ShowNet 2022 進化するゼロトラスト実装技術が守る 大規模イベントネットワーク Interop Tokyo 2022 ShowNet NOCチームメンバ セキュリティ担当 清水 一貴

アジェンダ • ShowNetとは • ShowNetにおけるセキュリティの課題 • ShowNetの構築と運用を支えるゼロトラストモデル • ShowNetを守るセキュリティの取り組み

ShowNet とは

Interop Tokyo • 世界最大のネットワーク機器と技術の展示会 • 1986年米国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • Interop Tokyoは今年で29回目の開催 • 来場者約14万人

• “I know it works because I saw it at Interop” • 産業界、学術、研究機関からトップエンジニアが集まり、 Interopで構築される世界最大のデモンストレーションネットワーク • 2年後、3年後に業界に浸透する技術に先駆けて挑戦 • 様々な技術の相互接続性検証の場 • 最新技術を実装しながら安定した サービスを出展ブース・来場者に提供 • 出展社や来場者へのネットワーク提供 • “Live” Network

ネットワークの規模 • コントリビューション機器/製品/サービス台数：約1600台 • 動員数（のべ） ：533名 • NOCチームメンバー ：29名 • STM ：39名 • コントリビュータ ：465名 • UTP総延長：約15.0km 光ファイバー総延長：約4.2km • NOCラック及びPod総電気容量 約120.0kW 内訳(NOC 約110kW、Pod 約10.0kW) • NOCラック及びPod総コンセント数（100V, 200V含む）:約280個 内訳(NOC 約200個、Pod 約80個)

No content

ShowNet 2022 Security テーマ • 進化するゼロトラスト実装技術が守る大規模イベント ネットワーク • SASEによるセキュアなリモートアクセスとインターネット ゲートウェイ • XDRとSIEMによる次世代SOC基盤 • ゼロトラストによる柔軟で厳格な認証・認可

進化するゼロトラスト実装技術が守る大規模イベントネットワーク Booth Management NW ShowNet Backbone Security Appliances XDR Threat Intel XDRとSIEMによる 次世代SOC基盤 SIEM SASEによるセキュアなリモートアクセスと インターネットゲートウェイ Duplicated Traffic ShowNet TTDB ゼロトラスト技術による 柔軟で厳格な認証・認可 SAML MFA SASE IDM Threats Threats Threats Attack Surface Mgmt Attacker Operator ShowNet Private Cloud 出展社向け セキュリティサービス SASE CSPM クラウドセキュリティ

SASE・リモートアクセス 出展社向けセキュリティ 複製パケットによるトラフィック 検査・SIEM等

ShowNetにおける セキュリティの課題

機器のアカウント管理の課題 • 全ての機器で構築時に大人数のアカウントが必要 • 大人数/短期間で構築する大規模ネットワークという性質 • 全ての機器でRadius/LDAP/AD等の認証サービスがサポートされている わけではない • そもそも認証サーバが立ち上がる前から構築を進める必要がある • 機器へのアクセス方法も様々 • SSH, Web, RDP, etc. • 共通パスワードの危険性 • 全てのオペレータに厳重なパスワード管理が求められる • 認証情報の漏洩が疑われた場合、全ての機器でパスワード変更が必要

操作ログ管理の課題 • インシデント発生時は機器のログが重要データとなる • 誰がいつどの操作を行ったかをトレースしたい • ログ機能は機器の実装よって様々 • 残るログ / 残らないログ • 転送されるログ / 転送されないログ

リモートアクセス端末の健全性担保 • オペレータにShowNetの管理ネットワークへのリモート アクセスサービスを提供 • 様々なポリシのリモートアクセス端末 • 業務用PC、私物PC、レンタルPCなど • OSバージョン、アンチウィルス有無、FW有効/無効、ディス ク暗号化など • ShowNetへの接続前に健全性のチェックが必要 • 脆弱なソフトウェアが使われていないか • マルウェアに感染していないか

多拠点のセキュリティポリシ • ShowNetの拠点は幕張メッセ、プライベートクラウド２ リージョンの３拠点 • インターネットへの接続や拠点間の通信に統一したセ キュリティポリシの適用が求められる

ShowNetの構築と運用を支える ゼロトラストモデル

境界型防御モデルからゼロトラストモデルへ ゼロトラストの原則 すべてのデータソースとコンピューティングサービスはリソースと見なす ネットワークの場所に関係なく、すべての通信を保護する リソースへのアクセスは、セッション単位で許可する リソースへのアクセスは動的なポリシーによって決定する すべてのリソースの整合性とセキュリティ動作を監視、測定する すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施 資産、ネットワークインフラ、通信の現状を可能な限り多く収集し、セキュリティ体制改善 に利用する ゼロトラストモデルでShowNetを運用

