(外部流入ファイルに対する) フォルダ監視型ファイル送信無害化システム

1. SHIELDEX AD
( 外部流入ファイルに対する )
フォルダ監視型ファイル送信無害化システム

2. Contents
セキュリティ動向
ソリューション
差別化
機能
期待効果
システム構成図
無害化サポート拡張子

3. - 3 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 3 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l セキュリティ動向-文書形態の悪性コード増加
最近では、表面上はただイシューを入れた文書ファイルであるが、その中には悪意ある攻撃コードが埋め込まれている文書形態の悪性コードが徐々に
増加しており、既存のワクチンだけではこれに対する対応が不可能です。
[動作構造]
•文書を閲覧するアプリの弱点を利用
•Shellcodeを利用して文書閲覧すると、エンコードされた悪性コードを実行
ExploitDocument
アプリの
弱点
Shellcode
Shellcode
Embedded binary code
(executable malware)
業務ファイルに偽装された文書
(Decoy)

4. - 4 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 4 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l 既存ソリューションと違う点
SHIELDEXは新たに変化し様々な攻撃形態を見せる知られていないタイプの悪性コードに対処するために、外部から流入されるファイルを決裁し安
全なプロトコルを通して搬入し、ファイルに対する履歴を管理することができる機能を提供します。
CDR Technology
AD & Cleansing Secure protocol Log Server
Work
•ネットワーク共有フォルダ監視
•安全なファイルに文書を再構成
•IEEE1394Protocolを通したファイル送信
•HTTP通信ブロックを通した外部脅威防止
Reporting & Logging
System Setting
•搬入ファイル決裁情報及び無害化後、ロギング
•特定ファイルの流入遮断
Network Shared Folder
Auto Detection & Data Cleansing
Work
IEEE 1394

5. - 5 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 5 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l ソリューション-外部流入ファイル管理
既存のアンチウィルスやAPT攻撃対策ソフトは静的解析(Static Analysis)と動的解析(Dynamic Analysis)の方式を利用して悪性コードを
検 知 しますが 、 SHIELDEXは 文 書 内 のVisible Contents のみ抽 出し て文 書 を再 構成 する 「 コンテンツ構 造分 釈放 式 」を 使 用し ます。
コンテンツの構造を分析して安全なコンテンツで再構成するため、従来のAPT対策ソフトが探知できないファイルに対する対策が可能です。
静的解析 (Static Analysis)
比較/探知 • 悪性コードのパターン及びファイル情
報をDBに保存して、ファイルを比較し
て検査する方式
• DBに保存されてない悪性コードが流
入される場合、検知に失敗します。
新規悪性コードの情報がDBに更新さ
れるまで攻撃に無防備
Signature
/Pattern
Database
動的解析 (Dynamic Analysis)
仮想環境で実行 VM1 VM2 VM3
VM4 VM5 VM6
VM7 VM8 VM9
• Client環境と同様な仮想環境を複数
生成して、ファイルを直接実行しなが
ら悪性可否を検査する方式
• Clientと完全に同じ環境は構成でき
ないし、実行時間設定(ゼロデイ攻
撃)や仮想環境上の実行を回避する
悪性コードは検知不可
<pptxファイルの構造>
• 文書ファイルの構造を確認して、文書ファイル内の
コンテンツを検査
• 文書ファイル内のチャート、スライドレイアウト、スライ
ドマスター、ボディテキストなど必要な情報で安全な
コンテンツだけ抽出して文書を再構成(無害化)
• 最近、増加する文書ファイルの形の悪性コード対
策に最適化

