PowerPoint プレゼンテーション

(1)

標的型攻撃対策と

スマートデバイス管理を強化した

FortiOS 5.0 のご紹介

フォーティネットジャパン株式会社

www.fortinet.co.jp

(2)

(3)

ネットワーク構築の傾向

• 10Gを越える帯域へ発展

• ユビキタス・ワイヤレス・ネットワーク

• スマートデバイス/BYOD

• ビデオと音声

• IPv6 ネットワーク

(4)

セキュリティ対策の傾向

• 脅威のスケールが拡大

• トラフィックの可視化

• 検知の精度向上

• さまざまなポリシー適用が必要

• ログの増加

(5)

変わらないもの

_…….

• IT予算

»

現状維持から削減傾向

• 部門の規模

»

現状維持から縮小傾向

• IT部門によって管理されて

インターネット接続されている

デバイスの数は、2年毎に倍増

(6)

FortiOS 5.0のハイライト

標的型攻撃との戦い

 クライアント・レピュテーショ

ン

 UTMエンジンの拡張

 ボットネット対策

よりセキュア

PCとスマートデバイスを

セキュアに



デバイスのID管理



デバイスベースのポリシー



エンドポイントコントロール

より管理性

を高める

スマートポリシーの策定



セキュアなゲストアクセス



可視化とレポーティング



アイデンティティ中心の

ポリシー実行

より効率良く

(7)

FortiOS 5.0の想定ユーザ

• エンタープライス、官公庁、地方自治体向け

»

標的型攻撃対策の強化

»

スマートデバイス/BYODの、より安全な社内ネットワークへのアクセス

の実現

»

エンドポイントコントロール

»

可視化とレポートによる管理性の向上

»

無線LANのメッシュネットワークによる、大規模導入のサポート

• データセンター、サービスプロバイダ向け

»

_{IPv6の機能強化}

(8)

(9)

 標的型攻撃対策

 スマートデバイス/BYOD

 エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

感染端末

FortiClient 5.0

社内

リモートサイト

FortiGuard

FortiOS 5.0のセキュリティ強化

(11)

 標的型攻撃対策



スマートデバイス/BYOD



エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

(12)

(13)

(14)

AVエンジン V2.0

ローカル・サンドボックス

ライトウェイト

(15)

ローカル

サンドボックス

ローカル・サンドボックス

OSに非依存の

ファイルAnalysis

Java Script、

Flash、 PDFなど

のマルウェア・イン

ジェクションを

検出・ブロック

ライトウェイト

仮想マシンエミュレータ

(16)

OSに非依存の

ファイルAnalysis

Java Script、

Flash、 PDFなど

のマルウェア・イン

ジェクションを

検出・ブロック

ライトウェイト

仮想マシンエミュレータ

_{Webアプリなどの}

マルウェア検知

ローカル・サンドボックス

(17)

(18)

!

FortiGate

FortiCloud

①疑わしいファイル

クラウド・サンドボックス

クラウド

(19)

!

FortiGate

不審な実行ファイルなどを

解析のため送信

疑わしいファイル

クラウド

サンドボックス

②

FortiCloud

クラウド・サンドボックス

(20)

!

FortiGate

FDN

疑わしいファイル

サンドボックス

③エミュレート、シグネチャ生成

Full 仮想マシンエミュレータ

エミュレート

・各種OS

（Win/Mac/Linux）

・パッチレベル

・Application Version

Scoring、Classification

・ネットワーク Activity

・API call

・ファイルシステム変更

・permission変更

・メモリ、レジストリ変更

全ファイルタイプ

をエミュレート

検査（※）

※全ファイルタイプ

クラウド・サンドボックス

(21)

!

FortiGate

疑わしいファイル

④

シグネチャダウンロード

FortiCloud

クラウド・サンドボックス

(22)

!

疑わしいファイル

⑤以降は防御

FortiCloud

クラウド・サンドボックス

FortiGate

(23)

(24)

FortiGate

①ユーザの気付か

ないアクセスが

徐々に開始

悪意のあるサイト？

感染端末？

クライアント・レピュテーション

(25)

FortiGate

①ユーザの気付か

ないアクセスが

徐々に開始

悪意のあるサイト？

感染端末

ID識別

ポリシー

エンフォースメント

複数のスコアベクトル

振る舞いベースのレピュテーション

脅威ステータス

リアルタイム、相対評価、

ドリルダウン、相関分析

スコアの計算

②

③

潜在的な

ゼロデイ攻撃を

識別

クライアント・レピュテーション

(26)

