SonicWallが実現する
「総務省テレワークセキュリティガイドライン第4版」に
遵守したサイバーセキュリティ対策
ソニックウォール・ジャパン株式会社
セキュリティエンジニア 小田 真也 様
2020年6月25日
本セッションの目的
リモートワークをセキュア
に
今回参考にしているドキュメント
総務省のウェブサイトではリモートワークの導入・活用に
役立つ情報が多く公開されている
テレワークセキュリティガイドライン 第4版 総務省 別紙3 https://www.soumu.go.jp/main_sosiki/joho_tsusin/telework/このセッションでは、
テレワークセキュリティガイドライン第4版
を基に
サイバーセキュリティ対策
に焦点をあて、
SonicWall
がどのようにして対策できるかを紹介する
リモートワークを実現するための3つの要素
技術
ルール
人
・認証 ・制御
・検知 ・防御
・情報セキュリティポリシー
・各種手順書
・ルールの徹底
・ルールの教育
・問い合わせ窓口の整備
リモートワークを実現するための3つの要素
技術
ルール
人
・認証 ・制御
・検知 ・防御
・情報セキュリティポリシー
・各種手順書
・ルールの徹底
・ルールの教育
・問い合わせ窓口の整備
リモートワークを実現させる6つのパターン
パターン① パターン② パターン③ パターン④ パターン⑤ パターン⑥ 方式 リモートデスクトップ方式 仮想デスクトップ方式 クラウド型アプリ方式 セキュアブラウザ方式 アプリケーションラッピング方式 持ち帰り方式会社PCの 概要 オフィスにある端末を遠隔操作 テレワーク用の仮想端末を遠隔操作 クラウド上のアプリケーションを社内外から利 用 特別なブラウザを用い て端末へのデータの保 存を制御 テレワーク端末内への 保存を不可とする機 能を提供 オフィスの端末を持ち 帰りテレワーク端末とし て利用 端末に電子 データを保存? 保存しない 保存しない どちらも可 保存しない 保存しない 保存する オフィスの端末と 同じ環境? 同じ テレワーク専用の環境 クラウド型アプリに関しては同じ ブラウザ経由で 利用する場合に 関しては同じ テレワーク専用の 環境 同じ クラウドサービス 利用する? しない しない する する する/しないどちらも可 する/しないどちらも可 BYOD親和性 一定の条件のもとで可 一定の条件のもとで可 一定の条件のもとで可 一定の条件のもとで可 一定の条件のもとで可 -高速インター ネット回線の必 要性 必須 必須 望ましい 望ましい 望ましい 不要パターン① リモートデスクトップ方式
社内システム
インターネット
・オフィスと同じ環境が利用できる
・端末に作業したデータが保存されない
・インターネット速度が十分でなければ操作性が低下
・通信はTLSだが認証がID/PWのみ
・何度PW入力を間違えてもロックしない
オフィスに設置の端末 リモートワーク端末 ストレージGood
Bad
パターン② 仮想デスクトップ方式
社内システム
インターネット
VDIサーバ リモートワーク端末 ストレージ・オフィスと同じ環境が利用できる
・端末に作業したデータが保存されない
・インターネット速度が十分でなければ操作性が低下
Good
Bad
パターン③ クラウド型アプリ方式
社内システム
インターネット
リモートワーク端末 ストレージインターネットに接続できる端末であれば
どこからでもアクセスすることができる
SaaSの電子データをリモートワーク端末上に保存で
きてしまう場合がある
Good
Bad
オフィスに設置の端末SaaS
パターン④ セキュアブラウザ方式
社内システム
インターネット
リモートワーク端末 セキュアブラウザ ストレージ・インターネットに接続できる端末であれ
ばどこからでもアクセスすることができる
・ファイルダウンロード/印刷などの機能を
制限することができる
ブラウザ経由で利用できるものに限られる
Good
Bad
オフィスに設置の端末SaaS
パターン⑤ アプリケーションラッピング方式
社内システム
インターネット
リモートワーク端末・リモート端末内に電子データを残さない
・インターネット速度の影響を受けにくい
・あんまり聞いたことがナイ
Good
Bad
