高度標的型攻撃に対する VDI + マイクロセグメンテーションの有効性について

(1)

未知のマルウェア感染に立ち向かう！

仮想化セキュリティを活用した最新のセキュリティ対処策

ヴイエムウェア株式会社シニアセキュリティソリューションアーキテクト CISSP-ISSJP, 公認情報システム監査人楢原盛史(ならはらもりふみ) nmorifumi@vmware.com

(2)

Agenda

1. はじめに

2. サイバーセキュリティ対策の実情と課題の整理

3. 数年先を見据えたセキュリティ運用の方向性

4. 即時的に対応すべきセキュリティ対策＆対処策

5. 仮想化技術によって実現するセキュリティプラットフォームの概説

6. セキュリティ事案の元凶を可視化する未知のマルウェア感染痕跡分析の考え方

(3)

(4)

▼犯罪者側

【組織】

犯罪を目的とした国や

犯罪組織

(圧倒的な組織力)

【技術】

最先端の

攻撃ツールやプログラム

(軍事レベルのツール群)

【人】

最先端の技術を持つ

頭脳集団

(高度なネットワーク)

【組織】

基本は自組織のみの

セキュリティチーム

(限定的な組織力)

【技術】

部分的な対策と

運用の欠如

(市販ツール群)

【人】

専門家でない

兼任者による運用

(限定的な知識)

+

▼防御側

• そもそも攻撃側と防御側にこれだけの大差がある事を直視する事の重要性

• 真正面から立ち向かうのでなく、リスクの最小化への“マインドチェンジ”が重要

はじめに・・・・国内のインシデントレスポンス支援から感じる事

(5)

本資料のポイント

情報漏洩事故を元凶となる既知/未知のマルウェア感染による情報漏洩事故を

自組織の力で可能な限り未然に防ぎ、対処する上でのポイントを概説致します。

5 ▼“サイバー攻撃による”情報漏洩事故の根本要因

• 特に

“未知”

のマルウェア感染に自ら気付く事が出来ない(あるいは見て見ぬフリ)

• マルウェア感染によって権限が奪われ、漏れてはならない情報資産が不正に窃取される

• インシデントレスポンスの経験不足により、“実戦”での対応が覚束ない

▼情報漏洩(不正な窃取)のプロセス

1. メール/Web/USB等の利用で端末がマルウェア感染する

2. マルウェアが

“感染拡散”

し犯罪者が攻撃に必要となる権限やシステム情報等を得る

3. 犯罪者が欲しい情報をサーバ等から不正に窃取しネット上の自身のシステムへ転送

4. マルウェアはあらゆるセキュリティツールに捕捉されず、長期にわたって潜伏活動する

(6)

(7)

20% 20% 20% 20% 50%

50%

2014年度に Sandbox を導入感染 Web サイトによる待ち受け型攻撃

30% 30% 30% 30% 70%

70%

2014年度に Sandbox を導入感染記憶媒体の持込によるウイルス感染

15% 15% 15% 15% 15%

15%

対策が不十分で、感染した場合に感染活動を検知できない LAN に不正に接続された端末からウイルス感染、または、故意の情報漏えい

35% 35% 35% 35% 50%

50%

2014年に市販 SIEM を導入公開サーバが改ざん

20% 20% 20% 20% 20%

20%

グループ会社も含めて、公開サーバを一元管理_{出来ていない}

国内の大規模組織におけるセキュリティ対策と

防御力の客観的な数値

※引用：2015年S&J社分析データより

7

(8)