6. - 6 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 6 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l 文書無害化-疑いのあるコンテンツ除去
文書無害化エンジンは、Macro、Scripts、Embedded Objects…などの疑いのあるコンテンツをチェックして除去します。マクロの場合
マクロ構文解析機能を通じて正常/悪性マクロをチェックして悪性マクロを除去します。
疑わしいコンテンツ除去機能
Malicious macro 除去機能 ActiveX Scripts 除去機能 Embedded Objects 除去機能
1. BackdoorドロップMacro挿入
2. 正常/悪性マクロチェック
3. 悪性マクロ除去
1. BackdoorドロップActiveX挿入
2. 疑いのあるActiveX Scriptsチェック
3. ActiveX Scripts除去
1. バッファオーバーフロー実行Objects挿入
2. 疑いのあるObjectsチェック
3. Objects除去

7. - 7 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 7 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l Sanitization (無害化)
文書無害化処理エンジンは ① 文書ファイルが一般的な文書ファイルの形であることを確認、② 文書のコンテンツ(文字、イメージなど)構造を検査、
③ 安全なコンテンツのみ残して文書を再構成します。
Sanitization方式を利用した無害化製品は日本で２社が販売しています。そのひとつがSHIELDEXです。
 対象文書のフォーマット確認
 拡張子及びヘッダ構造の検査
1. Format Verification
 文字、図、表など文書内の
全ての構成要素の構造を
検証
2. Structure analysis
 文書内の構成要素を抽出
 正しい構成要素かチェック
3. Component Extraction
 疑われるコンテンツをチェック及び消去
(マクロ、スクリプト、オブジェクト…)
 抽出された構成要素で文書再構成
4. Re-Construction Verification
Contents Structure
一般的な文書 – 構造とコンテンツがマッチングする
Contents Structure
悪性文書 – 構造とコンテンツがマッチングしない
VS
悪性コードやデータ
一般的なコンテンツ
Binary data
Binary data 一般的なコンテンツ
一般的な文書と悪性文書との比較
文書の分析 / 再構成の基板説明

8. - 8 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 8 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l Management Server – 外部流入ファイル履歴管理
管理者コンソールでは、外部流入ファイル搬入状況、ファイル累積件数などの統計を提供し、SHIELDEX AD
使用ポリシーを設定することができます。
セキュリティ
管理者
SHIELDEX™ Console
Reporting & Logging
•期間別外部流入ファイル搬入現況
•無害化管理機能提供
外部流入ファイ
ル無害化現況
期間別
無害化申請フ
ァイル管理
期間別 Top 5
統計リポーティング－ダッシュボード
搬入申請に対する現況把握及びポリシー登録

9. - 9 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 9 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
l 期待効果
SHIELDEXAD-FTMSは外部流入経路から流入されるファイルについて、システムの重要領域をアクセスブロックしてシステム資源を
保護し、知られていない脅威が発生し得る可能性を最小限に抑え、安全な内部環境構築と業務継続性を保証します。
文書分析及び文書再構成技術による悪性フ
ァイル制御
TCP/IP
通信遮断
搬入ファイル
履歴管理
悪性ファイル
遮断
FireWireプロトコルを利用して内部網と外部
網分離によるセキュリティ強化
知られていない悪性コードに対応
再構成による安全な文書搬入
TCP/IP通信脅威遮断
専用プロトコルによる網分離
外部による脅威を事前遮断
リスク検出時、能動的対応
1次的：外部流入ファイルに対する識別と遮断を通じて、安全な環境で業務協力強化
 2次的：緊急事態に対する対応システム構築、各種業務環境に適用して業務セキュリティ強化
ファイル搬入の履歴を管理し、実際の環境ファイル
流通に対するセキュリティ強化

