Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[Japan Tech summit 2017] SEC 011

1,250 views

Published on

[Japan Tech summit 2017] SEC 011 セッション資料

Published in: Technology
  • Be the first to comment

[Japan Tech summit 2017] SEC 011

  1. 1. Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
  2. 2. Microsoft が提供する多層検知ソリューション Softbank様によるネットワークセキュリティの紹介
  3. 3. Perimeter (ペリメーター) 境界線
  4. 4. Network Perimeter Office 365 Approved Cloud Services Unmanaged Devices Shadow IT サイバー攻撃 Resources Identity Perimeter
  5. 5. 攻撃者の一連の流れ メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入
  6. 6. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ 出典:http://www.verizon.com/about/news/2015-data-breach-report-info/ 230 通 開封 URL/メール フィルター アンチウイルス ソフト エンド ポイント振る舞い検知 ID の振る舞い検知
  7. 7. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ 出典:http://www.verizon.com/about/news/2015-data-breach-report-info/ 230 通 開封 URL/メール フィルター アンチウイルス ソフト エンド ポイント振る舞い検知 ID の振る舞い検知 242日 感染に気がつかない
  8. 8. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ Azure ATP EMS E5 Windows Defender ATP Windows E5 Office 365 ATP Office E5 Windows Defender 無償 URL/メール フィルター アンチウイルス ソフト エンド ポイント振る舞い検知 ID の振る舞い検知
  9. 9. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ Office 365 ATP Office E5 URL/メール フィルター
  10. 10. Exchange Online Protection (EOP) 既知の攻撃を ブロック Office 365 Advanced Threat Protection (ATP) サンドボックスで 未知の攻撃を ブロック
  11. 11. 危険なサイト https://www.contoso.com 不正なマルウェア 安全 危険 サンド ボックス
  12. 12. Office 365 環境を守る セキュリティ Microsoft Teams
  13. 13. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ Windows Defender 無償 アンチウイルス ソフト
  14. 14. 4時間
  15. 15. 0.01%頻度 種類
  16. 16. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ Windows Defender ATP Windows E5 エンド ポイント振る舞い検知
  17. 17. Windows Defender ATP 膨大なナレッジ情報 データをテナントに送信 管理者 クライアント ダッシュボード閲覧 エージェントへの命令 ネットワーク分離 プロセス停止 etc
  18. 18. Windows Defender ATP とは? ✓ MicrosoftのOS攻撃ナレッジを反映 ※ EDR(Endpoint Detection and Response)
  19. 19. Windows Defender ATP 3つのメリット エージェント 展開不要 オンプレを 必要としない クラウドサービス インターネット 経由で ネットワーク 分離可能
  20. 20. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ Azure ATP EMS E5 ID の振る舞い検知
  21. 21. APPSAD ADFS SIEM HR Azure ATPSENSOR !
  22. 22. 3434
  23. 23. メール 受信 添付ファイル 開封 URL クリック 攻略行為 マルウェア インストール 攻撃者の サーバーへ 接続 持続性 権限昇格 偵察 横方向の移動 ADへ侵入 攻撃者の一連の流れ Azure ATP EMS E5 Windows Defender ATP Windows E5 Office 365 ATP Office E5 Windows Defender 無償 URL/メール フィルター アンチウイルス ソフト エンド ポイント振る舞い検知 ID の振る舞い検知
  24. 24. ✓ ベンダー数を抑え運用負荷軽減
  25. 25. クライアント Windows Defender ATP Office 365 ATP Azure ATP
