【ShowNet Stage】3DアプローチでShowNetを守るセキュリティ

Transcript

1. 3DアプローチでShowNetを守る セキュリティ Interop Tokyo ShowNet NOC Team Member 清水 一貴

   1

2. 2

3. ShowNetにおけるセキュリティ対策 3

4. テーマ 様々なEASMサービス群による攻撃対象領域管理 俯瞰的視点によるセキュリティ統合監視 SASEを活用したセキュアな管理ネットワーク 3DアプローチでShowNetを守るセキュリティ 攻撃者視点の対策 俯瞰的視点の対策 回線利用者視点の対策 オペレータ視点の対策

5. セキュリティ対策全体像 5 NPB バックボーン トラフィック  NGFW  IPS 

   NDR  Sandbox  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  VPNaaS  Remote Access GW  EASM  SASE 認証情報管理 被疑端末特定支援 感染端末 統合認証 ****  SSO

6. セキュリティ対策全体像 6 NPB バックボーン トラフィック  NGFW  IPS 

   NDR  Sandbox  Forensics NGFW + Sandbox NGFW + Sandbox TAP  SIEM  XDR  XSOAR  TIM 脅威検出アラート 脅威情報 マネジメントネットワーク セキュリティ リモートアクセスサービス 外部攻撃対象領域管理 Deception デコイ（攻撃のおとり） アラート分析・自動化 脅威検出 Script インディケータ 出展社向けセキュリティサービス 出展社ブース  SASE  ZTNA  VPNaaS  Remote Access GW  EASM  SASE 認証情報管理 被疑端末特定支援 感染端末 統合認証 ****  SSO 攻撃者視点のアプローチ オペレータ視点のアプローチ 俯瞰的視点のアプローチ 回線利用者視点のアプローチ

7. 出展社向けセキュリティサービス 7

8. 出展社向けセキュリティサービス ShowNetでは、Interop Tokyo出展社ブース向けに提供してい るインターネットサービスを安心して使って頂けるよう、 希望する出展社はセキュリティサービスを利用できる

9. インラインファイアウォール構成 9 Palo Alto Networks PA-5445 Fortinet FortiGate 3201F Cisco

   Systems Secure Firewall 4245 Juniper Networks SRX2300 インターネット クラウドサンドボックスと連携 クラウドサンドボックスと連携 FortiNDR WildFire Secure Malware Analytics ATP Cloud 出展社 ホール2・4 出展社 ホール3 出展社 ホール5 出展社 ホール6

10. セキュリティサービス実施内容 以下のセキュリティサービスを通信経路上で有効化し、リアルタイ ムに悪性通信をブロック アンチウィルス クラウドサンドボックス 脅威インテリジェンスを用いた悪性通信の検出 Webフィルタリング アプリケーション識別 IPS 最大で400Gbpsのインターフェイスを持つNGFW装置をご提供いただ

    き、広帯域化するバックボーンネットワークの上で高速なセキュリ ティサービスを実現 10

11. 脅威検出とアラート分析対処 11

12. 脅威検出とアラート分析対処 12 複製 • 監視すべき接続ポイントに光TAPを配置 集約 • 複製トラフィックを集約 処理 •

    パケットブローカで重複排除やパケット処理 分配 • 多種多様のアプライアンスに分配 検知 • アプライアンスで脅威を検知 集約 • 膨大な検知アラートを集約 分析 • アラートを分析し、要対処インシデントを検出 ト ラ フ ィ ッ ク 処 理 ア ラ ー ト 処 理

13. トラフィック複製 Passive TAP TX RX TX RX TX TX A

    B A B FlexTap 11箇所のリンクに光TAPを接続

14. トラフィック集約 / 処理 / 分配 14 Vision400 VisionE100 Profitap PA-5450

    FG3201F FortiNDR FortiNDR Cloud ISNG9895 w/ OCI CheckPoint ArborEdgeDefense NIRVANA改 Synesis TAP dedup trimming 脅威検出 ネットワークフォレンジック DDoS攻撃検知 可視化 処理済み トラフィック 複製 トラフィック Secure Network Analytics

15. アラート検知 / 集約 / 分析 15 Cortex XDR / XSOAR

    NIRVANA改 Splunk Enterprise Security 脅威アラート 集約 PacketMaster 脅威アラート 分配 脅威検出機器群 SIEM / XDR オペレータ 対処が必要な インシデントを確認

16. リモートアクセスサービス 16

17. リモートアクセスサービス 目的 ShowNetオペレータ向けにセキュアなリモートアクセスサービス を提供 展示会期にはShowNet活用デモ向けアクセスサービスにも利用 構成 TTDBを中心としたSSO環境 なりすまし防止のための二要素認証 デバイスポスチャによる健全性担保 多様なアクセス手段

    • SASE、ZTNA、VPNaaS、リモートデスクトップゲートウェイ

18. TTDBとは トラブルチケットデータベースの略 ShowNet内製のチケットシステム 実際にはチケットだけではなく、機器情報や配線、出展社の VLANやIPアドレスといったShowNetの構成情報の大部分を管理 TTDBにはShowNetに接続する関係者すべてのアカウントと、 すべての機器の情報が存在する →TTDBの情報を基に、一元的なアクセス制御を実施 18