ShowNetの構築と運用を支える ゼロトラストモデル • セキュアなリモートアクセス • SASEによるセキュアリモートアクセス • リモートアクセスログの収集管理 • SASEによるセキュアインターネットゲートウェイ • 柔軟で厳格な認証・認可 • SAML連携による認証情報の一元化 • 二要素認証とデバイスポスチャによる厳格な認証・認可

SASEによるセキュアなリモートアクセス • SASEで提供されるセキュリティコ ンポーネントにより、セキュアな リモートオペレーションを実現 • リモート端末からの通信をSASEに 集約 • リモートオペレーションのトラフィッ クを監視 • マルウェア感染端末からの通信や ShowNetへの不正アクセスから保護 • デバイスポスチャによるリモート 端末の健全性をチェック • サポート切れのOSやブラウザを利用し ている端末をアクセス制御 Global Protect Management NW Device Posture Sandbox IPS URL Filtering Internet SASE

リモートアクセスログの収集管理 • セキュアゲートウェイにより特権IDや操作ロ グを管理 • 機器の認証情報とは別の一元管理された各自 の認証情報でログイン • アカウント毎に権限設定 • 誰がいつどの操作を行ったかを一元的にト レース可能に Management NW 誰が？ いつ？ どの機器に？ どんな操作を？ 記録 Operator 権限制御 操作履歴記録

SASEによるセキュアインターネットゲートウェイ • ShowNetのマネジメントNWの インターネットGWにSASEによる セキュリティコンポーネントを適用 • DNS Security • Cloud-Delivered Firewall • Secure Web Gateway • Threat Intelligence • (NAT) • ShowNetの機器をリソース単位で アクセス制御 • APIを用いたアクセス制御の自動化 DNS SWG CDFW NAT The Internet Azure (Japan East) Azure (West US) 悪性ドメインの クエリを遮断 FWポリシで遮断 • 悪性URLカテゴリで遮断 • ダウンロードファイルは Sandboxで解析 Management NW Umbrella SASE 80/443 TI

SAML認証による認証情報の一元化 • ShowNetオペレータのアカウント をTTDBで一元管理 • DuoをSAML認証の中継サービス としたSSO環境を構築 • TTDBとは • トラブルチケットデータベース • NOC内製のWebアプリケーション • ShowNetのあらゆる情報を管理 Global Protect Booth FortiClient TTDB Management NW SAML IdP SP SAML SP IdP IdP SP SAML SAML IdP SP ブース連携デモ用 アクセスサービス オペレータ用 アクセスサービス

二要素認証とデバイスポスチャによる 厳格な認証・認可 • リモートアクセスの認証時は二要素認証を実施 • Duo Pushによるワンタップ認証 • フィンガープリンティングによるデバイスポス チャで脆弱な端末からのアクセスを制御 • End of LifeのOS、ブラウザからの接続を拒否 ShowNet Device Posture macOS 10.14.6 Windows 7 Latest Version OS 2FA 2FA

ShowNetを守る セキュリティの取り組み

ShowNetを守るセキュリティの取り組み • 出展社ブース向けセキュリティサービス • ShowNet全体のセキュリティ監視基盤 • ShowNetトラフィックの複製と分配 • XDR / SIEMによるアラート分析 • スレットインテリジェンスの集約

出展社ブース向けセキュリティサービス • インラインNGFWにより悪性通信を 検知・遮断 • ShowNetへの不正アクセス • 感染端末からの通信 • 悪性URLカテゴリへの通信 • 悪性DNSの名前解決 • クラウド上のサンドボックスと連携 • ダウンロードファイルを動的解析 • 不審な挙動をするファイルを遮断 Hall4 Attacker Hall5 Hall6 Life Victim FortiSandbox WildFire

ShowNetトラフィックの複製と分配 Hall4〜Hall6 1 2 3 4 5 6 7 8 NPB Aggregation Distribution Deduplication

XDR / SIEMによるアラート分析 • ShowNetのデータソースを包括的に分析 / 可視化 セキュリティアプライアンス 認証機器、サービス 機械学習 分析基盤 可視化 各種ログ / 脅威アラート 分析結果

スレットインテリジェンスの集約 • 各ベンダが提供する IoC Feed を一元的に集約 Feed取得 Feed取得 Feed取得 AutoFocus FortiGuard ATP Cloud 連携 Feed取得 Lastline TI Operator Search

shownet.conf_開催決定！ • shownet.conf_とは • 2017年から開催している、その年に構築したShowNetについ てNOCチームメンバーが解説するカンファレンス • 2022年は下記の日程でオンライン開催 • 9月2日（金） shownet.conf_ • 詳細はShowNetの Facebook, Twitterをチェック！ https://www.facebook.com/interop.shownet/ https://twitter.com/ShowNet_NOCTeam/

ご協力企業様（五十音順）

No content