  26. 26. 4242 自己紹介資料 中野 博徳 ソフトバンク株式会社 法人事業統括ICTイノベーション本部 ネットワークサービス第1統括部 ソリューションサービス第1部 【担当業務】付帯系サービス企画・開発 ・インターネットゲートウェイサービス (NGFW, SSLVPN, プロキシ・・・) ・セキュリティ (MSS, PKI, CASB, EPセキュリティ・・・) ・モバイル (AirWatch, モバイルゲートウェイ・・・)
  27. 27. 4343 進化する脅威への対応 ~多層防御~ App/Server NW/GW 企業ICTインフラ 脅威対象カテゴリ App/Client サーバ セキュリティ クライアント セキュリティ ネットワーク セキュリティ 1-2Vender 今後の見極め要 今後の見極め要 アプリ コンテンツ ネットワーク ネットワーク・アプリ コンテンツ デバイス Closed NW Internet CASB WAF マイクロセグメ ンテーション MCM・MTP MAM・VPN MDM・EDR On-premise Cloud G W
  28. 28. 4444 3G/4G ソフトバンクのセキュリテイソリューション(抜粋) ソリューション ネットワーク/ ゲートウェイ デバイス マルウェア対策 リモートアクセス セキュアリモート アクセス2 端末セキュリティ ファイアウォール ゲートウェイ ビジネスコンシェル Airwatch 認証セキュリティ PKIプラットフォーム ワンタイムパスワード クラウドサービス
  29. 29. 4545 社内ネットワークにおけるセキュリティリスクの把握 自社ICT環境とリスクを精査し、それぞれ必要なソリューション検討が必要 NW 構成 ①インターネットGW ②モバイル/SaaS環境 ③基幹系NW (工場、IoT) ④公開システム インターネット インターネット インターネット 社員PC 社員モバイル/BYOD 工場共有PC コンシューマー/取引先端末等 インターネット /モバイル網 公開システム (Web等) インターネット
  30. 30. 4646 社内ネットワークにおけるセキュリティリスクの把握 自社ICT環境とリスクを精査し、それぞれ必要なソリューション検討が必要 NW 構成 ①インターネットGW ②モバイルワーク環境 ③基幹系NW (工場、IoT) ④公開システム インターネット インターネット インターネット 社員PC 社員モバイル/BYOD 工場共有PC コンシューマー/取引先端末等 インターネット /モバイル網 公開システム (Web等) インターネット 本日はここ
  31. 31. 4747 インターネットゲートウェイにおけるセキュリティリスク 水飲み場型攻 撃 UTM ・Anti-Virus ・Anti-Spam ・Web-filtering 高度な標的型攻撃・SSL通信を介して既存UTMを透過した攻撃が発生 Internet 標的型メール ゼロデイ (WannaCry Petya・・・) 感染& 権限奪取 社内サーバ (重要情報等含む) 感染& 権限奪取 情報漏えい SSL通信 →UTM機能享受不可 C&Cサーバ
  32. 32. 4848 標的型攻撃対策セキュリティソリューション ゲートウェイ+エンドポイントによる多層防御と復号済通信ログのSOC監視によりリスク最小化 水飲み場型攻撃 Internet 標的型メールゼロデイ (WannaCry Petya・・・) ②MSS ①NGFW ③プロキシ 復号化 EndPoint 全ログ 相関分析
  33. 33. 4949 ファイアウォールゲートウェイ TypeP Paloalto社PAシリーズを当社データセンターでマネージド提供 インターネット 閉域網接続インターネット接続 インターネット接続 ファイアウォール 閉域網接続 帯域確保 (10M~300Mbps) モデル(機器)選択 帯域確保 (10M~300Mbps) IPアドレス追加 UTM系オプション (TP、Web-F、Sandbox) 基本サービス セキュリティオプション 復号化 対応
  34. 34. 5050 マネージドセキュリティオプション セキュリティ監視、対処をMSSベンダと弊社セキュリティ運用部隊がお客様に代わり連携し提供 Internet ☑セキュリティインシデント の分析/影響判断 ☑セキュリティインシデント の運用管理/拡大防止対応 C&Cサーバ 攻撃者/不正サイト 攻撃痕跡の調査 緊急遮断設定 お客様環境 対応連携 監視・分析 対処 MSSベンダ
  35. 35. 5151 インシデント発生から対処までのフロー インシデントの発生検知、分析、対処の一連のサービスを提供 対処通知重要度判定 インシデント 検知 インシデント 発生 検知 対応 検出センサー インシデント 分析 調査 通知(電話/メール) 緊急遮断設定 MSSベンダ
  36. 36. 5252 URLフィルタリング for Enterprise お客様専用(物理 or 仮想)のURLフィルタリングサーバ(プロキシ)をマネージド提供 一般サイト 不適切サイト ブロック/書込規制 警告画面表示 サービスの特徴  SNS書き込みによる情報漏えいを防ぐことによるセキュリティ向上  業務上不要サイトへのアクセス禁止による業務効率の向上  フィルタリング設定による利用者のモラル向上  ワンクリック詐欺、フィッシング等の被害防止 MSS連携全ログ 相関分析
  37. 37. 5353 モバイルワーク環境におけるセキュリティリスク 高度な標的型攻撃や従業員によるデータ持ち出し等により情報漏えいリスク有 Internet 標的型メール/SMS ゼロデイ (Pegasus Quadrooter・・・) Root権限奪取 遠隔制御 情報漏えい C&Cサーバ 業務サーバ 重要情報を クラウドへ保存 盗難・紛失 データ持ち出し SSLVPN
  38. 38. 5454 モバイルワーク環境向けセキュリティソリューション Internet 業務サーバ 盗難・紛失 SSLVPN “SaaSや業務サーバへのアクセス制御”と、”SaaS・エンドポイントでの安全なデータ保存”を実現 ③SaaSセキュリティ ②Airwatch ①セキュア リモートアクセス +認証 DLP アクセス 制御 コンテンツ監査
