必要とされる Fortinetの最新セキュリティソリューション

© Copyright Fortinet Inc. All rights reserved.

フォーティネットジャパン株式会社

パートナー＆SMB技術部

和中 速人

コーポレートアップデート

#1

世界のセキュリティ

市場シェアNo.1

In Security Appliance (IDC)

$

1.16B

現金資産

設立

2000年

全出荷台数

1B

従業員数

4,100+

265,000+

市場をリードする

技術の特許

278 特許取得

236 特許出願中

100+

世界各国

事業所数

カリフォルニア州サニーベール

本社

所在地

NASDAQ上場

2009年

230万台以上

$

3

Fortinet – HP Enterprise アライアンス



フォーティネットとHP Enterpriseは、両社の最先端のテクノロジーと卓越

した専門性を、包括的で革新的なセキュリティソリューションとしてお客様

に提供するため、グローバルなアライアンスを結んでいます。

＋

2015年トピックス

お陰様で国内セキュリティ機器市場でシェア No.1

日本のセキュリティ機器市場で

ベンダー売上額、出荷台数ともにシェアNo.1を達成

A社 19% Fortinet 12% B社 8% Others 37%

日本セキュリティ機器市場

（ベンダー売上額 2014年Q3）

Fortinet 15% A社 12% B社 9% F社 Others 36%

日本セキュリティ機器市場

（ベンダー売上額 2015年Q3）

5



ビジネスを保護する

実績ある認証済みセキュリティ

フォーティネットのソリューションによる課題の克服



ビジネスを簡素化する

グローバルなサイバーセキュリティプラットフォーム



ビジネスを加速させる

拡張性に優れた高性能セキュリティ

拡張性に優れた

高性能

セキュリティ

パフォーマンスを劇的に向上させるFortiASIC

6

Gbps

2

Gbps

3.5

Gbps

FW

VPN

IPS

CPU

FW

IPS

ベースライン CP 8 NP 6

40

Gbps

25

Gbps

FW

VPN

10

Gbps

9

Gbps

IPS

VPN

CPU



データセンター向けファイアウォールの

パフォーマンスが

10倍

に



NGFWのパフォーマンスが

5倍

に



帯域幅要件の増加に

対応する

セキュリティ

（IPsec） （SSL）

7

実績のある認証済み

セキュリティ

さまざまなセキュリティテクノロジーをFortiOSに統合、FortiGuard Labs脅威インテリジェンスが情報を提供

ファイアウォール VPN アプリケーション制御 IPS Webフィルタリング アンチマルウェア WANアクセラレーション データ漏えい防止 Wi-Fiコントローラ 高度な脅威保護（ATP） SaaSゲートウェイ ソフトウェア対応の セキュリティモジュール アプリケーション 制御 ウイルスアンチ アンチスパム IPS Webアプリ データベース Web フィルタリング 脆弱性 管理 IP レピュテーション モバイル セキュリティ _{必要な機能を必要な場所} に導入

実績ある認証済み

セキュリティ

業界第三者機関の規格認定実績

各種の認定 Fortinet Check Point Cisco _NetworksPalo Alto Juniper FireEye

NSS - Firewall NGFW 推奨 推奨 _{どちらでもない}推奨、 課題あり 課題あり x

NSS - Firewall DC 推奨 x x x x x

NSS - Breach Detection 推奨 x 推奨 x x 課題あり

NSS - WAF 推奨 x x x x x

NSS – Next Gen IPS 推奨 x 推奨 どちらでもない x x

NSS - IPS（DC） ✔ ✔ x x 課題あり x

BreakingPoint Resiliency 95（過去最高） x x 53（Poor） x x

ICSA Firewall ✔ ✔ x ✔ ✔ x ICSA IPS ✔ ✔ x x x x ICSA Antivirus ✔ x x x x x ICSA WAF ✔ x x x x x VB 100 ✔ 課題あり x x x x AV Comparative ✔ x x x x x

