【shownet.conf_】3Dアプローチで守るセキュリティ

Transcript

1. 3Dアプローチで守る セキュリティ Interop Tokyo ShowNet NOC Team Member 1

2. ShowNetにおけるセキュリティとは ➢目的 ✓最新のセキュリティ機器、技術を 使ってShowNetの安全を担保する ✓実データを使った分析結果、 ユースケースを来場者に提示する ➢守るべき対象 ✓ShowNet利用者（出展社） ✓ShowNet関係者 （NOC、STM、コントリビュータ、

   事務局） ✓ShowNet構成する機器、 コンピューティングリソース、 データ 2

3. 昨今の脅威 3

4. 昨今の脅威 ➢直近（2024年8月）の主なインシデント事例 ✓海外の委託業者の個人所有PCのマルウェア感染を 発端として約73万件の情報が流出（製薬会社） ✓検証環境を侵害され社内ネットワーク上のファイ ルサーバーへ不正アクセスが拡大 （食品製造販売会社） ✓RDPを介して人事給与システム等稼働するサー バーに対しランサムウエアを展開（ガス会社） 4

   出典: 「情報セキュリティ10大脅威 2024」, IPA, https://www.ipa.go.jp/security/10threats/m42obm00000044ba-att/setsumei_2024_soshiki.pdf

5. 必要とされるセキュリティ対策 5 ➢セキュリティポリシの統一 ➢認証管理 ➢適切なアクセス制御 ➢脆弱性の管理 ➢攻撃対象領域の管理

6. 必要とされるセキュリティ対策 ➢セキュリティポリシの統一 ➢認証管理 ➢適切なアクセス制御 ➢脆弱性の管理 ➢攻撃対象領域の管理 6 攻撃者からの侵害を 完全に防ぐことは不可能 脅威を検出、対処できる環境の構築

   （攻撃者に侵害された前提で対策を行う）

7. ShowNetにおけるセキュリティ対策 7

8. テーマ ➢様々なEASMサービス群による攻撃対象領域管理 ➢俯瞰的視点によるセキュリティ統合監視 ➢SASEを活用したセキュアな管理ネットワーク 3DアプローチでShowNetを守るセキュリティ 攻撃者視点の対策 俯瞰的視点の対策 回線利用者視点の対策 オペレータ視点の対策

9. セキュリティ対策全体像 9 NPB バックボーン トラフィック ✓ NGFW ✓ IPS ✓

   NDR ✓ Sandbox ✓ Forensics NGFW + Sandbox NGFW + Sandbox TAP ✓ SIEM ✓ XDR ✓ XSOAR ✓ TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース ✓ SASE ✓ ZTNA ✓ VPNaaS ✓ Remote Access GW ✓ EASM ✓ SASE 認証情報管理 被疑端末特定支援 感染端末 統合認証 **** ✓ SSO

10. セキュリティ対策全体像 10 NPB バックボーン トラフィック ✓ NGFW ✓ IPS ✓

    NDR ✓ Sandbox ✓ Forensics NGFW + Sandbox NGFW + Sandbox TAP ✓ SIEM ✓ XDR ✓ XSOAR ✓ TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース ✓ SASE ✓ ZTNA ✓ VPNaaS ✓ Remote Access GW ✓ EASM ✓ SASE 認証情報管理 被疑端末特定支援 感染端末 統合認証 **** ✓ SSO 攻撃者視点のアプローチ オペレータ視点のアプローチ 俯瞰的視点のアプローチ 回線利用者視点のアプローチ

11. 出展社向けセキュリティサービス 11

12. 出展社向けセキュリティサービス ➢ShowNetでは、Interop Tokyo出展社ブース向けに提供してい るインターネットサービスを安心して使って頂けるよう、 希望する出展社はセキュリティサービスを利用できる

13. インラインファイアウォール構成 13 Palo Alto Networks PA-5445 Fortinet FortiGate 3201F Cisco

    Systems Secure Firewall 4245 Juniper Networks SRX2300 インターネット サンドボックスと連携 サンドボックスと連携 FortiNDR WildFire Secure Malware Analytics ATP Cloud 出展社 ホール2・4 出展社 ホール3 出展社 ホール5 出展社 ホール6

14. セキュリティサービス実施内容 ➢以下のセキュリティサービスを通信経路上で有効化し、リアルタイ ムに悪性通信をブロック ✓アンチウィルス ✓クラウドサンドボックス ✓脅威インテリジェンスを用いた悪性通信の検出 ✓Webフィルタリング ✓アプリケーション識別 ✓IPS ➢400Gbpsのインターフェイスを持つNGFW装置をご提供いただき、広

    帯域化するバックボーンネットワークの上で高速なセキュリティ サービスを実現 14

15. セキュリティサービス提供実績 ➢サービスが有効な出展社ドロップ数：204（全体の80%） 15 Hall2 Hall3 Hall4 Hall5 Hall6 合計 有効