  39. 39. 5555 セキュアリモートアクセス2(+PKIプラットフォーム) SDN基盤 ・接続ユーザ設定(利用者アカウント) ・接続設定(同時接続数、接続時間など) ・プールアドレス設定(IPアドレスの配布) ・アクセスリスト(接続先の制御) 設定変更可能項目 Internet モバイル 外出先 スマートデバイス 業務サーバ お客様専用(物理 or 仮想)のSSLVPN機器をマネージド提供 サービスの特徴  PCやスマートデバイスからのリモートアクセスを実現  RADIUS、PKI、ワンタイムPWなど様々な認証に対応  当社データセンターでマネージド提供  SmartVPNWebポータルから様々な設定項目を変更可能 ・業務サーバへの安全なアクセス ・証明書ベースでの端末認証 クライアント 証明書 クライアント 証明書 PKIプラットフォーム サービス アクセス 制御
  40. 40. 5656 Airwatch モバイルデバイスの統合管理とモバイルアプリにおけDLP機能を提供 システム連携 お客様のオンプレ設備と連携 Mail Server File ServerActive Directory SBのサービスと連携 VPN設定 インターネットVPNアクセス セキュアリモートアクセス グローバル対応マルチデバイス マルチOS対応 メール設定 MAM MCMMDM 証明書配布 PKIプラットフォーム Office365 G Suite 紛失時 リモートワイプ VPN設定や 証明書配布
  41. 41. 5757 AirWatch DLP機能 セキュアアプリでモバイルデバイスからの情報漏えいリスクを極小化 VMware Boxer データ連携 VMware Browser VMware Content Locker 漏えい防止 ・セキュアなウェブ閲覧を提供 ・ウェブ閲覧ポリシーを設定可能 ・セキュアなメール閲覧を可能 ・Email / 連絡先 / Calendarの機能 ・セキュアなコンテンツ閲覧が可能 ・社内のファイルサーバと連携が可能 ※iOS版のイメージとなります。
  42. 42. 5858 CASBサービス(開発中) クラウドストレージ内ファイルのセキュリティ状況確認・制御により情報漏えいリスク極小化 CASB 機能 利用状況の 可視化 コンプライアンス ルール適用 データ セキュリティ 脅威防御 (Sandbox連携) API連携 会社PC 会社モバイル BYOD 取引先 デバイス ・ファイル閲覧 ・ダウンロード(リンク付与) ・アップロード
  43. 43. 5959 機器運用&セキュリティ運用を自社対応するか外部サービスを利用するか? アウトソース(例) インハウス(例) セキュリティデバイス (FW、プロキシ等) 資産名義 通信事業者 お客様 設置場所 通信事業者センター お客様DC 運用主体 通信事業者運用者 お客様IT担当 セキュリティ分析監視基盤 (SIEM) 資産名義 通信事業者 お客様 設置場所 SOC お客様DC セキュリティ インテリジェンス SOC SOC 運用・分析主体 MSSアナリスト お客様セキュリティ担当 人的リソース不足・技術の高度化・インシデント数増大等によりアウトソース傾向
  44. 44. 6060 機器運用に関する課題 障害復旧 対応 技術 サポート 脆弱性 対応 ソフトウェア バージョンUP ハードウェア 老朽化対応 運用に関する諸課題 当社サービス利用ならすべてソフトバンクが対応
  45. 45. 6161 セキュリティ運用に関する課題(自社SIEM運用時) 61 様々な機器の膨大なログを毎日分析、インシデント時は機器への緊急設定など必要 IDS/IPS FW/UTM Sandbox Proxy お客様サイト (DC/拠点) EP Security AntiVirus お客様ご利用 クラウドサービス CASB お客様サービス環境 ログ取得Log Collector Log Log Log SIEM 自社 SOC お客様IT部門 リソース ノウハウ不足 お客様IT担当 NW運用 セキュリティ運用 分析 セキュリティ機器へ 緊急設定
  46. 46. 6262 セキュリティ運用に関する課題(MSSサービス利用時) 62 インシデント時は機器への緊急設定など必要(サービス環境への橋渡しは残存) IDS/IPS FW/UTM Sandbox Proxy お客様サイト (DC/拠点) EP Security AntiVirus お客様ご利用 クラウドサービス CASB お客様サービス環境 ログ取得Log Collector Log Log Log SIEM 自社 SOC お客様運用環境 リソース ノウハウ不足 お客様IT部門 NW運用 セキュリティ運用 分析結果通知 セキュリティ機器へ 緊急設定
  47. 47. 6363 SoftBank MSS概要 緊急通知/対応 (通信遮断/ブラックリスト登録等) 分析 統合窓口 セキュリティ サービス運用 (SNOC) Security Network Operation Center ネットワーク サービス運用 問合せ対応 (メール/電話) Log Collector IDS/IPS FW/UTM Sandbox Log Proxy お客様サイト (DC/拠点) EP Security AntiVirus お客様ご利用 クラウドサービス CASB Log Log SIEM お客様 SOC ※ ※ 63 MSS (MSS) (サービス特化型) ネットワークとセキュリティを一元的な窓口で24-365オペレーション
  48. 48. https://aka.ms/SEC011
  49. 49. Session ID Title DEP002 新登場! Windows Defender Application Guard 解説 ~ Microsoft Edge がセキュア ブラウザ に!? ~ DEP003 次世代セキュリティ! Windows Defender Exploit Guard 解説 SEC003 ランサムウェア にも効く。Security Baseline Windows 10 Fall Creators Update

×