証 デバイスポスチャによる健全性担保 多様なアクセス手段 • SASE、ZTNA、アクセスゲートウェイ（Webターミナル） 34

TTDBとは？ トラブルチケットデータベースの略 ShowNet内製のチケットシステム 実際にはチケットだけではなく、機器情報や配線、出展社の VLANやIPアドレスといったShowNetの構成情報の大部分を管理 TTDBにはShowNetに接続する関係者すべてのアカウントと、 すべての機器の情報が存在する →TTDBの情報を基に、一元的なアクセス制御を実施 35

リモートアクセス構成 36 Duo SAML ShowNet IdP Device Posture Global Protect FortiClient TTDB SAML IdP SP SP SP 2FA SP SP pa3250 SMART-GW mgmt ShowNet構成機器 Prisma Access FortiGate Access Proxy fg600f Keeper Connection Manager

Out-Of-Band回線による継続的な接続性の提供 構築が始まっていないホットステージ初期やバックボーン切替試験 時でもリモートオペレーションを継続するために、専用回線を利用 37 Backbone ShowNet構成機器 S-OCN FC リモートオペレータ マネジメントネットワーク

リモートアクセスサービス運用結果 合計：2,229件（前年比 103%） Day3, 4 の利用が特に多い 38 リモートアクセスサービス利用者数

パスワードマネージャによるパスワード共有 ShowNet機器の認証情報をオペレータ間で安全に共有 ネイティブアプリやブラウザ拡張機能によりシームレスに連携 39 パスワードマネージャ利用者数

マネジメントネットワークのセキュリティ マネジメントネットワークからのインターネットアクセスを制御 SASEを用いることでセキュアなインターネット接続性をクイックに実現 SASEのセキュリティコンポーネントで悪性通信を検出 mgmt ShowNet構成機器 Secure Edge SRX1500 The Internet IPS SWG mgmtのアセット 情報ベースで アクセス制御 TTDB asset 参照 Anti- malware TI 40

生活用ネットワークのセキュリティ ShowNetオペレータ端末の接続情報を可視化 不正な端末の接続を検知 .life 構成情報収集 （snmp） .mgmt DHCP Discover (broadcast) デバイス情報 可視化 Life SW群 FortiNAC 41

生活用ネットワークのセキュリティ ShowNetオペレータ端末の脅威検出時に遮断命令を実施 エンドポイントのソフトウェアに依存しないセキュリティ .life 感染端末 構成情報収集 （snmp） 構成可視化 ＆自動遮断 .mgmt セキュリティアラート Life SW群 AX-NM 遮断命令 42

セキュリティ対策全体像 43 NPB バックボーン トラフィック  NGFW  IPS  NDR  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  Remote Access GW  EASM  SASE 生活用ネットワークセキュリティ 感染端末

まとめと今後の展望 実機検証、セキュリティ技術活用例の提示 ShowNetという特殊な環境での実機検証 最新技術の活用例を世の中に提示 セキュリティは適材適所 対策が必要となる場所を適切な技術で守る 最新のネットワークを最新のセキュリティ技術で守る 44

ご協力いただいたコントリビュータ様 ※ 五十音順