サイバー攻撃による情報漏洩が止まらない理由

▼技術

多層防衛

▼組織

CSIRT

• そもそもツールで検知出来ない脅威の見逃し

• 高度化された各ツール機能を有効活用出来ない

• 実装の都度増加する利用者側の利便性低下

▼運用

管理ツール等

• 実装の都度増加する管理ツール群

• SIEM等の台頭により更なる管理負荷の増大

• 生ログを含めたネットワークフォレンジックの必須化

• 専任担当としてアサインするする事が困難な実態

• 犯罪者と同レベルの知識やノウハウの確保が困難

• 的確な脅威の一次切分とその対処が出来ない

情

報

漏

洩

未

知

の

マ

ル

ウ

ェ

ア

感

染

拡

散

主たる対策

主たる課題

8

(9)

経営者目線による“ITシステム利用”における

“最大”のセキュリティ脅威は一体なんでしょうか？

▼組織(事業体)が守らなければならない情報の漏洩

※個人情報や知的財産といった情報資産の漏洩等

▼ビジネスの可用性(BCP)に悪影響を与えるサイバー攻撃

※Webサイトをダウンさせサイト経由のビジネスや業務がすべて停止

• 外部犯行：対象システムをマルウェア(不正プログラム)感染させ遠隔から不正に情報の窃取

• 内部犯行：組織内の人間が不正に情報資産を窃取

• 外部犯行：対象のWebサイトを閲覧出来なくする特殊なサイバー攻撃(DDoS)の仕掛け

• 内部犯行：※基本的に内部犯行による攻撃ケースは困難

今回のフォーカスポイント

６

(10)

代表的な外部犯行(マルウェア感染)の概説

外部犯行の三大攻撃の種別

1. メール(添付ファイル)経由によるマルウェア感染(させ制御を奪い情報を窃取)

2. Webアクセスによるマルウェア感染(させ制御を奪い情報を窃取)

3. USB等のリムーバブルメディア経由によるウイルス感染(させ制御を奪い情報を窃取)

▼マルウェアの感染拡散

情報窃取に必要な権限を得る為に

横感染やADサーバ等へ拡散

▼マルウェアの感染

攻撃対象のシステム情報やセキュリティ

対策を把握し、以降の攻撃手法を精査

▼情報資産の窃取

窃取したい情報を取得し永続的に

情報窃取する為のプラットフォームを形成

マルウェア感染から情報窃取までの攻撃プロセス

７

(11)

(12)

数年先を見据えた

セキュリティ運用(対策/対処)の方向性

• 外部犯行という脅威(未知のマルウェア感染)自体の総量を削減し、発生した脅威を

自ら把握することが出来、更にそのインパクト(情報漏洩等)の影響範囲を最小化出来る

• 削減し切れない脅威を“残存リスク”として定義し、“専門家”でなくとも自組織(CSIRT)で

セキュリティ対処まで包含したセキュリティ運用を実現出来る

脅威自体の

無害化

(脅威)影響範囲の

最小化

汚染環境の

健全化

組織内CSIRTで制御可能である事

８

(13)

13 マルウェアの感染拡散の事実を

横拡散のDropログから自動的に把握

※実現可能なセキュリティ運用

未知のマルウェア感染を前提とした

“端末単位”のセキュリティゾーニング

※感染における影響範囲の最小化

未知のマルウェア感染における

“影響範囲の最小化”の考え方

(14)

▼入口&出口側

(目指すは攻撃の無害化)

▼内部側

(脅威の最小化と健全化)

• マルウェア感染のより脅威の最小化 • ネットワーク切り離し感染拡散の防止

“未知の不正マルウェア感染”を前提とした

セキュリティ対処の“あるべき”運用プロセス概念図

FW/IPS/IDS ･メール・Web 標的型攻撃 NGFW 各種コンテンツフィルタリング

無害化できない脅威は

内部側へ到達

_{エンドポイントへの攻撃が到達する前提}

汚染端末の健全化ウイルス対策等で捕捉困難な脅威

“過剰”な多層防衛は投資&運用コスト(管理ツールやログ量)の増加とユーザ側の利便性低下を招く

絶対的な攻撃総量の低下は望めるものの、ツールで捕捉出来ない深刻な脅威の見落としに気付けない

インターネット分離脅威の無害化 USB 感染すり抜けた攻撃

10

(15)

