Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

仮想化を使ったWeb閲覧分離の有効性

5,796 views

Published on

標的型攻撃への対策として、アプリケーション仮想化技術を使ったWebブラウザの分離の有効性についてかいせつしています。標的型攻撃では、マルウェアの感染を防止することが極めて難しいため、「出口対策」が必要性が一般にも認識されていますが、一般に知られる出口対策よりも、仮想化によるWeb閲覧分離のどんな点が優れているかを説明します。

Published in: Technology

仮想化を使ったWeb閲覧分離の有効性

  1. 1. © 2016 Citrix 仮想化を使ったWeb閲覧分離の有効性 標的型攻撃対策としてのXenApp シトリックス・システムズ・ジャパン株式会社 山田 晃嗣
  2. 2. © 2016 Citrix Agenda • 標的型攻撃対策の難しさ • 出口対策としての「仮想化によるWeb分離」 • Webブラウザ仮想化 標的型攻撃対策以外の利点 • Citrix XenAppが選ばれる理由 • 実運用における課題と解決 • まとめ 2
  3. 3. © 2015 Citrix | Confidential 標的型攻撃対策の難しさ
  4. 4. © 2016 Citrix 標的型攻撃の仕組み 4 メールでPDF Viewerなどの脆弱性を突く“マルウェア”を 含んだ添付ファイルを送りつける メール添付ファイル として侵入 PDF Viewerの 脆弱性を攻撃 Webアクセスを 装って外部通信
  5. 5. © 2016 Citrix これまでのセキュリティ対策では防御できない 5 • メールの添付ファイルで侵入するので ファイアウォールなどによる ネットワーク的な防御はできない • マルウェアは増殖機能を持たず、 攻撃対象毎に個別で作られるため、 ウィルス対策ソフトでは検知できない 場合もある • 極めて巧妙に業務上のメールを装うため、 利用者の注意だけでは限界がある • 脆弱性を減らすためにアプリを 常に最新の状態にするのは現実的に難しく、 最新の状態でもゼロデイアタックの 可能性も残る 実際の標的型攻撃メールの例
  6. 6. © 2016 Citrix 最後の望みは「出口対策」 6 ここでの対策が必要! ここでの完全な対策は ほぼ不可能
  7. 7. © 2016 Citrix 各種監督機関も出口対策の重要性を強調 いずれもマルウェア感染予防の限界と 出口対策の重要性を強調している
  8. 8. © 2016 Citrix 内閣サイバーセキュリティセンター発行 「サイバーセキュリティ戦略」より http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku.pdf • インシデントの未然防止には限界があること を記している
  9. 9. © 2016 Citrix 既に世の中に多数出回っている「出口対策」 どれも課題があり 決め手に欠けている 9 検索出口対策
  10. 10. © 2016 Citrix 一般的な「出口対策」とその課題 • コンテンツフィルタリング →生産性とのトレードオフが必要で抜け穴の可能性も残るうえ、 ホワイトリスト/ブラックリストの管理負荷が高い • ログ監視・通信監視 →後追い的な対策であることに加え、 実際の運用には極めて高度なスキルが必要で運用負荷も高い • ネットワークの完全分離 →あらゆるITリソースが2重に必要になり費用が膨大 またUSBメモリによるデータコピーなどの対策も必要 10 いずれも運用管理やコストの面で大きな負担となり、 対策としても“穴”が残ってしまう
  11. 11. © 2015 Citrix | Confidential 出口対策としての 「仮想化によるWeb分離」
  12. 12. © 2016 Citrix 【クイズ】このWindows環境は何が特殊でしょう?
  13. 13. © 2016 Citrix 【答え】複数バージョンのIEの共存 13 複数バージョンのIEの同時起動は “本来なら”出来ません IE11IE9
  14. 14. © 2016 Citrix タネあかしは「アプリケーション仮想化」 14 別の場所で動作しているInternet Explorerの 画面を転送&遠隔操作
