サイバネットシステム会社紹介名称 : サイバネットシステム株式会社本社 : 東京都千代田区神田練塀町 3 支社 : 西日本支社 / 中部支社 / 九州オフィス設立 :1985 年 4 月 17 日資本金 : 995,000,000 社員数 :522 名 ( 連結 )357 名 ( 単体 )

(1)

Windows XPのサポート終了に伴う

リスク低減ソリューションのご提案

サイバネットシステム株式会社

IT事業部

セキュリティソリューション室

(2)

事業内容

 CAE・シミュレーションソフトウェアおよびITソフトウェアの開発・販売,各種セミ

ナーをはじめとするユーザー教育,技術サポートおよび受託解析・コンサルティング

等のエンジニアリングサービスの提供,ならびにインターフェース,モデルおよび解

析モジュール等の開発

名称：サイバネットシステム株式会社

本社：東京都千代田区神田練塀町３

支社：西日本支社 / 中部支社 / 九州オフィス

設立：1985年4月17日

資本金：￥995,000,000

社員数：522名(連結)357名(単体)

(2012年3月31日現在)

サイバネットシステム会社紹介

(3)

© 2014 CYBERNET SYSTEMS

CO.,LTD. All Rights Reserved.

3 継続して発見される脆弱性

© 2014 CYBERNET SYSTEMS CO.,LTD. All Rights Reserved. 3 0 5 10 15 1月 2月 3月 4月 5月 6月 7月 8月 セキュリティアップデート数 2013年 Windows XP セキュリティアップデートの推移 OS以外 XP影響なし重要緊急 0 5 10 15 1月 2月 3月 4月 5月 6月 7月 8月 セキュリティアップデート数 2013年 Windows Server 2003 セキュリティアップデートの推移 OS以外 2003影響なし重要緊急緊急度の高いアップデートが発見されています。 Windows XP マイクロソフト延長サポート終了日 2014年4月9日 Windows Server 2003 マイクロソフト延長サポート終了日 2015年7月14日

(4)

XPサポート切れに対するお客様の課題

4 既存の業務アプリケーションの移行が間に合わない

業務上重要で今度も稼働継続

Windows7/2008などに対応していない

新しいOS向けの開発検証コスト大

次期システムが見えている

システムの環境によって、様々な脅威が脆弱性を狙う

(5)

脆弱性に対するシマンテックソリューション

5 マルウェアの検知・駆除

（AntiVirus）

バッファオーバーフローの保護

（IPS）

不必要な通信の制限（FW）

デバイス・

アプリケーションの制限

ホワイトリスト制御・挙動制御

保護レベル

弱

強

Symante

c

Endpoin

t

Protecti

on 12.1

Symante

c Critical

System

Protecti

on 5.2

保護技術

_{シマンテックソリューション}

(6)

Symantec Endpoint Protection 12.1

6 アンチウィルスに機能追加

システムロックダウン

マルウェアの検知・駆除

（AntiVirus）

不正侵入防御

（ホストIPS）

クライアント

ファイアウォール

デバイス・

アプリケーションの制限

システムロックダウン

各種実行ファイルのハッシュ値を

ベースとした、ホワイトリスト制御

対象：塩漬けPC, 用途が限られた特殊端末

利点：手軽に最大のセキュリティを提供

注意点：アプリケーション等の追加・パッ

チ適用時にリストの更新が必要

対象：一般的な業務PC

利点：ポリシー変更のみでセキュリティ

強化

注意点：最新OSに比べて対応が後手にな

る場合がある

※ SEP12.1は、XPのサポート終了後も2018年7月5日までサポートを提供いたします。

Symantec Endpoint Protectionの”標準機能”による、2通りの保護を提供

(7)

Symantec Critical System Protection 5.2

© 2014 CYBERNET SYSTEMS

CO.,LTD. All Rights Reserved.