    20 38 39 63 44 204 無効 8 8 11 14 10 51 合計 28 46 50 77 54 255 有効 80% 無効 20%

16. セキュリティ検知数・ブロック数 16 検知数 ブロック数 6/12(水) 17,008,313 27,183 6/13(木) 21,965,872 25,595

    6/14(金) 17,655,823 34,081 合計 56,630,008 86,859 3日間（65時間）で約5660万件のリスクを検知 内、8万件強の悪性通信をブロック ※テスターによる疑似トラフィックや、アドウェア/グレーウェアなどの通信を含む

17. 運用上の苦労・工夫点 ➢チューニング ✓出展社ブースでのデモ通信等がセキュリティサービスによって予期せぬ遮断 がされてしまうことがある ✓まずは遮断している原因を特定 • アラートを集約するSIEMや機器の管理コンソールで遮断した形跡を探す ✓過剰なFWルールによって遮断されていた場合はルールを緩和 • ex)

    新規登録ドメイン(NRD)による過検知 ➢検証 ✓各出展社ブースのネットワークにはセキュリティサービスの有効/無効、通 るべきFW機器等の要件がある ✓すべてのネットワークが要件を満たしているかを確認するためにテストツー ルを開発して都度検証を実施 17

18. 脅威検出とアラート分析対処 18

19. 脅威検出とアラート分析対処 19 複製 • 監視すべき接続ポイントに光TAPを配置 集約 • 複製トラフィックを集約 処理 •

    パケットブローカで重複排除やパケット処理 分配 • 多種多様のアプライアンスに分配 検知 • アプライアンスで脅威を検知 集約 • 膨大な検知アラートを集約 分析 • アラートを分析し、要対処インシデントを検出 ト ラ フ ィ ッ ク 処 理 ア ラ ー ト 処 理

20. トラフィック複製 Passive TAP TX RX TX RX TX TX A

    B A B FlexTap 11箇所のリンクに光TAPを接続

21. トラフィック集約 / 処理 / 分配 21 Vision400 VisionE100 Profitap PA-5450

    FG3201F FortiNDR FortiNDR Cloud ISNG9895 w/ OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis TAP dedup trimming 脅威検出 ネットワークフォレンジック DDoS攻撃検知 可視化 処理済み トラフィック 複製 トラフィック Secure Network Analytics

22. アラート検知 / 集約 / 分析 22 Cortex XDR / XSOAR

    NIRVANA改 Splunk Enterprise Security 脅威アラート 集約 PacketMaster 脅威アラート 分配 脅威検出機器群 SIEM / XDR オペレータ 対処が必要な インシデントを確認

23. 攻撃対象領域管理 23

24. 外部攻撃対象領域管理（EASM） 24 Cortex Xpanse Pentera Surface Tenable ASM ULRTA RED

    ネットde診断 OSINT Exploit PortScan ・・・ EASMサービス 攻撃可能な領域を通知 VulnScan 対処 オペレータ ShowNetに設置したデコイを含めた 攻撃対象領域を様々なEASM製品で管理 攻撃可能な領域を検出 深刻な攻撃対象が検出された 場合は是正対処を実施 様々なアプローチで検出 ShowNetのドメイン / IPアドレスを登録

25. 攻撃の顕在化 25 受けた攻撃をレポート ✓ RedHat ✓ macOS ✓ IoT (ルーター)

    ✓ IoT (スイッチ) ✓ IoT (プリンター) ✓ IoT (IPカメラ) ✓ SAP ✓ VoIP (4G/5G) ✓ Webmin ✓ Citrix ShowNetで稼働するデコイ 攻撃者の行動を監視 攻撃者 攻撃 ShowNetオペレータ ShowNetの潜在的な 攻撃リスクを認識 FortiGate901G FWと連携して攻撃者を隔離 FortiDeceptor

26. リモートアクセスサービス 26

27. リモートアクセスサービス ➢目的 ✓ShowNetオペレータ向けにセキュアなリモートアクセスサービス を提供 ✓展示会期にはShowNet活用デモ向けアクセスサービスにも利用 ➢構成 ✓TTDBを中心としたSSO環境 ✓なりすまし防止のための二要素認証 ✓デバイスポスチャによる健全性担保 ✓多様なアクセス手段

    • SASE、ZTNA、VPNaaS、リモートデスクトップゲートウェイ

28. TTDBとは ➢トラブルチケットデータベースの略 ➢ShowNet内製のチケットシステム ✓実際にはチケットだけではなく、機器情報や配線、出展社の VLANやIPアドレスといったShowNetの構成情報の大部分を管理 ➢TTDBにはShowNetに接続する関係者すべてのアカウントと、 すべての機器の情報が存在する →TTDBの情報を基に、一元的なアクセス制御を実施 28