9

NSS Labsによって実証されたフォーティネットの利点

（主要な競合他社とは違い）フォーティネットは「推奨」を継続して認定

NGFW Breach Detection（ブリーチ検知） X軸 = 保護されたMbpsあたりのTCO（「価値」） Y軸 = セキュリティの効果 右上のエリア = 「推奨」 左下のエリア = 「課題あり」 それ以外のエリア = 「どちらでもない」

Forti

Gate

NGFW+ATP+VPN

Forti

Mail

メールセキュリティ

Forti

Sandbox

標的型攻撃対策

Forti

Analyzer

ログ管理統合

Forti

Manager

デバイス管理統合

Forti

Gate

内部セキュリティ

Forti

AP

ワイヤレス

セキュリティ

Forti

Gate

DCFW

Forti

Web

WAF

Forti

DDoS

DDoS対策

Forti

Gate-VM

クラウドFW

Cloud

本社

データセンター

支店

フォーティネットのセキュリティ機器

Forti

WLC

ワイヤレス管理

Forti

Switch

PoE給電

経済産業省「サイバーセキュリティ経営

ガイドライン」

一般的な「内部ネットワーク」には入り口がいくつもある



既存のFirewallは境界線として内

と外しかチェックしない



内部ネットワークを信頼するモ

デルが成立たなくなりつつある



ネットワークへの入り口が結果

としていくつも存在している



結果、一度内側に入った脅威が

広がってしまう

外部

内部

Email (Phishing) 攻撃

Web からの脅威 ソーシャルエンジニアリング(&Zero Days)

情報を狙う 犯罪組織 1 3 4 漏洩！ 隠れる、広げる、改変する、接続する Botnetへ連絡する、自らを変異する 攻撃を仕掛ける 感染 外部へ勝手に接続 抜き出し 2

境界

機密入手

15

（インターナルセグメンテーション）内部ファイアウォール

ISFWの要件を満たすFortiGate

インターネット クラウド ホーム オフィス 内部 ネットワーク （100 Gbps以上） ブランチ オフィス プライベート クラウド NGFW データセンター ISFW ISFW ISFW ISFW ISFW ISFW WAN 内部 外部 UTM DCFW VFW CCFW CFW

インターナルセグメンテーションファイアウォール（ISFW）

次世代ファイアウォール（NGFW）

データセンター向けファイアウォール（DCFW）

統合脅威管理（UTM）

仮想またはクラウドファイアウォール（CFW）

キャリアクラスファイアウォール（CCFW）

エッジ

FortiGate ISFWの機能:

 非常に高い性能  超低レイテンシ  ポートの高密度実装  1、10、40、100 GbEイン ターフェース  検知とプロアクティブな保 護  迅速な導入と容易な運用  実証済みのFortiGuard 脅威インテリジェンス

ISFW に必要とされる要素 No.1 –

パフォーマンス

Internet

ボーダー（境界） Firewall (NGFW)

物理インターフェイス



1G, 10G

ポート数



2 to 12

スループット



100Mbps ～ 1Gbps ～

Internal Segmentation Firewall (ISFW)

物理インターフェイス

_

1G～ 10G, 40G & 100G

ポート数



8 ～ 48 1G/10G

17 CPU CPU Multi Core CPU Off the shelf NP Optimum Path Processing (OPP)

CPU vs “カスタム” ASIC

Ce社

Ci社

P社

…..

デスクトップモデル

拠点/SOHO/個人向け

仮想ファイアウォール

_{SDN/Cloud/XaaS}

East-West Traffic

Inter-VM Traffic

ミッドレンジモデル

内部分割ファイアウォール (ISFW)

次世代ファイアウォール (NGFW)

データセンターファイアウォール

…..

…..