FortiGate

①ユーザの気付か

ないアクセスが

徐々に開始

悪意のあるサイト？

感染端末

複数のスコアベクトル

振る舞いベースのレピュテーション

脅威ステータス

リアルタイム、

相対評価、

ドリルダウン、

相関分析

②

③

潜在的な

ゼロデイ攻撃を

識別

• 外部への不正なコネクションの試み

（例：DNSに存在しないdomainへアクセス、

route tableにないIPへアクセス、HTTP 404 errorsなど）

• セキュリティポリシーによるブロック歴

•各Protection（ IPS、マルウェア、

ApplicationControl）による検知歴

スコアリング

• Webアクセスのアクティビティ

• 疑わしい地域（国）へのアクセス

など

クライアント・レピュテーション

(27)

FortiGate

悪意のあるサイト？

④疑わしいクライアント情報を

管理者へレポーティング

感染端末のアクティビティ

をトラッキング、検知

感染端末？

クライアント・レピュテーション

(28)

感染端末

振る舞い監視・記録

複数のスコアベクトル

リアルタイム、相対評価

ドリルダウン、相関分析

クライアント・レピュテーション

• 振る舞いを監視・記録することで、

デイバイスに潜む未知のマルウェアを検出

デバイスの認識

振る舞いの評価

脅威の分析/レポート

(29)

(30)

FortiGate

①AVシグネチャ

②C&Cサーバへ

アクセス

感染端末

③拡張AVエンジンで

遮断！

_FortiGuard

ボットネット対策

• フローベースのアンチウイルス・シグネチャ

(31)

Ｃ＆Ｃサーバ

②URL フィルタリング・

データベース

端末

③URL フィルタリングで

遮断！

①ボットネットのURLへ

誘導されるユーザ

ボットネットサイト:

URL

FortiGuard

ボットネット対策

• URLフィルタリング

FortiGate

(32)

①Applicationシグネチャ

IPSシグネチャ

②C&Cサーバへ

通信、コマンド

感染端末

③特有の通信コマンド、

挙動を見て遮断！

FortiGuard

ボットネット対策

• アドバンスド・アプリケーション制御と不正侵入検知/防御（IPS）

FortiGate

(33)

(34)

FortiGate

管理者は、ファイルに

ウォーターマークを付けて管理

②仕事で必要なため、

社員がダウンロード

Water Mark

③何らかの原因で

外部へ送信

④FortiGateが発見して

外部流出を防御！

①Fortinet ウォーターマーキングソフトウェア

ウォーターマーク（情報漏洩防止：DLP）

(35)

(36)



標的型攻撃対策



スマートデバイス/BYOD



エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

(37)

スマートデバイス/BYOD

管理性をより高め

PCとスマートデバイスをセキュアに

• デバイスベースのポリシー

• エンドポイントコントロール

(38)



デバイスタイプの識別、デバイスコン

テキスト情報の可視化



デバイスやデバイスタイプに基づいた

FWポリシーの適用



スマートデバイス/BYODの安全性を

高める環境構築

デバイスの識別

• デバイス＆OSフィンガープリント

• デバイスの分類＆マネジメント

• デバイスコンテキストの表示

デバイスベースポリシー

• デバイス／デバイスグループに対し

てFWポリシーを適用

スマートデバイス/BYOD環境に

求められる要素



デバイスの識別



デバイス毎のセキュリティポリシー制御

デバイス識別

(39)

見える化

_{… Control IT}

デバイス識別ポリシー

エージェントレス

エージェントベース

デバイス識別

（アイデンティフィケーション）

アクセスコントロール

セキュリティ

アプライアンス

UTMプロファイル

認識／識別

スマートデバイス

/BYOD環境のセキュリティ

• デバイス／デバイスグループに対して異なるセキュリティポリシーを設定

• Windows ADやユーザ認証環境との連携でユーザとデバイスの可視化

デバイス識別

(40)

デバイスごとのポリシー

デバイス識別ベースの

セキュリティーポリシー

• デバイスまたはデバイスグ

ループにアクセスポリシーと

プロファイルを割り当てる

• デバイスは自動的にデバイ

スグループに分類される

• カスタムデバイスグループ

を定義することもできる

ポリシー

発信

元

デバイスグループ #1 デバイス #1 デバイス #2 UTM プロファイル #1 UTM プロファイル #2 サービス Port #1 サービス Port #2 宛先 #1 宛先 #2

(41)

ユーザ認証と組み合わせ①

ユーザ認証との組合せ

• Windows AD 等のユーザ認証との組合せによって

ユーザ個々の利用デバイスを可視化できる

(42)

ユーザ認証と組み合わせ②



アンチウィルス

Webフィルタ

リモートVPN

アプリケーション

ファイアウォール

脆弱性スキャン

二要素認証

WAN

最適化*

統合クライアント FortiClient 5.0

（エンドポイントコントロール）

(43)



標的型攻撃対策



スマートデバイス/BYOD

 エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

(44)