オフィスに設置の端末 ストレージ アプリケーションラッピング で作成したデータパターン⑥ 会社PCの持ち帰り方式
社内システム
インターネット
オフィスで利用している ものと同じ端末・都度PCを持ち帰る必要がある
・機密データを持ち歩く
Good
Bad
ストレージ・インターネット速度に影響受けにくい
・普段使用しているPCなので操作性良い
VPN経由で社内システムにアクセス
リモートワーク方式のまとめ
・どの方式が優れているか劣っているかではなく、
社内システム環境に応じて
取
捨選択する
・”コスト”や“導入のしやすさ”だけでなく
”セキュリティリスク”
の面も考慮して
方式を決定する必要がある
パターン① パターン② パターン③ パターン④ パターン⑤ パターン⑥ 方式 リモートデスクトップ方式 仮想デスクトップ方式 クラウド型アプリ方式 セキュアブラウザ方式 アプリケーションラッピング方式 持ち帰り方式会社PCの 概要 オフィスにある端末を遠隔操作 テレワーク用の仮想端末を遠隔操作 クラウド上のアプリケーションを社内外から利 用 特別なブラウザを用いて 端末へのデータの保存 を制御 テレワーク端末内への 保存を不可とする機能 を提供 オフィスの端末を持ち帰 りテレワーク端末として 利用リモートワークにおけるセキュリティ脅威と対策
ガイドラインには経営者、システム管理者、テレワーク勤務者に分けて、それぞれの脅威に対して対策が記載されてい
る。今回のセッションでは情報セキュリティでなく、サイバーセキュリティに焦点を当てて紹介していく。
3者の立場から見るセキュリティ対策
経営者が実施すべき対策
システム管理者が実施すべき対策
リモートワーク勤務者が実施すべき対策
5項目。ポリシー・ルールの策定や勤務者への教育、事故
の発生に備えた体制整備、予算の割り当て
18項目。ポリシーに沿ったシステム変更・構築。システム
監査。
20項目。ポリシー・ルールの徹底。
システム管理者が実施すべき対策 1/2
大項目 実施すべき対策内容 情報セキュリティ保全対策の大枠 1 システム全体を管理する重要な立場であることを自覚し、情報セキュリティポリシーに従ってテレワークのセキュリティ維持に関する技術的対策を講じるとともに定期的に実施状況を監査する。 2 情報のレベル分けに応じて、電子データに対するアクセス制御、暗号化の要否や印刷可否などの設定を行う。 3 テレワーク勤務者の情報セキュリティに関する認識を確実なものにするために、定期的に教育・啓発活動を実施する。 4 情報セキュリティ事故の発生に備えて、迅速な対応がとれるように連絡体制を確認するとともに、事故時の対応についての訓練を実施する。 悪意のソフトウェアに対する対策 5 フィルタリング等を用いて、テレワーク勤務者が危険なサイトにアクセスしないように設定する。 6 テレワーク勤務者がテレワーク端末にアプリケーションをインストールする際は申請させ、情報セキュリティ上の問題がないことを確認した上で認める。 7 貸与用のテレワーク端末にウイルス対策ソフトをインストールし、最新の定義ファイルが適用されているようにする。 8 貸与用のテレワーク端末のOS及びソフトウェアについて、アップデートを行い最新の状態に保つ。 9 私用端末をテレワークに利用させる際は、その端末に必要な情報セキュリティ対策が施されていることを確認させた上で認める。 10 ランサムウェアの感染に備え、重要な電子データのバックアップを社内システムから切り離した状態で保存する。 11 金融機関や物流業者からの事務連絡を装うなどの不審なメールが迷惑メールとして分類されるよう設定する。システム管理者が実施すべき対策 2/2
大項目 実施すべき対策内容 端末の紛失・盗難に対する対策 12 台帳等を整備し、貸与するテレワーク端末の所在や利用者等を管理する。 重要情報の盗聴に対する対策 13 テレワーク端末において無線LANの脆弱性対策が適切に講じられるようにする。 不正アクセスに対する対策 14 社外から社内システムへアクセスするための利用者認証について、技術的基準を明確に定め、適正に管理・運用する。 15 テレワーク勤務者がインターネット経由で社内システムにアクセスする際のアクセス方法を定める。また、社内システムとインターネットの境界線にはファイアウォールや ルータ等を設置し、アクセス状況を監視するとともに、不必要なアクセスを遮 断す る。 