CPU

200D～800C

1000D～3810D

Fortigate 5000

60D～100D

※ FG100DはIntel CPU搭載 CPU ×2 ~ ×2 ~ ×2 24core CPU ※ FG800CはNP4 搭載

Fortigate VM/VMX

ハイパフォーマンスを実現するFortiGateシリーズ別用途

19

ISFW に必要とされる要素 No.2 –

強固なセキュリティ

Firewall これらの機能を統合するFortiOS 一括管理 （他システムとの連携）VPN アプリケーション識別/制御 侵入防御 (IPS) Web フィルタリング アンチウィルス/マルウェア AntiSPAM 情報漏洩防止 (DLP) 機能 WiFiコントローラー ATP対応 SaaS ゲートウェイ

侵入防御 アンチマルウェア アンチスパム Web フィルタリング IPレピュテーション / ジオIP Web セキュリティ データベースセキュリティ アプリケーション識別 脆弱性管理

グローバルなセキュリティインテリジェンスが

リアルタイムにFortiGateへアップデート -

FortiGuard

21

ISFWに必要とされる要素 No. 3 –

可視化と集中管理



可視化と集中管理

Operations

Security

Platform

FortiGateシリーズ 集中管理機能 - FortiManager

Feature

Benefit

わかりやすいポリシーGUI

アドレスやサービスなどオブジェクトのドラッグアンドドロップに_{よる直感的なポリシー設定}

階層構造でのオブジェクト管理

組織やADOMで使い回しをしやすい階層構造のオブジェクト構造

インラインポリシー編集

ポップアップや別窓ではなく、一覧でそのままポリシーを編集可能

グローバルポリシー作成

ローカルポリシーに追加可能な全てのデバイスの適用するグローバ_{ルポリシーの作成}

23

FortiAnalyzer ログ収集機能

Feature

Benefit

Fortinetプロダクトのログを一括収集

複数のFortigate, FortiClient, FortiMail, FortiWeb 、一般的な_{Syslog デバイスに対応}

リアルタイムかバッチ処理から選べる収集方法

使用する帯域やネットワーク事情に合わせてリアルタイム、_{バッチ処理を選べるログアップロード機能}

ログの保管と管理

ADOM（管理ドメイン）で区切って閲覧し、ログを保存するこ_とが可能

イベントマネジメント

イベントの検索や抽出、特定イベント発生時のアクションを選_択可能

FortiAnalyzer レポート機能

Feature

Benefit

“見える化”に使えるPDFレポート

レポートにより、期間を区切ったアクティビティや傾向が一目瞭然

多彩なテンプレートを用意

業務のために複数の視点を持つレポートを作成することで管理者の負担を軽減 – UTM解析、VPNレポート、 Webフィルタレポート、ワイヤレ ス、クライアントの脅威動向など

レポートはスケジュールだけでなくその場生成も可能

管理者の役割に合わせたレポート群をスケジュールに合わせて生成、必_{要な際にはその場であるデータをレポートかすることも可能}

FortiView ドリルダウンレポート

FortiView ドリルダウンによって、管理者はリアルタイムに任意のタイ_{ミングで状況を把握することも可能}

カスタマイズによって必要な情報を必要な形で

SQLコマンドでデータベースから取り出すことで、必要な情報をカスタ_{マイズすることが可能}

テンプレートはインポート/エクスポート可能

ADOMごとに横展開が可能なので、導入がしやすい

25

内部ファイアウォール(ISFW) – これまでのFirewallと何が違う?

Deployment

ISFW

NGFW/UTM 中規模～大規模

データセンターFW キャリアクラスFW

もっとも重要な用途 内部セグメントの可視化 と防御 外部から、もしくは内部からの脅威に対して可視 化と防御 外部から、もしくは内部 からの脅威に対してユー ザーレベルの可視化と防 御 ハイスループット、低遅 延 キャリアサービス向けカスタマイズドセキュリ ティセット 設置レイヤー アクセス（エッジ） レイヤー

Internet Gateway Core Layer/DC gateway さまざま

ネットワーク形式 トランスペアレント

構成 NAT/Route構成 NAT/Route構成 NAT/Route構成

必要なポート構成 高いポート密度 ギガビット／10ギガビッ トポート 高密度のギガビットPoEポート、無線APの統合コ ントロール ハードウェアアクセラ レーションを利用する高 密度の10/40/100ギガ ビットポート ハードウェアアクセラ レーションを利用する高 密度の10/40/100ギガ ビットポート