19. 終端装置 5種のサービスを運用 19 Duo SAML IdP Device Posture TTDB SAML

    IdP SP SP 2FA 管理ネットワーク Prisma Access SMART Gateway Keeper Connection Manager Cisco Secure Access FortiSASE リモートアクセスサービス  SSO  利用者情報 AnyConnect FortiClient GlobalProtect Agent Free Agent Free SASE SASE ZTNA Remote Desktop Remote Desktop pa3440.sec fg901g.sec c8500.svc smart-gw.sec keeper-cm.sec VPNaaS The Internet

20. SASE セキュリティコンポーネントをクラウドに集約 どこから接続しても統一されたセキュリティチェックを適用 The Internet DNS SWG CDFW CASB DLP

    ZTNA SASE POP etc.. ※ 提供されるコンポーネントは ベンダにより異なる

21. ZTNAとVPNaaS 21 HTTPS HTTPS ポスチャチェック + 認可 ポスチャチェック + 認可

    Device1 Device2 IPsec IPsec TLS ポスチャチェック + 認可 ZTNA：セッションごとにポスチャチェックと認可を実施 VPNaaS：トンネル接続時にポスチャチェックと認可を実施 Device1 Device2

22. Remote Desktop Gateway ブラウザやCLIでリモートデバイスに多種プロトコルで接続 操作内容の録画やコマンドログを記録し、証跡を管理 22 Device2 Device3 RemoteDesktop Gateway

    HTTPS HTTPS SSH RDP/VNC HTTPS SSH/Telnet Device1  利用者情報 SAML 操作ログ記録

23. 管理用ネットワークセキュリティ 23

24. 管理用ネットワークのセキュリティ マネジメントネットワークからのインターネットアクセスを制御 SASEを用いることでセキュアなインターネット接続をクイックに提供 SASEのセキュリティコンポーネントで悪性通信を検出 管理ネットワーク ShowNet構成機器 Umbrella Secure Internet Gateway

    C8500 The Internet CDF/IPS SWG アセット情報ベースで アクセス制御 TTDB asset 参照 Anti-malware TI TTDB/SD-WAN Connector Catalyst SD-WAN API DNS Security Internet OK Internet NG Internet OK - switch X - server Z Internet NG - router Y Internet OK

25. 攻撃対象領域管理 25

26. 外部攻撃対象領域管理（EASM） 26 Cortex Xpanse Pentera Surface Tenable ASM ULRTA RED

    ネットde診断 OSINT Exploit PortScan ・・・ EASMサービス 攻撃可能な領域を通知 VulnScan 対処 オペレータ ShowNetに設置したデコイを含めた 攻撃対象領域を様々なEASM製品で管理 攻撃可能な領域を検出 深刻な攻撃対象が検出された 場合は是正対処を実施 様々なアプローチで検出 ShowNetのドメイン / IPアドレスを登録

27. 攻撃の顕在化 27 受けた攻撃をレポート  RedHat  macOS  IoT (ルーター)

     IoT (スイッチ)  IoT (プリンター)  IoT (IPカメラ)  SAP  VoIP (4G/5G)  Webmin  Citrix ShowNetで稼働するデコイ 攻撃者の行動を監視 攻撃者 攻撃 ShowNetオペレータ ShowNetの潜在的な 攻撃リスクを認識 FortiGate901G FWと連携して攻撃者を隔離

28. 認証情報管理 28

29. 認証情報管理 Keeper Password ManagerによりShowNetを 構成する全ての機器の認証情報を管理 認証情報の共有  個人から個人へ共有  NOCから全員へ共有

     NOCからコントリビュータ、NOCからSTMへ共有 権限管理  チームで権限を管理  指定条件によりBotがチームを自動割り当て 利便性向上  ブラウザ拡張機能サポート  フォームへの自動入力 29 NOC Team Contributor Team STM Team **** Write Read Read NOC→全員 共有ボルト User B **** Write Read 個人→個人 共有ボルト User A NOC Team STM Team Contributor Team STM Activate 条件により Botがチームを 自動割り当て User A **** 個人用ボルト

30. 耐量子計算機暗号VPN 相互接続検証 30

31. 量子計算機時代に備えた相接検証 PQC を実装したIPsec VPN (RFC 8784) によるベンダ間相互接続を検証 PQCとは：量子計算機による暗号解読攻撃に耐える強度をもつ暗号化方式 近い将来に既存の暗号技術が危殆化するおそれがあるため、 先駆けてマルチベンダ間で標準化ドラフト技術の実装状況を検証

    31 SRX2300 PA-5445 IPsec VPN RFC 8784 PQ PPK enabled Synesis Portable TAP 暗号化通信経路上の通信をキャプチャ PQC VPN接続と疎通性を確認

32. セキュリティ分科会 協力企業一覧（50音順） 32

33. None