社内システムへのアクセス用のパスワードとして、強度の低いものを用いることがで きないように設定する。 16 社内システムへのアクセス用のパスワードとして、強度の低いものを用いることができないように設定する。 外部サービスの利用に対する対策 17 メッセージングアプリケーションを含むSNSに関する従業員向けの利用ルールやガイドラインを整備し、その中でテレワーク時の利用上の留意事項を明示する。 18 ファイル共有サービス等のパブリッククラウドサービスの利用ルールを整備し、情報漏えいにつながる恐れのある利用方法を禁止する。リモートワークにおけるセキュリティ脅威とリスク
ストレージSaaS
業務アプリマルウェア感染
マルウェア蔓延
情報漏洩
不正侵入・不正
アクセス・踏み台
盗聴・改ざん
端末の紛失・盗難
不正ログイン
情報漏洩
脅威 脅威 脅威 脅威インターネット
脅威SonicWall セキュアモバイルアクセス
リモートワーク端末SonicWall SMA
SaaS
アプリケーション
SSL-VPN接続
豊富な認証・柔軟な認可
業務アプリ AD オフィスに ストレージ 設置の端末クラウド型
マルチエンジン
サンドボックス
サンドボックス解析
スマートフォンやタブレットなど多種多様なデバイスから社内リソースへ安全に
アクセスが可能。リモートユーザに快適でセキュアなネットワーク環境を提供
シリーズラインナップ
小規模
中規模
大規模
※設定が簡単
※きめ細やかな制御
SMA500v
最大同時接続250 仮想/クラウド提供SMA210
最大同時接続50 オンプレ提供SMA410
最大同時接続250 オンプレ提供SMA7210
最大同時接続10000 オンプレ提供SMA8000v
最大同時接続5000 仮想/クラウド提供 同時 接続数SMA1000シリーズ
エンタープライズモデルSMA100シリーズ
SOHOモデルSMA6210
最大同時接続2000 オンプレ提供SonicWall SMA100シリーズ
SMA 210
SMA 410
SMA 500v
提供形態
物理アプライアンス
物理アプライアンス
AWS,Azure対応
仮想アプライアンス
想定用途
従業員50名程の中小企業
従業員250名程の中規模企業
従業員250名程の中小企業
同時接続ユーザ数
最大50ユーザ同時接続
最大250ユーザ同時接続
最大250ユーザ同時接続
付属機能
アプリケーションオフロード, ブックマーク
アプリケーションオフロード, ブックマーク,
高可用性
アプリケーションオフロード, ブック
マーク, 容易な展開
利用可能OS
Windows, Mac OS, Linux, Android, iOS, Chrome OS
付加サービス(有償)
・WAF– Webベースの脅威を検知しWebアプリケーションを守る機能。
・クラウドサンボックス - SonicWall独自のクラウド型サンドボックスエンジンと連携し悪性ファイルの侵入を防御
・スパイクライセンス – 災害時など急な利用増に対応するため、一時的に同時接続数を最大にするライセンス。
・ダイナミックサポート – 8x5または24x7、1年、2年、3年といったサポートオプション
どんなデバイスでも、どんなOSでも
あらゆるデバイスから1つのURLでアクセスでき、Webアプリケーションだけでなくクライアント/サーバアプリへのアクセスも提供
• Microsoft Windows
• Apple Macintosh
• Linux OS
• Apple iOS
• AndroidOS
SSL-VPNのアクセス方法
Webベース
ブラウザアプリケーションが利用可能
– エージェントのインストール不要 – ポータルサイト上に登録したブックマークを経由し、Webベースのアプリケーション (OWA、SharePoint、Webメール等)にアクセス可能。 – アプリケーションオフロード機能により、複雑なWebアプリケーションも利用可能。 – ActiveX、Java、HTML5を利用したRDP接続。 – IE、Firefox、Chrome、Safariをサポート。– iOS & Android、 Window PhoneのActiveSyncをサポート。
NetExtender Mobile Connect ポータルサイト
