【ShowNet 展示会場内セミナー 2025】ShowNetを守るセキュリティ 〜ゼロトラストで支える広帯域セキュリティサービスと脅威監視基盤〜

Transcript

1. ShowNetを守るセキュリティ ゼロトラストで支える広帯域 セキュリティサービスと脅威監視基盤 Interop展示会場内セミナー Interop Tokyo 2025 ShowNet NOCチームメンバー 清水一貴

   1

2. 目的 最新のセキュリティ機器、技術を使ってShowNetの安全を担保する 実データを使った分析結果や製品/技術のユースケースを来場者に提示する 守るべき対象 ShowNet利用者（出展社） ShowNet管理者（NOC、STM、コントリビュータ、事務局） ShowNet構成する機器、コンピューティングリソース、データ 2 ShowNetにおけるセキュリティとは

3. コンセプト 3

4. テーマ ゼロトラスト思想のオペレーション基盤 400G広帯域のセキュリティサービス XDRによる脅威監視対応 4 ゼロトラストで支える 広帯域セキュリティサービスと脅威監視基盤

5. ShowNetセキュリティ全体像 5  NGFW  NDR  Sandbox  Forensics

    TAP  NPB  SIEM  XDR  SOAR  TIM Al e r t 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  SSO  MFA  DP  ITDR  NGFW  Sandbox  VXLAN Inspection 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP s ync 統合アクセス管理

6. オペレーション基盤のサイバー脅威  セキュリティリスク  マルウェア感染端末の接続による感染の伝播  脆弱な委託先や導入製品を起点としたサプライチェーン攻撃  事例 

   ネットワークインフラを標的としたサイバー攻撃 • 機器の脆弱性を悪用し管理ネットワーク経由でマルウェアを展開したことでネットワークインフラ全体へ感染拡大（2023年） ⁃ “State-sponsored campaigns target global network infrastructure”, https://blog.talosintelligence.com/state-sponsored-campaigns-target-global-network-infrastructure/  VPN機器を介した不正アクセス • 国内インフラ企業においてファイルサーバの認証情報窃取の被害（2024年） ⁃ “東京ガス子会社への不正アクセスは「VPN装置経由」、個人情報約416万人分漏洩か”, https://xtech.nikkei.com/atcl/nxt/news/24/01202/  導入製品を起点としたサプライチェーン攻撃 • 正規アップデートを通じてバックドアが仕込まれ、導入していた政府機関を含む多数の組織で認証情報窃取の被害（2020年） ⁃ “SolarWinds Security Advisory”, https://www.solarwinds.com/ja/sa-overview/securityadvisory  参考情報  2024年に悪用された（VPN含むエンタープライズ向け）ゼロデイ脆弱性が過去最高の33件 • “Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis”, https://cloud.google.com/blog/topics/threat-intelligence/2024-zero-day-trends 6

7. ゼロトラスト思想のオペレーション基盤 統合アクセス管理 アクセス制御ポリシを統合管理 機器とオペレータをグループ管理 最小権限で運用 セキュアリモートアクセス SASEによる悪性通信検出 PAMによる内部脅威対策とシステム保護 マイクロセグメンテーション 管理用ネットワークをVXLAN-GBPにより細かくアクセス制御

   機器間の通信を厳密に制御 不正アクセスのラテラルムーブメントを防止 7

8. ゼロトラスト思想のオペレーション基盤 認証情報管理 パスワードマネージャによる認証情報管理と共有 認証情報漏洩リスクの低減 統合認証管理（SSO） リモートアクセス、パスワードマネージャ等のアカウント一元化 アカウント管理の負荷軽減 セキュア運用支援 構築運用で使う可搬型記憶媒体のマルウェア検査 マルウェア感染被疑端末のエージェントレスな検査

   可搬型パケットキャプチャ 8

9. 広帯域セキュリティサービス サービス内容 出展社向けのShowNet接続オプションとしてセキュリティサービスを提供 クラウドサンドボックスと連携したL4-L7/NGFWで悪性通信を検知&自動遮断 ポイント EVPN-VXLAN L3VPNで構築された出展社収容ネットワークに親和 • アンダーレイのL3機器としてインライン接続 •

   VXLANでカプセル化されたInnerパケットをinspection 400GbEの広帯域で接続 9

10. 脅威監視基盤 トラフィック複製・集約 光TAP / TAPアグリゲータ / パケットブローカにより監視対象トラ フィックを複製・集約・分配 脅威検出 多種多様のセキュリティアプライアンスによる脅威検出

    アラート分析・自動化 SIEM / XDR によるアラート分析と対処の自動化 外部攻撃対象領域管理 様々なEASMによるShowNetの攻撃対象領域の管理 10

11. 11

12. ゼロトラスト思想の オペレーション基盤 12

13. ゼロトラスト思想のオペレーション基盤 13  NGFW  NDR  Sandbox  Forensics

     TAP  NPB  SIEM  XDR  SOAR  TIM Al e r t 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  NGFW  Sandbox  VXLAN Inspection 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP s ync 統合アクセス管理  SSO  MFA  DP  ITDR