10. - 10 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 10 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
l SHIELDEX FTMS– IEEE 1394 連結構成図 (内部/外部ネットにサーバー構成) ; 某市役所様の構成例
User PC
(外部網/仮想環境)
FTMS(Web APP)
Tomcat 8
JDK1.7
転送サーバー
(内部WAS)
User PC
(内部網/実環境)
Internet系 LG-WAN
- SaniTrnas Interface
(Tomcat / WAS)
- 無害化 Service
(SaniTrans NET)
- PostgreSQL 9.4
(ODBC FDW)
SCI Sever
MS SQL Express
外部網
管理者
外部網から転送
• 承認履歴管理
• 無害化履歴
• ユーザー管理
• ポリシー設定
OS: Window 2012
Server
FTMS(Web APP)
Tomcat 8
JDK1.7
- SaniTrnas Interface
(Tomcat / WAS)
- 無害化 Service
(SaniTrans NET)
- PostgreSQL 9.4
(ODBC FDW)
SCI Sever
MS SQL Express
内部網
管理者
• 承認履歴管理
• 無害化履歴
• ユーザー管理
• ポリシー設定
OS: Window 2012
Server
内部網から転送HTTP 通信
HTTP 通信
FireWireで通信
(IEEE 1394/特殊プロトコル)
TCP/IP通信を利用しないので
ネットの分離状態が維持されます
転送サーバー
(外部WAS)
ADサーバー
(人事情報/CSV)
人事情報
連動バッチ
FireWire利用して
人事情報を外部へ連動
≪DocumentSecurity + 個人情報Scanner≫
マイナンバー検索機能と文書暗号化アプリケーションを
追加で導入可能です。(転送しながら暗号化・復号化対
応)
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム

11. - 11 - © 2014 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr - 11 - © 2016 SoftCamp Co., Ltd. All rights reserved.www.softcamp.co.kr
l 無害化サポート拡張子
SHIELDEXはContents disarm and Reconstruction技術を使用しており、無害化をサポートする拡張子は次の通りです。
SHIELDEX AD
フォルダ監視型ファイル送信無害化システム
種類 サポート拡張子 接続プログラム 備考
文書ファイル
Microsoft Word(*.doc、*.docx、*.docm)
Microsoft Power Point(*ppt、*.pptx、*.pptm)
Microsoft Excel(*.xls、*.xlsx、*.xlsm、*.csv)
Adobe PDF(*.pdf)
ハンコムソフトハングル(*hwp、*.Hwt)
Text(*.txt)
画像ファイル
Image Format
(*.jpg、*.jpeg、*.gif、*.tif、*.tiff、*.bmp、*.png、*.ico)
圧縮ファイル (*.zip、*.lzh) インストールされた圧縮プログラム
メールフォーマット Msg、Eml
本文を除く添付ファイル無害
化サポート

12. The power to do safely
SOFTCAMP Patent No. :
KR1429131, KR1500512, KR1446326, KR1299051, KR1227187, KR1113820,
KR1098250, KR1016615, KR0909891, KR0949790, KR0943318, KR0879808,
KR0843701, KR0589529, KR0549647, KR0549646, KR0702512, KR0589541,
KR0549645, KR0639828, KR0596135, KR0318015, US 6226645, US 784075
0, US 8402269, US 8340290, US 8452740, CN 746748, CN 1298920, CN 1
444528, JP 4717058, JP 5048784, JP 5032663, JP 5224555
Contact US
- Tel: 03-6277-1692(代表)
- Fax: 03-6277-1693
- 〒141-0022 東京都品川区東五反田 1-7-11 AIOS五反田アネックス 206号
ⓒ 1999-2017 SoftCamp Co., Ltd
All rights reserved. No part of this work covered by the copyright
hereon may be reproduced or used in any form or by any means --
graphic, electronic, or mechanical, including photocopying, recording,
taping, or information storage and retrieval systems -- without written
permission of SoftCamp Co., Ltd, Inc.,
SoftCamp, the traditional SoftCamp Logo, “ SoftCamp Co., Ltd, Inc., ”
“ Document Security, ” “ S-Work, ” “ MaxeOn, ” “ S-Work for Storage, ”
“SHIELDEX,” “Secure Workplace,” and “Secure Keystroke” are trademarks
of SoftCamp Co., Ltd. All other trademarks mentioned herein are the
property of their owners.
Printed in the Republic of Korea