必要なセキュリティ機能 Firewall, IPS, ATP, Application Control

個人認証Firewall, VPN, IPS, Application Control,

デバイス認識、個人認証 を含む統合セキュリティ 環境

Firewall, DDoS protection

Firewall, CGN, LTE & mobile security

その他 迅速な展開、細かく設定

をする必要はないのが好 ましい

FortiGate-VMXでさらに一歩進んだ内部ファイアウォール



SDDC向けVMware NSXを使用した専用セキュリティソリューション



最新のFortiOSがサポートする次世代のセキュリティ機能を提供

»

侵入検知・防御

»

アプリケーション制御

»

アンチウイルス

»

URLフィルタリング

»

アンチマルウェア



FortiGuard™に支えられたリアルタイムでのサイバーインテリジェンス



実績ある仮想ドメイン（VDOM）を使用したマルチテナント機能

»

MSSP

»

大型エンタープライズ

FortiGate-VMXとは

27

顧客、パートナーそしてユーザーは、データ

ベース、ウェブそしてアプリケーションサーバ

の調整を弾力的に行うことが可能な一方で、

データのプライバシーと、FortiGate-VMXおよび

NSXへの準拠をシームレスに保証

要件 サービスの挿入および変更を通じた、セキュ リティサービスのオーケストレーション 適用範囲内のリージョン全体に対して、セ キュリティサービスの自動調整およびプロビ ジョニングを 実施 新たなアプリケーションに対するリアルタイ ムの保護 分散型セキュリティールールをクラスタおよ びデータセンターをまたいで設置

ホストするウェブサーバー、データベース、

アプリケーション・サーバーなど

FortiGate-VMX セキュリティノード

vSphere

FortiGate-VMX セキュリティノード

vSphere

FortiGate-VMX セキュリティノード

vSphere

NSX Manager

FortiGate Service Manager

さらに一歩進んだ内部ファイアウォール

内部セグメンテーションファイアウォールの

機能を拡大

1.

従来通りNorth-Southのトラフィックを

保護

2.

ネットワーク内部のゾーン間およびデー

タセンター内の保護を追加

3.

同一ゾーン内のVM間トラフィックを保護

NSX Manager

FortiGate Service Manager

インターネット クラウド 内部 プライベート クラウド Edge Gateway Data Center ISFW ISFW ISFW ISFW 外部 内部 ハイパーバイザー ISFW SG3 SG2 SG1 FortiGate-VMX セキュリティノード