14. セキュアリモートアクセス ShowNetオペレータ、コントリビュータ様のブースデモ向けに リモートアクセスサービスを提供 利用者は自宅や出展社ブースからShowNet管理NWに接続可能 今年は4つのサービスを運用 利用者の用途や環境により、いずれかを選択して利用可能 14 サービス名 カテゴリ プロトコル

    エージェント Prisma Access SASE IPsec/SSL VPN Global Protect FortiSASE SASE IPsec/SSL VPN FortiClient SMART Gateway PAM HTTPS / SSH 不要 Keeper PAM PAM HTTPS 不要

15. 終端装置 リモートアクセス概要図 15 For t i Cl i ent Gl

    obal Pr ot ect Agent Fr ee Agent Fr ee Prisma Access SMART Gateway Keeper PAM FortiSASE リモートアクセスサービス SASE SASE PAM PAM The Internet pa1440. s ec f gt 201g. s ec s mar t - gw. s ec keeper . s ec

16. SASE セキュリティコンポーネントをクラウドに集約 どこから接続しても統一されたセキュリティチェックを適用 16 The Internet DNS SWG CDFW CASB

    DLP ZTNA SASE POP etc.. ※ 提供されるコンポーネントは ベンダにより異なる

17. PAM ブラウザやCLIでリモートデバイスに多種プロトコルで接続 操作内容の録画やコマンドログを記録し、証跡を管理 17 De vi c e 2 De

    vi c e 3 PAM Ga t e wa y HTTPS HTTPS SSH RDP/ VNC HTTPS SSH/ Te l ne t De vi c e 1  利用者情報 SAM L 操作ログ記録

18. 統合認証管理 SSO  SAML連携によりリモートアクセスや パスワードマネージャ等の認証を一元化 MFA  二要素認証によりなりすましを防止 Device Posture

     サポート切れOSやブラウザを利用している 端末からのアクセスをブロック ITDR  利用状況のモニタリング  不審なアクティビティを検出 18 TTDB  オペレータアカウント Prisma Access SMART Gateway Keeper PAM FortiSASE SAML IdP SP Datadog Cisco Identity Intelligence SAML IdP SP  SSO  MFA  Device Posture  ITDR

19. 管理ネットワークのアクセス制御 マイクロセグメンテーション ネットワークを細分化しアクセス制御を細かく行う技術 ネットワーク/ホスト側で様々な方式が存在 ShowNet管理ネットワークでの活用 分科会・組織単位で、それぞれが設定・利用する機器に限定した アクセス制御を実現 • 従来の管理ネットワークは自由に通信可能だった 19

20. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 VXLANヘッダに付与した タグによりアクセス制御

    20 aa:aa:aa:aa:aa:aa グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB アクセスポリシ テスター機器 L2L3機器

21. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 21 aa:aa:aa:aa:aa:aa

    グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB GBPタグ 100 アクセスポリシ テスター機器 L2L3機器 GBPタグ 300 GBPタグ 400

22. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 22 aa:aa:aa:aa:aa:aa

    グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB GBPタグ 200 アクセスポリシ テスター機器 L2L3機器 GBPタグ 300 GBPタグ 400

23. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 実績（6/11 13:00時点）

    GBPタグ：97個 登録MACアドレス：775個 ポリシ：89個 23 aa:aa:aa:aa:aa:aa グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB GBPタグ 200 アクセスポリシ テスター機器 L2L3機器 GBPタグ 300 GBPタグ 400

24. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 端末からだけでなく、機器 からのアクセスも制御

    24 aa:aa:aa:aa:aa:aa グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB アクセスポリシ テスター機器 L2L3機器

25. 統合アクセス管理 TTDBにアクセス制御ポリシ管理機能を実装 TTDBとは トラブルチケットデータベースの略 ShowNet内製のチケットシステム • 実際にはチケットだけではなく、機器情報や配線、出展社のVLANやIPアドレスといったShowNetの 構成情報の大部分を管理 ShowNetに接続する関係者全てのアカウントと機器の情報を管理 25

    L2L3機器 テスター機器 グループA グループB アクセスポリシ TTDB WebAPI or SAML Attribution input Prisma Access SMART Gateway Keeper PAM FortiSASE

26. 認証情報管理 Keeper Password ManagerによりShowNetを 構成する全ての機器の認証情報を管理 認証情報の共有  個人から個人へ共有  NOCから全員へ共有

     NOCからコントリビュータ、NOCからSTMへ共有 権限管理  チームで権限を管理  指定条件によりBotがチームを自動割り当て 利便性向上  ブラウザ拡張機能サポート  フォームへの自動入力 26 NOC Team Contributor Team STM Team **** Write Read Read NOC→全員 共有ボルト User B **** Write Read 個人→個人 共有ボルト User A NOC Team STM Team Contributor Team STM Activate 条件により Botがチームを 自動割り当て User A **** 個人用ボルト