仮想化技術によって実現する

(16)

各社仮想セキュリティ対策ツールによる防御

(インターネット分離はVMware Horizon View)

仮想デスクトップ単位での封じ込め

(VMware NSX:マイクロセグメンテーション)

クリーンなOSや

アプリケーションの強制適用

(VMware Horizon View)

ハイパーバイザ上で実装

(VMware ESXi)

防御し切れない標的型攻撃の無害化を目指し

未知のマルウェア感染リスクの最小化と健全化を実現するNSX

16 脅威自体の最小化

※感染拡散の防止

既存のセキュリティ対策

※インターネット分離による無害化感染各種標的型攻撃

汚染環境の健全化

※100％のマルウェア駆除

物理実装やハイパーバイザ上で実装

(ハイパーバイザ：VMware ESXi)

(17)

マイクロセグメンテーション(VMware NSX)

【参考】標的型攻撃の攻撃ステップ別のテクノロジーカバレッジ

攻撃対象の確認

マルウェア配信

マルウェア感染

端末の制御

_奪う

システムの

制御を奪う

マルウェア作成

情報

漏洩

■標的型攻撃のステップ(Kill - Chain Model)

• ファイアウォール

• 不正侵入検知システム(IDS/IPS)

• 各種コンテンツフィルタ

防御テクノロジー(通常)

防御テクノロジー(高度)

次世代型ファイアウォール

振る舞い検知(エンドポイント)

マルウェア対策(エンドポイント)

感染拡散の最小化感染端末の健全化 NSXログとSIEM連携により、マルウェア感染被害によるインシデントレスポンスの確実性と効率性を飛躍的に向上感染拡散時に発生するログからマルウェア感染事実を把握

統合ログ分析システム(SIEM)

メール無害化ツール(今後)

Web無害化ツール

(18)

VMware NSX のお客様事例と実績

NSX のお客様

900 社以上

（四半期ごとに 25 ～ 50 の増加）

150 社以上

NSX に 100 万ドル以上投資した企業

50 社以上

本番環境での展開

18

(19)

セキュリティ事案の元凶を可視化する

未知のマルウェア感染痕跡分析の考え方

※VMwareの新しいセキュリティサービス

(20)

マルウェア感染痕跡分析サービス(近日リリース予定)の概要

サービスの概要

マルウェア感染痕跡分析サービス(以降、サービス)は、弊社が独自開発したインストール不要の実行形式型の情報収集ツール(以降、 PAM)を組織内の全数端末で実施頂くことより、組織内に潜んでいる未知のマルウエアの感染痕跡や脅威を評価するサービスです。 PAMをWindows系PC/サーバ上で実行することにより、マルウェアの感染実態把握に必要なシステム情報およびファイル情報を自動収集します。収集された情報をインシデントの対応経験が豊富なアナリストが全数分析を行うことで、調査対象組織の情報システム担当者に過大な負荷を強いることなく、利用者の利便性も損なわずに、組織内の全数端末のマルウェア感染痕跡を評価します。

• サービス提供期間：約３か月程度(お客様の調査期間を3週間程度と仮定)

• サービス提供費用： ※個別見積り（最低の調査対象PC台数は1000台～)

サービスによる効果

• 組織内の既知/未知のマルウェアの感染実態を客観的且つ定量的に把握及び評価が可能となり、この評価データを元に現状のセキュリティレベルの客観的評価や、今後のセキュリティ対策/対処の強化に向けた定量的な分析情報として活用する事が可能です。 • 従来は実質不可能であった組織内の全数端末調査が容易に可能です。 • 同サービスを定期的に実施する事で、セキュリティ対策の有効性の経年比較が出来ます。 • インターネットと接続出来ないクローズド環境やVDIとFAT混在環境でも本サービスは提供可能です。

16

(21)

本サービスの実施ステップ(イメージ)