  15. 15. © 2016 Citrix 出口対策としてのアプリケーション仮想化の活用(1/2) 15 • 端末からのWebアクセス を完全に遮断してしまう • この出口対策によって 端末がマルウェア感染しても 重要情報は流出しない • しかしこれだけでは インターネットサイトが 閲覧できない マルウェアの通信をブロック
  16. 16. © 2016 Citrix 出口対策としてのアプリケーション仮想化の活用(2/2) 16 • インターネットサイトの閲覧は 仮想化されたWebブラウザで行う • ファイアウォールは、 画面転送の通信のみを許可する Internet 画面転送の通信のみを許可 マルウェアの通信をブロック
  17. 17. © 2016 Citrix 出口対策としての「アプリケーション仮想化」の利点 • ユーザー端末がマルウェア感染しても情報は流出しない コンテンツフィルタリングや監視に比べても 極めて強力な出口対策となる • コンテンツフィルタリングのような、 「抜け穴」や「閲覧して良いのに閲覧出来ないサイト」の 心配が無い • ログ監視・通信監視のような運用負荷の増大は無い • ネットワークの完全分離に比べると、導入負荷はずっと少ない USBメモリによるデータコピー対策も不要 17
  18. 18. © 2016 Citrix 既に多数の導入実績 1818
  19. 19. © 2015 Citrix | Confidential Webブラウザ仮想化 標的型攻撃対策以外の利点
  20. 20. © 2016 Citrix 2016年1月12日以降は最新のIEしかサポートされない 2020 古いバージョンのInternet Explorerのセキュリティ脆弱性は修正されない 古いバージョンのIEによるインターネット閲覧は危険を伴う
  21. 21. © 2016 Citrix 最新のIEを使うとイントラWebの対応に大きなコストが発生 21
  22. 22. © 2016 Citrix この課題もアプリ仮想化によるWeb分離で解決 仮想IE11 IE9 Internetイントラ Web IE11 • イントラWebアプリとインターネットサイトで 利用するWebブラウザを分ける • イントラ用Webブラウザからは、 インターネットサイト閲覧を遮断する • 古いバージョンのIEもイントラWeb閲覧用に 限定すれば、セキュリティリスクは極小に 22
  23. 23. © 2016 Citrix 対処療法と丈夫で健康な体 2323 一般的な対策 Webブラウザ 仮想化 • 一般的なセキュリティ対策は 個々の脅威にのみ対応する 「対処療法」的な対策で、 セキュリティ以外の利点は無く、 副作用も多い • Webブラウザの仮想化は、 情報システム本来の堅牢性や 効率性を高めるので、 セキュリティ以外の利点も多い
  24. 24. © 2015 Citrix | Confidential Citrix XenAppが選ばれる理由
  25. 25. © 2016 Citrix 通常アプリと同一の仮想アプリの起動方法 25 ローカルアプリと同様に 仮想アプリケーションも スタートメニューに表示 タスクバーにピン留めすれば ワンクリックだけで起動 • 仮想アプリケーションも、 通常アプリと全く同じく起動アイコンが スタートメニューに表示される • Windows 8/8.1の場合は 左図のようにメニューに表れ、 デスクトップのタスクバーに 起動アイコンの「ピン留め」が可能 • Windows 7の場合は、 スタートメニューへの表示に加え、 デスクトップショートカット作成も可能 • 端末がXenAppと同一ドメインに 所属していればSSOが可能 • 仮想アプリの起動方法は、通常のアプリの 起動の方法と全く同じで、 ユーザー教育に新たな手間を要しない
  26. 26. © 2016 Citrix 仮想アプリの瞬間起動が可能 26 • 本来なら仮想アプリケーションの起動は 別OSへのWindowsログインが必要で 20秒程度が必要 • 管理者が事前バックグラウンド起動を 設定しておけば、Windowsログインが 事前に自動的に行われるため、 ユーザー起動時の仮想アプリ起動が 瞬時に行われる • 仮想アプリの起動が遅いことによる 生産性の低下を抑制できる 瞬間起動