7 保護ポリシー

監視ポリシー

アプリケーションの挙動制御

ファイアウォール

バッファオーバー

_{フロー保護}

デバイス制御

ログファイルの監視

ファイルの監視

レジストリの監視

未知の脅威から強力に保護

不正な改竄や設定ミスを監視

ルールベースのアプリケーションの挙動制御と、ログやファイル操作の監視によって、

様々な”サーバーを要塞化”し、未知の脅威から強力に保護

(8)

保護する仕組みの選択

© 2014 CYBERNET SYSTEMS

CO.,LTD. All Rights Reserved.

8 一般的な業務端末

用途が限られた

特殊端末

業務サーバー

公開サーバー

サーバー

クライアント

先進のエンドポイント保護

Symantec Endpoint

Protection 12.1

サーバー要塞化

Symantec Critical

System Protection

性能の低い端末

保護対象の仕様、役割、リスクに応じて、最適なソリューションをご検討ください。

(9)

リアルタイムに監視、

アラート

vSphere環境の保護

ゼロデイ攻撃、標的型

攻撃からの保護

(10)

最小特権をアプリケーションに付与し制御

ファイル レジストリ ネットワーク デバイス

ファイルシステム、

設定情報

アクセス制御

設定、リソースを制御

アプリケーションプログラム

メモリ

ポート、デバイスの

使用

ユーザーの権限レベル

で、実行可能なアプリ

ケーションの操作などを

制御

(11)

信頼済みユーザーやアプリケーショ

ンのみ、重要なデータの変更を許可

ポリシーで認められていな

いユーザーによるアクセス

を遮断

ポリシーで認められたユーザーはア

プリケーションの実行や変更が可

能。

ユーザーやプロセスごとに、

アクセス可能なリソースの制

限についてポリシーを定義

1

2

3

4 最小特権の付与による運用例

(12)

“設定された操作のみ”を許可することで攻撃から保護

ショートカットファイルファイル（.lnk）の脆弱

性を利用したバッファオーバーフロー攻撃

USBドライブやプリントスプーラーの脆弱性、

ファイル共有を悪用し感染

SCSPはStuxnetと同様のバッファオーバーフロー

攻撃から保護

最小限の特権のみをアプリケーションに付与することに より、悪意のある動作を封じ込め(システムリソースへ のアクセスを制限)。

Poison Ivy Trojan

Emailを使用し感染し、遠隔操作により情報を盗む

などの動作を行う

SCSPはPoison Ivyの実行を封じ込め

最小限の特権のみをアプリケーションに付与する

ことにより、インジェクション攻撃や、

レジスト

リの改変などの行為を禁止

。

IE Remote Code Execution Vulnerability

IEの脆弱性を利用した攻撃を行い、バックドアを

開き、リモートからマシンにアクセス

SCSPはネットワークのインバウンドとアウトバウンド のアクセスを遮断 最小限の特権のみをアプリケーションに付与することによ り、権限のないユーザーによるアプリのインストールを禁 止。ファイアウォールにより、C&Cとの通信を遮断。

Windowsカーネルモードドライバの脆弱性

悪意のあるWebサイトやドキュメントを開くこと

により、リモートでコードを実行

SCSPはシェルコードの実行を遮断

最小限の特権のみをアプリケーションに付与する

ことにより、シェルの実行や

ショートカットの作

成

、

ファイルの複製などを遮断

。

攻撃手法が既知であるか、未知であるかに関わらず、アプリケーションに対して最小限の

特権を与えることで、SCSPはアプリケーションやプロセスを制御し、サーバーを保護

(13)

監視 / IDSのみ

IPSのTargeted

ポリシーで運用

学習モード

(ログ出力のみ)