サービスの実施方法

実施ステップ

実施内容

実施期間

実施対象

1.アドバイザリ

本サービスの目的、実施方法、費用、免責事項等の合意

N/A

両社

2.PAMのテスト評価

調査対象端末でのPAM実施時間と分析対象用データの

_{弊社サーバとの疎通確認}

1週間程度

御社

3.PAMの実施

PAMの調査対象となる全数端末でPAMの実施

2-3週間程度

御社

4.PAMの分析と評価

御社のPAM調査完了報告を経て、弊社内でPAMの全数

_{分析と評価を実施し報告書を作成}

_{※1万台実施時}

1ヶ月程度

弊社

5.ご報告会

報告書を踏まえ、評価内容を今後の対策強化/改善に向

_{けた方向性を助言}

1日

両社

本サービスはPAMを1万台実施した際に約2ヶ月から3ヶ月程度の実施期間が目安となります。

17

(22)

F5様との協業ソリューション紹介

(23)

VMware Horizon View環境で

BIG-IPを利用しない場合

Load Balancer View Security Server DMZ View Connection Server vCenter Microsoft Active Directory PCoIP Centralized Virtual Desktops VMware infrastructure LB User devices

Secure Server : Connection Server = 1: 1 Connection Server1台につき、1台の Secure Serverが必ず必要

デバイスチェックができない

デバイスチェックを実施しないため、許可された端末以外の端末からでもアクセス可能

Security Serverが必要

• Windowsサーバのため、脆弱性攻撃の的になりやすい • Windowsサーバのため、SSL処理によるパフォーマンス劣化が懸念

限られた認証方法

ID/パスワード認証、もしくはRSA による認証の二通り

セキュリティ

ユーザの利便性

対 IT部門の管理性

セキュリティ

パフォーマンス

複雑(機器が多い)

信頼性(ダウン時のコネクション維持なし)

20

(24)

VMware Horizon View環境での

BIG-IP利用のベネフィット

Local Traffic Manager Access Policy Manager Advanced Firewall Manager Load Balancer View Security Server View Connection Server vCenter Microsoft Active Directory Centralized Virtual Desktops VMware infrastructure LB User devices PCoIP

セキュリティ

デバイスチェック

ウィルスチェック、デバイスIDチェックなど、多要素によるデバイスチェックによるセキュリティの向上

Security Serverが不要

• ISCA認定のセキュリティ • DoS対策

様々な認証方法

• 様々な二要素認証 • ブルートフォース対策

コネクション情報を維持した冗長化

ユーザの利便性

対 IT部門の管理性

セキュリティ

パフォーマンス

シンプル

高信頼性

21

(25)

Per App VPNにより、利用者はリモート接続を意識せずにアクセスできます。

AirWatch利用環境での

セキュリティと使い勝手を両立

仮想デスクトップ社内メールファイルサーバー ERP CRMなど BIG-IP Platform 社内アプリケーション 管理アプリを 起動 自動的に VPN接続 リモートアクセスを 意識せずに アプリを利用 管理アプリと 非管理アプリが セキュアに共存 （BYODに最適） 管理アプリの 起動だけでVPN接続 （パスワード不要 Per App VPN 社内アプリへの アクセス

(26)

AirWatch利用環境での

セキュアなSaaSアクセスの実現

端末管理 アプリケーション管理 仮想デスクトップ社内メール ERP CRMなど BIG-IP Platform 個人所有端末会社支給端末 社内アプリケーション 主要SaaS リモートアクセス(SLL VPN) アプリケーション・アクセス管理 アクセス・ポリシー管理 端末情報 SaaSへの アクセス制御 社内アプリへの SSO接続 企業ポリシーに 準拠した端末のみ 通信を許可 マルチデバイスからの アクセスを一元管理 アプリ単位の アクセス範囲指定

SaaSアプリケーションへのアクセスであっても、認証制御が行えます。

(27)