  27. 27. © 2016 Citrix 「仮想⇒ローカル」片方向クリップボード 制御 〜出口対策の徹底と利便性維持の両立〜 • ローカル⇒仮想 の情報の流れを許可すると、 重要情報がインターネット側に流出する 可能性を否定できないため、クリップボード 利用によるコピーは禁止するべき • 仮想⇒ローカル の情報の流れは、出口対策に は直接影響しない上にインターネット上の 情報活用のためにも有用であるため、 クリップボード利用を許可したい • Citrix XenApp なら、ローカル端末環境と 仮想Webブラウザ間のクリップボード (コピペ)のやり取りを「仮想⇒ローカル」 方向のみに制限が可能 仮想ローカル 仮想ローカル 出口対策を徹底させるために 内部から外部へのクリップボードを禁止 インターネットの情報を有効活用するため 外部から内部へのクリップボードは許可
  28. 28. © 2016 Citrix クリップボードの内容形式限定 〜コピー内容の無害化〜 • 仮想⇒ローカル 方向のクリップボードは、 転送されるデータ形式を限定することが可能 • クリップボードを経由してインターネットから ローカル環境に入るデータに関し 「データの無害化」が可能 仮想ローカル 設定例: プレインテキストのみ転送許可 リッチテキスト形式は転送禁止
  29. 29. © 2016 Citrix ローカル側URL情報での仮想側ブラウザによるアクセス 29 • 前頁の様にローカル⇒仮想方向の クリップボードを禁止すると、 セキュリティは向上するものの、 ローカル側のURL情報を使った インターネットアクセスが 極めて不便になってしまう • 富士通製ソフトウェア 「AuthBrowserSwitch」との連携で、 ローカル側のインターネットリンク をクリックするだけで自動的に 仮想ブラウザでリンページにアクセス
  30. 30. © 2016 Citrix リンククリックによるイントラ or インターネット の自動判別 30 • 富士通「AuthBrowserSwitch」は、 ローカル側のリンククリックで 仮想ブラウザで開くだけでなく、 外部Webかイントラ側Webかを 自動判別し、イントラWebの場合は そのままローカルブラウザで開く • これにより現状の使い勝手を維持 したまま、セキュリティを大幅に 向上させることができる
  31. 31. © 2016 Citrix 端末で定義されたプリンタへの仮想アプリからの自動出力 • 仮想アプリケーションから印刷を行うと ローカル端末側で定義されたプリンタに 自動的に出力される • 両面印刷などのプリンタ機能使用可能 • サーバー側でのプリンタドライバの インストールの必要無し • プリンタ⇔仮想サーバー間で 印刷用の通信ポートの開放の必要無し
  32. 32. © 2016 Citrix 匿名ユーザーアカウントでの利用 • 匿名ユーザーでの利用オプション有 • 匿名ユーザーでの利用の場合、 利用者はログオン操作をせずに 仮想Webブラウザを利用可能 • 仮想側XenAppの所属ADドメインを 新規に構築し独立管理する場合にも 個々のユーザー管理は不要 管理の手間を大幅削減 • ブックマークなどのユーザー毎の 設定を保持することはできない ログオン操作不要 ユーザーアカウント管理不要
  33. 33. © 2016 Citrix 高度なサーバー自動複製機能 33 マスタ • 1つのマスタから 複数台のXenAppを自動複製 • 初期展開だけでなく、 日々の更新においてもマスタ1箇所 だけの変更で複数マシンに反映 • リソース不足時も簡単に拡張 • 各マシンに変更を加えても 再起動によって完全に元に戻る • 仮想側のソフトウェア更新に ともなう管理負荷を大幅抑制 XenApp 1 XenApp 2 XenApp n ・・・
  34. 34. © 2016 Citrix 高度な自動再起動スケジュールと自動初期化 34 • XenApp自体の機能で 自動的な定期再起動が可能 • 複数サーバーでの時間差や 再起動前のユーザーへの通知も 設定可能 (運用を止めずに再起動が可能) • 前ページの自動複製と併用すれば 運用の負荷を最小にしながら 万一のマルウェア感染による リスクを抑えることができる