IPSポリシーにより

保護

フェーズ1

フェーズ２

フェーズ３

フェーズ

時間軸

• IDSポリシーを適用し、

サーバーを監視

• ファイルインテグリ

ティモニター(FIM)によ

り、リアルタイム監視

フェーズ４

• IPSのTargetedポリ

シーを使用し、特定の

アプリケーションやプ

ロセスのみを制御

• 誤検知、誤停止のリス

クなく、Targetedポリ

シーによるIPSを運用

• IPSによるサーバー保護

ポリシーを適用し、ロ

グ出力のみの学習モー

ドで運用

• サーバーのイベントを

精査し、IPSポリシーを

カスタマイズ

• 特定のサービス、アプ

リケーションを制御す

るポリシーを作成

• IPSポリシーにより、

サーバーを保護

• 運用しながら、ポリ

シーを再調整

CSP 導入・標準化のステップの例

(14)

VMware ESXi

管理サーバー

管理コンソール

MS SQL Server

監視対象のサーバーごとにエー

ジェントをインストール

監視対象のゲストVMごとにエー

ジェントをインストール

CSPシステム構成

※ エージェントは、Windows、UNIX、Linux

に対応。

Email、SNMPトラップ

によりアラートを送信

(15)

CSP 対応OS

Red Hat Linux

Red Hat Enterprise Linux 6

Red Hat Enterprise Linux 5

Red Hat Enterprise Linux 4

Red Hat Enterprise Linux 3

HP-UX

HP-UX 11i V3 (11.31) (64-bit)

HP-UX 11i V2 (11.23) (64-bit)

HP-UX 11i V1 (11.11) (64-bit)

HP Tru64 5.1B-3

Windows

Windows 2012

Windows 2008 R2 (Standard Edition and

Enterprise Edition)

Windows 2008 (Standard Edition and Enterprise

Edition)

Windows 2003 R2 (Standard Edition and

Enterprise Edition)

Windows 2003 (Standard Edition and Enterprise

Edition)

Windows XP Professional, Windows XPe

Windows 7 (32&64bit)

Windows Embedded Standard 7

Windows 2000 (Advanced Server, Server and

Professional)

Windows NT4

Community ENTerprise Operating

System

CentOS 5

CentOS 6

SUSE Linux

SUSE Linux Enterprise Server 11

SUSE Linux Enterprise Server 10

SUSE Linux Enterprise Server 9

SUSE Linux Enterprise Server 8

Solaris

Solaris 11-

Solaris 10 -- Global Zone

Solaris 10 – Global Zones

Solaris 10- Local Zones

Solaris 8 &9

AIX

AIX 7.1

AIX 6.1

AIX 5L 5.3 -- 64-bit kernel

AIX 5L 5.3 -- 32-bit kernel

AIX 5L 5.2

AIX 5L 5.1

Supported and Hardened Hypervisors

VMware Server ESXi 5.0 Host

VMware Server ESX 4.1 Host

VMware Server ESX 3.5 Host

(16)

(17)

CSPにより多種多様なシステムを保護

DNSサーバー、ドメインコン

トローラーなど

POS端末

Kiosk / ATM

制御系システム

医療系システム

CSP

サポートが終了したOSの保護

※ Wincor Nixdorf社とは

パートナー契約を締結

(18)

Host IPSポリシーの種類（デフォルトのテンプレート）

Targeted

OSのコア機能を保護 + アプリケーションに制限なし

• OSのハードニング（要塞化） + バッファオーバーフロー保護

Core

サーバーアプリケーション以外の実行を制限

• Strictポリシー + ホワイトリスト未登録の対話型アプリケーショ

ンの実行を遮断

Limited

Execution

OSとアプリケーションを完全保護

• OSのハードニング + バッファオーバーフロー保護 + ネット

ワークの制御

Strict

特定の目的のためにカスタマイズ可能なポリシー

• アプリケーションの稼働に制限も設定しておらず、特定の用途・

目的のためにカスタマイズして、使用可能なIPSポリシーです。

弱い

強い

保護レベル

バッファーオーバーを起こすプログラムやネッ

トワークのインバウンドを除いて、未知のプロ

グラムも起動可能。

HTTP、LDAP、SCSPが使用するポート（80、

135、389、443）以外のアウトバウンドを制

限。

ホワイトリスト未登録の対話型アプリケーショ

ンの実行を遮断。

(19)