トンネルベース
全てのアプリケーションが利用可能
– エージェントのインストールが必要。 – クライアント/サーバベースのアプリケーションを含む社内リソースを全て提供。 – NetExtender:Windows、Mac OS、Linuxをサポート。 – Mobile Connect:iOS、Androidといったスマートデバイスをサポート。Webベース接続方式:リモートデスクトップ
Webブラウザだけでリモートデスクトップが使用可能。WindowsおよびMac OSをサポート。
リモートユーザ
機能
利点
SMA
現時点では、日本語キーボードレイアウトに対応していないため、USキーボードレイアウトで利用する。 回避策:HTML5-RDPではなく、Native RDP を利用するSSL-VPNクライアントソフトのインストールが必要なし。ネイティブRDPより高速に動作。
HTML5 Native ブラウザ内でクリックだけHTMLリモートデスクトップ
オフィスにあるデバイス
認証:電子メールによるワンタイムパスワード
追加オプションではなく、標準機能として無償でご利用可能
①ID/PW認証
②ワンタイムパスワード送信
③ワンタイムパスワード認証
SonicWall SMA
リモートアクセスデバイス
認証:スマホアプリによるワンタイムパスワード
これも追加オプションではなく、標準機能として無償でご利用可能
認証:各種認証サーバとの連携
ActiveDirecory、LDAP、Radiusとの連携が可能
①ID/PW認証
ActiveDirecory,
LDAP
③認証OK
SonicWall SMA
リモートアクセスデバイス
RADIUS
認可:エンドポイントコントロール
デバイスの状態に応じてリモート接続のアクセスを制御。OSやOSバージョン、アンチウイルスソフトのイン
ストール有無といったしきい値を設定することができる。
・リモート接続してくるデバイスの信頼性を担保することができる。
・リモート接続を許可するデバイス「会社支給PC」と信頼されないデバイス「個人利用PC」を識別して、
接続を制御することが可能
リモートユーザ
機能
利点
Windows10
OK
アンチウイルス
OK
Windows7
NG
アンチウイルス
NG
・Windows10
・アンチウイルス有
・Windows7
・アンチウイルス無
SMA
社内サーバ
認可:デバイス管理機能
リモートアクセスするデバイスのHDDが持つシリアル情報や、SSL-VPNクライアントソフトがデバイス毎に
生成する固有情報をSonicWallに登録することで、そのデバイスのみがSSL-VPNアクセスできる
MACアドレスを利用したデバイス制御が一般的だが、MACアドレス情報は通信を覗けば簡単に搾取
できる情報であり、なりすましも容易。SonicWallでは簡単に搾取できないデバイス情報を利用して、
より強固な認証を提供する。
リモートユーザ
機能
利点
Mc9x4oxw4
Jc294rmw
a2m0ewe
9jnej4k8b
HDDのシリアル
“
Jc294rmw
”
アプリが生成した
固有情報
“an5kaos2m”
SMA
社内サーバ
接続を許可するデバイス登録
DEEP LEARNING ALGORITHM Machine Learning Artifact 1 Artifact 2 Artifact 3 Artifact 4 Data File MS Office PDF Streaming Data Classified Malware RANSOMWARE Locky RANSOMWARE WannaCry TROJAN Spartan UNKNOWN
SonicWall Capture ATP CLOUD CAPTURE SANDBOX
Hypervisor Good Bad BLOCK until SENT Emulation Virtualization BLOCK
分析
120億のマルウェア(2018年)
Memory洗練された攻撃の防御
・ PDF/MS Officeを介した攻撃
・ ファイルレスマルウェアによる攻撃
・ ランサムウェア攻撃
Network Security Appliances WiFi Cloud Email IoT Endpointsクラウド型マルチサンドボックスエンジンとの連携