29. 終端装置 5種のサービスを運用 29 Duo SAML IdP Device Posture TTDB SAML

    IdP SP SP 2FA 管理ネットワーク Prisma Access SMART Gateway Keeper Connection Manager Cisco Secure Access FortiSASE リモートアクセスサービス ✓ SSO ✓ 利用者情報 AnyConnect FortiClient GlobalProtect Agent Free Agent Free SASE SASE ZTNA Remote Desktop Remote Desktop pa3440.sec fg901g.sec c8500.svc smart-gw.sec keeper-cm.sec VPNaaS The Internet

30. SASE ➢セキュリティコンポーネントをクラウドに集約 ➢どこから接続しても統一されたセキュリティチェックを適用 The Internet DNS SWG CDFW CASB DLP

    ZTNA SASE POP etc.. ※ 提供されるコンポーネントは ベンダにより異なる

31. ZTNAとVPNaaS 31 HTTPS HTTPS ポスチャチェック + 認可 ポスチャチェック + 認可

    Device1 Device2 IPsec IPsec TLS ポスチャチェック + 認可 ZTNA：セッションごとにポスチャチェックと認可を実施 VPNaaS：トンネル接続時にポスチャチェックと認可を実施 Device1 Device2

32. Remote Desktop Gateway ➢ブラウザやCLIでリモートデバイスに多種プロトコルで接続 ➢操作内容の録画やコマンドログを記録し、証跡を管理 32 Device2 Device3 RemoteDesktop Gateway

    HTTPS HTTPS SSH RDP/VNC HTTPS SSH/Telnet Device1 ✓ 利用者情報 SAML 操作ログ記録

33. 認証情報管理 33

34. 認証情報管理 ➢Keeper Password ManagerによりShowNetを 構成する全ての機器の認証情報を管理 ➢認証情報の共有 ✓ 個人から個人へ共有 ✓ NOCから全員へ共有

    ✓ NOCからコントリビュータ、NOCからSTMへ共有 ➢権限管理 ✓ チームで権限を管理 ✓ 指定条件によりBotがチームを自動割り当て ➢利便性向上 ✓ ブラウザ拡張機能サポート ✓ フォームへの自動入力 34 NOC Team Contributor Team STM Team **** Write Read Read NOC→全員 共有ボルト User B **** Write Read 個人→個人 共有ボルト User A NOC Team STM Team Contributor Team STM Activate 条件により Botがチームを 自動割り当て User A **** 個人用ボルト

35. リモートアクセス・パスワードマネージャ 利用数 リモートアクセス パスワードマネージャ 6/1 (土) 56 337 6/2 (日)

    289 341 6/3 (月) 293 363 6/4 (火) 267 251 6/5 (水) 275 185 6/6 (木) 213 177 6/7 (金) 170 122 6/8 (土) 51 140 6/9 (日) 67 94 6/10 (月) 181 156 6/11 (火) 199 138 6/12 (水) 164 73 6/13 (木) 147 72 6/14 (金) 96 80 35

36. 管理用ネットワークセキュリティ 36

37. 管理用ネットワークのセキュリティ ➢マネジメントネットワークからのインターネットアクセスを制御 ➢SASEを用いることでセキュアなインターネット接続をクイックに提供 ➢SASEのセキュリティコンポーネントで悪性通信を検出 管理ネットワーク ShowNet構成機器 Umbrella Secure Internet Gateway

    C8500 The Internet CDF/IPS SWG アセット情報ベースで アクセス制御 TTDB asset 参照 Anti-malware TI TTDB/SD-WAN Connector Catalyst SD-WAN API DNS Security Internet OK Internet NG Internet OK - switch X - server Z Internet NG - router Y Internet OK

38. 被疑端末特定支援 38

39. 被疑端末特定支援 39 FortiGate AX-Collector The Internet netflow 被疑端末 NAT ➢NAT機器のログ情報を可視化

    ➢インシデント被疑端末のNAT変換前後のアドレスを紐づけてオペレータによる 端末特定作業を支援 AX-NVで可視化 時刻/IPアドレス/ポートの 組み合わせで被疑端末を特定 グローバルIPアドレス（x.x.x.x）から 不審な通信を受信した マルウェアに感染している可能性あり 外部機関 private global 報告

40. 耐量子計算機暗号VPN 相互接続検証 40

41. 量子計算機時代に備えた相接検証 ➢PQC を実装したIPsec VPN (RFC 8784) によるベンダ間相互接続を検証 ✓PQCとは：量子計算機による暗号解読攻撃に耐える強度をもつ暗号化方式 ✓近い将来に既存の暗号技術が危殆化するおそれがあるため、 先駆けてマルチベンダ間で標準化ドラフト技術の実装状況を検証

    41 SRX2300 PA-5445 IPsec VPN RFC 8784 PQ PPK enabled Synesis Portable TAP 暗号化通信経路上の通信をキャプチャ PQC VPN接続と疎通性を確認

42. おわりに ➢多種多様な視点からのセキュリティ対策を実施 ➢実トラフィックでの実機検証 ➢セキュリティ技術の活用例を提示 ➢最新のネットワークを最新のセキュリティ技術で守る 42

43. セキュリティ分科会 協力企業一覧（50音順） 43