  35. 35. © 2016 Citrix (一旦まとめ)Web閲覧分離におけるCitrix XenAppの強み 35 • ユーザーの生産性 – 通常アプリと同一の仮想アプリの起動方法 →ユーザー教育の手間いらず – 仮想アプリの瞬間起動 →ユーザー生産性の維持 – 高度なクリップボード制御 →セキュリティと生産性の両立 – ローカル側URL情報による仮想ブラウザアクセス →ユーザー教育の手間いらずと生産性の維持 – リンククリックでの イントラ or インターネット自動判別 →ユーザー教育の手間いらずと生産性の維持 • セキュリティと管理性 – 端末で定義されたプリンタへの 仮想ブラウザからの自動出力 →ドライバ導入などの プリンタ管理負荷の抑制 – 高度なクリップボード制御 →仮想から転送されるデータの無害化 – 匿名ユーザーでの利用 →別ドメイン所属の場合に 個々のユーザ管理が不要で管理負荷抑制 – 高度なサーバー自動複製機能 →ソフトウェア更新に伴う管理負荷抑制 – 高度な自動再起動スケジュールと初期化 →万一のマルウェア感染時の被害を最小に
  36. 36. © 2015 Citrix | Confidential 実運用における課題と解決
  37. 37. © 2016 Citrix 実際の運用で寄せられる要望 Webを経由した社外との ファイルやりとりが必要だ 安全にWeb経由の ファイル交換が出来ないか?
  38. 38. © 2016 Citrix クリップボード機能だけでも“概ね”代替可能 • 仮想ブラウザでダウンロードした ファイルを、Adobe ReaderやOfficeなど 「仮想側のアプリ」で開くことは可能 • 仮想側のアプリで開いたのコンテンツは、 クリップボードの機能により、 ローカル側にコピー可能 • したがって、ファイル自体の転送機能が 無くても“概ね”運用はできるはず • さらにクリップボードで転送される データ形式を限定すれば “ダウンロードファイルの無害化”も可能 仮想ローカル
  39. 39. © 2016 Citrix それでもファイル交換が必要な場合の考慮 〜出口対策の効果を維持したWeb経由でのファイル交換〜 • 「ダウンロード(外→内)」に関しては 自由に行っても出口対策効果は損なわれない • 出口対策として重要なことは 「アップロード(内→外)」を制限すること 39 仮想ローカル 仮想ローカル ポイントは片方向のファイルの流れ制御
  40. 40. © 2016 Citrix インターネットへのファイルアップロードを禁止して インターネットからのファイルダウンロードだけを許す方法の例 40 • XenAppと同じセグメントに XenAppからの書き込みだけを 許可した共有のファイルサーバー を配置 • ファイルサーバーに保存された ファイルは、定期的に実行される スクリプトによって、 内部のファイルサーバーにコピー された後に消去される • 内部ファイルサーバーにコピー された後は、利用者はローカル 端末から自由にアクセス可能 XenAppからの ファイル書き込み だけを許可 スクリプトを使って 内部ファイルサーバーに コピーした後消去 XenApp 画面転送 端末から 自由に アクセス 可能
  41. 41. © 2016 Citrix 実際の運用で寄せられる要望 ダウンロードだけでなく アップロードも必要だ! 安全にWeb経由の ファイルアップロードは 出来ないか?
  42. 42. © 2016 Citrix ファイルをアップロードする「先」を限定することで 出口対策の効果を維持する方法の例 42 • コンテンツフィルタリングを併用し ファイル送受信を行う特定のサイト のみ端末からのWebアクセスを 許可する Internet コンテンツ フィルタ
  43. 43. © 2015 Citrix | Confidential まとめ
  44. 44. © 2016 Citrix まとめ • 標的型攻撃には「出口対策」の必要あり • 出口対策の中でもアプリ仮想化を使った対策は、 他の方法に比べ効果が高い上にお客様の運用負荷が少ない • アプリケーション仮想化の中でも Citrix XenAppなら、さらに運用に伴う負荷が少ない 44
  45. 45. © 2016 Citrix Work better. Live better.Work better. Live better.

×