FortiClient 5.0 – クライアントのコントロール –

FortiGateからFortiClientを

コントロール

• クライアント端末の状態チェック

• “Off-net” セキュリティポリシーの強制

• VPN設定プロビジョニング

• エンドポイントロギング

クライアント端末の状態チェック

（Captive Portal）

• FortiClientがインストールさ



クライアント端末が一定のセキュリ

ティ要件を満たすよう強制



セキュリティとVPNの設定を

FortiGateから配布



クライアントの行動をロギング

(45)

FortiClient 5.0 -Off-Net(Off-FortiGate)プロテクション

インターネット

LAN

OFF

ON

• FortiClientは自身を

FortiGateに登録し、

セキュリティポリシー

を受け取り実行

• FortiClientは最後に

受け取ったセキュリテ

ィポリシーとVPN設

定を実行

• FortiGateに「未接続時：

off-net」も「接続時」と同

等のセキュリティを提供

• FortiGateのアプリケーシ

ョンおよびWebフィルタプ

ロファイルを利用可能

1

2

(46)

エンドポイントセキュリティ

• 端末のポリシー配布用プロファイル

»

アンチウィルスリアルタイムスキャンの

強制

»

アプリケーションファイアウォールの強

制

»

Webフィルタの強制

»

脆弱性スキャンの強制

»

VPN設定

»

ロギング

• FortiGateのUTMプロファイルを利

用可

»

アプリケーションコントロール

»

FortiClient 5.0

–エンドポイントプロファイル–

FortiGate設定画面

(47)

FortiClient 5.0

–デバイス識別–

検知テクニック

• FortiClient無しの場合

»

TCPフィンガープリントによるOSの特定

»

MACアドレスベンダーコードによるデバイス特定

»

FortiGateにL2で接続していなければならない

• FortiClient有りの場合

»

FortiClientがOS、デバイスを特定

INTERNET DMZ FC FC

FortiClient無し

FortiClient有り

デバイスベースポリシー

(48)



標的型攻撃対策



スマートデバイス/BYOD



エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

(49)

ユーザ、OS、デバイスベースの可視化

デバイス情報を識別し、管理＆可視化を向上させます。

また資産の投資に対する判断材料として使うこともできます。

• 各 OSの利用比率を確認し脆弱性対応の指標に！

• デバイス識別を利用しスマートデバイス/BYOD管理向上

に！！

• ユーザ名からトラフィックを判断！！！

※AD以外に SMTPなど Mail情報からも

識別可能！！！

端末ごとに詳細な出力！！

(50)

脅威の詳細確認（FortiGuard Encyclopedia）

• FortiGuardセンターに照会せずローカルで説明が出力できま

す。

(51)

レポート

• 通信の宛先を国別で出力します。

(52)



標的型攻撃対策



スマートデバイス/BYOD



エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

(53)

機能

対応

ファイアウォール

Yes

ウイルス対策

Yes

Web フィルタリング

Yes

情報漏洩防止（DLP）

Yes

E-mail フィルタリング

Yes

VoIP

Yes

ICAP

Yes

不正侵入検知/防御（IPS）

Yes

アプリケーション制御

Yes

Administrative Access

（HTTP/HTTPS/PING/SSH/TELNET/SNMP/FMG）

Yes

IPv6 セキュリティ機能対応一覧

New

(54)



標的型攻撃対策



スマートデバイス/BYOD



エンドポイントコントロール



可視化



IPv6機能強化



無線LANの新機能

(55)

無線LANの新機能 -1-

• 無線LAN IDS

»

FortiWiFi/FortiAPに無線

LAN IDSプロファイルを適

用し、無線LANを通した

攻撃や侵入を防御

FortiWiFi/FortiAP FortiGate （Controller）攻撃

対応する攻撃タイプ例

Unauthorized Device

Detection

未認証デバイスの検知

Rogue/Interfering AP

Detection

悪意のあるAPや電波干渉を引き

起こすAPの検知

Adhoc Network

Detection and

Containment

アドホックネットワークの検知、接

続の停止

Wireless Bridge

Detection

ワイヤレスブリッジの検知

Misconfigured AP

Detection

不適切な設定がされたAPの検知

Weak WEP Detection

脆弱なWEP利用の検知

Multi Tenancy

Protection

マルチテナント環境での保護

(56)

無線LANの新機能 -2-

• 無線メッシュ

»

FortiGate/FortiWiFi/FortiAPをメッシュネットワーキングで接続すること

により、広いエリアにまたがる無線LANを低コストで展開することができ

ます

• ローカルブリッジ

»

FortiAPの無線LANを有線LANへブリッジすることで、有線/無線クライ

アントを同一ネットワークに配置できます。

»

コントローラはリモートからFortiAPを管理できます。

(57)