対策の基本：多重防御を実現するセキュリティ機能

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

スパム・メールへの対応で余計なコン

テンツを取り込まないようにし、業務

を効率化

Web フィルタリングで危険なサイト

への接続を防ぐ

IPSは内部からも外部からも危険な通

信を止める、

アンチウイルスで既知の危険なコンテ

ンツが入ってくるのを防ぐ

用途を限定し、リスクの軽減や接続先

のコントロールを行う

31

標的型攻撃の多くはメールというトレンド

スパム

狙い澄ました

釣りメール

スパム

_{アンチスパム}

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

セキュリティ教育の甲斐なく、踏んでしまった場合

スパム

_{狙い澄ました}

釣りメール

悪意あるリンク

悪意ある

Webサイト

スパム

悪意あるリンク

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

33

うっかり踏んだリンクがまだ生きていて攻撃を仕掛ける

攻撃コード

攻撃コード

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

スパム

悪意あるリンク

スパム

悪意あるリンク

狙い澄ました

釣りメール

悪意ある

Webサイト

リンク先からブラウザの隙を突いてマルウェアを取りに！！

スパム

悪意あるリンク

スパム

悪意あるリンク

狙い澄ました

釣りメール

悪意ある

Webサイト

攻撃コード

攻撃コード

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

35

マルウェアが未知の物で止まらなかった？！

マルウェア

マルウェア

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

スパム

悪意あるリンク

スパム

悪意あるリンク

狙い澄ました

釣りメール

悪意ある

Webサイト

攻撃コード

攻撃コード

Botnetとの通信を検知してデータ漏洩を止める！

ボット・コマンド &

漏洩情報

コマンド &

コントロール・センター

ボット・コマンド &

漏洩情報

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IP レピュテーション/DLP

メールでの盗難には

スパム

悪意あるリンク

スパム

悪意あるリンク

狙い澄ました

釣りメール

悪意ある

Webサイト

攻撃コード

攻撃コード

マルウェア

マルウェア

37

多層防御を支えるFortiGuard：一つの検体から全ての対策を

マルウェアの

パターン

ウイルス

対策機能

Botnet/C&Cの

IPアドレス、ポート

C&Cサーバーの

URL

ボットネット（ウイルス）

の通信方式

スパム、フィッシング

対策機能

Webフィルタリング

機能

アプリケーション識別

によるボットネット

対策機能

発見した

未知検体

FortiSandbox/FortiCloudSandbox、

FortiGuard Premier Serviceからの検

体、 FortiGuard Labでの発見など

FortiGuard labs

サンドボックスを追加して検知率を向上

攻撃コード

マルウェア

ボット・コマンド

& 漏洩情報

サンドボックス

スパム

悪意あるリンク

狙い澄ました

釣りメール

悪意ある

Webサイト

ボット・コマンド

& 漏洩情報

スパム

悪意あるリンク

攻撃コード

マルウェア

アンチスパム

Webフィルタリング

IPS

アンチウイルス

アプリケーション制御/

IPレピュテーション

コマンド &

コントロール・センター

標的型攻撃対応は心理戦も含む総力戦である

クラッカー

41

なぜサンドボックスが必要か？

•

既存のパターン照合だけのAnti Virusで拾いきれない

»

誰でも簡単に作成が可能なゼロデイマルウェア

»

マルウェア本体の実行だけが感染手段ではなくなってきた

»

コードエミュレーションとて完璧ではなさそう

•

多段型攻撃の幕開け

•

過去の事件に見るソーシャルエンジニアリングによる弱点

では実際に実行させてみよう！（ただし仮想環境で）

→サンドボックスの登場

事故報告書の作成

ウイルス対策ソフト

ベンダーに、

ワクチン製造依頼

代替PCの

用意

ウイルス感染PCを

隔離

ネットワークログ調査

（他のPCの感染調査）

サンドボックスで検知させた後の運用管理工数の

サンドボックスのみであれば片手落ち

43

FortiSandboxの使い方 with FortiGate



Sandboxの投資効果を倍増して効果的にリスクを抑える事が可能



自動化により管理負担を大幅に軽減

ネットワーク

FortiGate

FortiGateの機能でファイル をサブミット FortiGuard 解析結果を回答、ハイリスクな コンテンツは次から止めてくれる

FortiSandbox

そして、FortiGuardから配信されるアップデートに含まれる

FortiSandboxの使い方 with FortiMail



ハイリスクなコンテンツは

「最初から配送されない」

FortiMail

Mailの配送を保留してまずは SandBoxでスキャン、通常 のAntiVirus AntiSPAM 等ももちろん適用される FortiGuardの諸機能は全て 利用可能で AntiSPAMは特に 平時から有効 FortiGuard

FortiGate

もちろんFortiGuardからもアップデートされる 安全が確認された物のみ リリースされ、配送

Internet

もっと内部ネットワーク

FortiSandboxで

ファイルを検査

FortiSandboxから

共有ファイルを検査

新しいISFW

ファイアウォール、侵入防御、

アンチマルウェア、ATP

外部

ファイアウォール、侵入防御、アンチマルウェ

ア、ATP、アプリケーション識別、Web フィ

ルタリング、アンチスパム、VPN .etc

内部ネットワーク

ログ＆ レポート

Fortinetと共に最適なセキュリティを！