27. セキュア運用支援 簡易セキュリティ検査 リムーバブルメディアやユーザ端末のセキュリティチェック環境をShowNetオペレータに提供 可搬型パケットキャプチャ装置 パケットレベルのデバッグに活用 PQ VPN相互接続検証データ保全に活用 27

28. 広帯域セキュリティサービス 28  NGFW  NDR  Sandbox  Forensics

     TAP  NPB  SIEM  XDR  SOAR  TIM Al e r t 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  NGFW  Sandbox  VXLAN Inspection 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP s ync 統合アクセス管理  SSO  MFA  DP  ITDR

29. 出展社向けセキュリティサービス 出展社ブース向けに提供しているインターネット接続サービスに セキュリティサービスを併せて提供 29

30. 出展社収容ネットワーク 30 出展社ブース ShowNet Backbone EVPN-VXLAN Type-5 L3VPN

31. インラインファイアウォール構成 31 Palo Alto Networks PA-7500 Juniper Networks SRX4700 サンドボックスと連携

    サンドボックスと連携 WildFire ATP Cloud 出展社ブース インターネット NGFW Sandbox VXLAN inspection

32. セキュリティサービス実施内容 VXLANインスペクション機能を使用し、バックボーンネットワー クで使用しているEVPN-VXLAN Type 5ベースのL3VPNネットワーク にNGFWをインラインで配置 NGFWで様々なセキュリティ機能を有効化し、出展社ブースから の悪性通信を直接ブロック  UTM

     IDP  クラウドサンドボックス  Webフィルタリング  etc… 400Gbpsインターフェイスを搭載したNGFW製品をご提供いただき、 広帯域化するバックボーンネットワーク上で高速なセキュリティ サービスを実現  Palo Alto Networks PA-7500  Juniper Networks SRX4700 32

33. 脅威監視基盤 33  NGFW  NDR  Sandbox  Forensics

     TAP  NPB  SIEM  XDR  SOAR  TIM Al e r t 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  NGFW  Sandbox  VXLAN Inspection 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP s ync 統合アクセス管理  SSO  MFA  DP  ITDR

34. トラフィック複製・集約 34 複製 • 監視すべき接続ポイントに光TAPを配置 集約 • 複製トラフィックを集約 処理 •

    パケットブローカで重複排除やパケット処理 分配 • 多種多様のアプライアンスに分配 検知 • アプライアンスで脅威を検知 集約 • 膨大な検知アラートを集約 分析 • アラートを分析し、要対処インシデントを検出 ト ラ フ ィ ッ ク 処 理 ア ラ ー ト 処 理

35. トラフィック複製 35 10箇所のリンクに光TAPを接続 Passive TAP RX TX RX TX A

    TX A B B TX

36. 脅威検出 36 QFX5220 - 32CD For t i Ga t

    e 3700F PA- 5430 SRX2300 Phot on400 Chec kPoi nt NI RVANA改 Syne s i s 脅威検出 ネットワークフォレンジック 可視化 処理済み トラフィック 複製 トラフィック Pr of i t a p X2- 2000G TAP Aggregation Dedup L3 Filter Pr of i t a p Fl exTAP

37. アラート分析・可視化 マルチベンダのセキュリティアラートをSIEM / XDRで分析 ITDRやXDR同士のAPI連携でより包括的な分析結果をレポート 37 脅威検出機器群 SIEM / XDR

    検出アラート ITDR API連携 API連携 トラフィック フロー情報

38. 外部攻撃対象領域管理 38 Cor t ex XSI AM Tenabl e ASM

    Br eachRi s k OSI NT Expl oi t Por t Sc an ・・・ EASMサービス 攻撃可能な領域を通知 Vul nSc an 対処 オペレータ 攻撃可能な領域を検出 深刻な攻撃対象が検出された 場合は是正対処を実施 様々なアプローチで検出 ShowNetのドメイン / IPアドレスを登録 ShowNetに存在する攻撃対象領域を 様々なEASM製品で管理

39. 検証 39

40. PQ VPN相互接続検証 量子計算機の実用化による既存暗号アルゴリズムの危殆化に備え PQC（耐量子計算機暗号）を用いたVPNの相互接続を検証 40 192.168.1.0/24 192.168.2.0/24 .1 .10 .1

    .10 Sever Client Syne s i s Por t a bl e Ka mue e PA- 5430 t a p Cybe r Fl ood 暗号化通信経路上の通信をキャプチャ PQ VPNのトンネル内通信を パターンテスト I Ps e c VPN RFC8784( PPK) , RFC9242/ 9370 PQ VPN ena bl e d

41. セキュリティ分科会 協力企業一覧 41

42. 42 shownet.conf_ 今年も開催決定！ https://f2ff.jp/event/shownetconf/2025