セキュアリモートアクセス 機能詳細 1/2
項目
SMA100シリーズ
SSL-VPNトンネル接続
フルトンネル
〇
ポートマッピングでのTCPアクセス
〇
トンネルオール/スプリットトンネル
〇
ブックマーク
ターミナルサービス (RDP)
〇
仮想ネ ッ トワークコンピューティング(VNC)
〇
Citrix Portal (Citrix)
〇
ウェブ (HTTP)
〇
セキュアウェブ (HTTPS)
〇
ファイル共有 (CIFS)
〇
ファイル転送プロトコル (FTP)
〇
SSHファイル転送プロトコル (SFTP)
〇
Telnet
〇
セキュアシェル (SSH)
〇
ファイル共有
〇
SSLオフローダ アプリケーションオフローダ
〇
セキュアリモートアクセス 機能詳細 2/2
項目
SMA100シリーズ
エンドポイントコントロール
(認可)
デバイスID/シリアル
〇
アンチマルウェア
〇
パーソナルファイアーウォール
〇
アプリケーション
〇
クライアント証明書
〇
デレクトリ/ファイル
〇
Windowsレジストリ
〇
Windowsドメイン
〇
OSバージョン
〇
認証
ID/パスワード (ローカルDB)
〇
ID/パスワード (認証サーバ連携)
〇
メールによるワンタイムパスワード
〇
スマホアプリによるワンタイムパスワード
〇
クライアント証明書認証
〇
ウェブアプリケーションファイアーウォール(WAF)連携
〇
クラウドサンドボックス CaptureATP連携
〇
プロファイル種別 代表的な用途 機能説明 代表的なアプリケーション アンチマルウェア ポリシーに準拠 約200社のソフトウェアを検出でき、バージョンやアップデートを確認します。会社が指定しているソフトを適切に更新している端末以外を拒否できます。 Trend Micro、Symantech、McAfee、マイクロソフト 等約200社の アンチウィルス、アンチマルウェアのソフトウェアを検出でき、バージョンやセ キュリティパッチのアップデートを実施しているデバイスだけをアクセス許可す る事ができます。 パーソナル ファイアーウォール ポリシーに準拠 約90社のソフトウェアを検出できます。会社が指定しているソフトを適切に更新している端末以外を拒否できます。 Trend Micro、Symantech、McAfee、マイクロソフト 等約90社の ファイアウォールソフトウェアを検出でき、バージョンやセキュリティパッチの アップデートを実施しているデバイスだけをアクセス許可する事ができます。 アプリケーション 端末の特定ポリシーに準拠 起動しているアプリケーションを確認できます。 会社が指定しているソフトを適切に起動している端末以外を拒否できます。 C:¥Program Files (x86)¥Google¥Chrome¥Application¥chrome.exe 既知の悪意あるアプリケーションや起動プロセスなどが動作しているデバイ スを拒否することや、暗号化ソフトなどの社内規定のソフトウェアを動作し ているデバイスを特定してアクセス許可する事ができます。 クライアント証明書 端末の特定 クライアント証明書のCAを照合します。会社が提供したクライアント証明書をインストールしている端末以外を拒否でき ます。 社内で発行したクライアント証明書を特定する事ができます。 デレクトリ/ファイル 端末の特定 特定のデレクトリもしくはファイルを保持している端末以外を拒否できます。 既知のマルウエアが作成したファイルやデレクトリを持つデバイスを拒否したり、社内規定で保持しているファイルやデレクトリを正確に保存しているデ バイスを特定してアクセス許可する事ができます。 Windowsレジストリ 端末の特定 特定のレジストリ登録がある端末以外を拒否できます。 既知のマルウエアが作成したレジストリ登録を持つデバイスを拒否することや、社内規定のレジストリ登録を持つデバイスを特定してアクセス許可す る事ができます。 Windowsドメイン 端末の特定 特定のドメインに参加している端末以外を拒否できます。 社内規定のドメインに参加しているデバイスを特定してアクセス許可する事ができます。 OSバージョン ポリシーに準拠 特定のOSバージョンを利用している端末以外を拒否できます。 Windows7/8/10、等