Host IPSの運用例

• セキュリティ証明書のアクセスを遮断。

• CSPの管理コンソールにログを表示。

⇒ 管理者にメールで通知。SNMPアラート送信も可能

管理コンソール

(20)

Black Hat 2011/2012での挑戦

• 年次セキュリティカンファレンスBlack Hatに出展

• パッチ未適用のWindows XPにStrict Prevention Policy

を適用し「Capture The Flag」用に展示

• ハッカーによるFlagの奪取を2年連続阻止

D20D54CB D95219ED 0C8A5EFC 0B3B05F6 5D517707 D53BB586 5F104F77 9C44481F

(21)

CSPに関するお問い合せは

Symantec Platinumパートナー

サイバネットシステム株式会社

IT事業部セキュリティソリューション室

TEL ： 03-5297-3487

FAX ： 03-5297-3646

Mail：itdsales@cybernet.co.jp

http://www.cybernet.co.jp/symantec/

Windows XPのサポート終了に伴う

リスク低減ソリューションのご提案

サイバネットシステム株式会社

IT事業部

セキュリティソリューション室

事業内容

 CAE・シミュレーションソフトウェアおよびITソフトウェアの開発・販売,各種セミ

ナーをはじめとするユーザー教育,技術サポートおよび受託解析・コンサルティング

等のエンジニアリングサービスの提供,ならびにインターフェース,モデルおよび解

析モジュール等の開発

名 称：サイバネットシステム株式会社

本 社：東京都千代田区神田練塀町３

支 社：西日本支社 / 中部支社 / 九州オフィス

設 立：1985年4月17日

資本金：￥995,000,000

社員数：522名(連結)357名(単体)

(2012年3月31日現在)

サイバネットシステム会社紹介

© 2014 CYBERNET SYSTEMS

CO.,LTD. All Rights Reserved.

3

継続して発見される脆弱性

XPサポート切れに対するお客様の課題

4

最新OS・システムへ移行したいが

既存の業務アプリケーションの移行が間に合わない

業務上重要で今度も稼働継続

Windows7/2008などに対応していない

新しいOS向けの開発検証コスト大

次期システムが見えている

システムの環境によって、様々な脅威が脆弱性を狙う

脆弱性に対するシマンテックソリューション

5

マルウェアの検知・駆除

（AntiVirus）

バッファオーバーフローの保護

（IPS）

不必要な通信の制限（FW）

デバイス・

アプリケーションの制限

ホワイトリスト制御・挙動制御

保護レベル

弱

強

Symante

c

Endpoin

t

Protecti

on 12.1

Symante

c Critical

System

Protecti

on 5.2

保護技術

シマンテック ソリューション

Symantec Endpoint Protection 12.1

6

アンチウィルスに機能追加

システムロックダウン

マルウェアの検知・駆除

（AntiVirus）

不正侵入防御

（ホストIPS）

クライアント

ファイアウォール

デバイス・

アプリケーションの制限

システムロックダウン

各種実行ファイルのハッシュ値を

ベースとした、ホワイトリスト制御

対象：塩漬けPC, 用途が限られた特殊端末

利点：手軽に最大のセキュリティを提供

注意点：アプリケーション等の追加・パッ

チ適用時にリストの更新が必要

対象：一般的な業務PC

利点：ポリシー変更のみでセキュリティ

強化

注意点：最新OSに比べて対応が後手にな

名称：サイバネットシステム株式会社

本社：東京都千代田区神田練塀町３

支社：西日本支社 / 中部支社 / 九州オフィス

設立：1985年4月17日

_{シマンテックソリューション}

_{フロー保護}