【ShowNet Stage 2025】ゼロトラストで支える広帯域セキュリティサービスと脅威監視基盤

Transcript

1. ゼロトラストで支える 広帯域セキュリティサービスと脅威監視基盤 ShowNet NOCチームメンバ 神宮 真人 1

2. テーマ ゼロトラスト思想のオペレーション基盤 400G広帯域のセキュリティサービス XDRによる脅威監視対応 2 ゼロトラストで支える 広帯域セキュリティサービスと脅威監視基盤

3. ShowNetセキュリティ全体像 3  NGFW  NDR  Sandbox  Forensics

    TAP  NPB  SIEM  XDR  SOAR  TIM Alert 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  SSO  MFA  DP  ITDR  NGFW  Sandbox  VXLAN inspeciton 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP sync 統合アクセス管理

4. ゼロトラスト思想のオペレーション基盤 4  NGFW  NDR  Sandbox  Forensics

    TAP  NPB  SIEM  XDR  SOAR  TIM Alert 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  NGFW  Sandbox  VXLAN inspeciton 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP sync 統合アクセス管理  SSO  MFA  DP  ITDR

5. セキュアリモートアクセス ShowNetオペレータ、コントリビュータ様のブースデモ向けに リモートアクセスサービスを提供 利用者は自宅や出展社ブースからShowNet管理NWに接続可能 今年は4つのサービスを運用 利用者の用途や環境により、いずれかを選択して利用可能 5 サービス名 カテゴリ プロトコル

   エージェント Prisma Access SASE IPsec VPN Global Protect FortiSASE SASE IPsec VPN FortiClient SMART Gateway PAM HTTPS / SSH 不要 Keeper PAM PAM HTTPS 不要

6. 終端装置 リモートアクセス概要図 6 FortiClient GlobalProtect Agent Free Agent Free Prisma

   Access SMART Gateway Keeper PAM FortiSASE リモートアクセスサービス SASE SASE PAM PAM The Internet pa1440.sec fgt201g.sec smart-gw.sec keeper.sec

7. SASE セキュリティコンポーネントをクラウドに集約 どこから接続しても統一されたセキュリティチェックを適用 7 The Internet DNS SWG CDFW CASB

   DLP ZTNA SASE POP etc.. ※ 提供されるコンポーネントは ベンダにより異なる

8. PAM ブラウザやCLIでリモートデバイスに多種プロトコルで接続 操作内容の録画やコマンドログを記録し、証跡を管理 8 Device2 Device3 PAM Gateway HTTPS HTTPS

   SSH RDP/VNC HTTPS SSH/Telnet Device1  利用者情報 SAML 操作ログ記録

9. 認証情報管理 Keeper Password ManagerによりShowNetを 構成する全ての機器の認証情報を管理 認証情報の共有  個人から個人へ共有  NOCから全員へ共有

    NOCからコントリビュータ、NOCからSTMへ共有 権限管理  チームで権限を管理  指定条件によりBotがチームを自動割り当て 利便性向上  ブラウザ拡張機能サポート  フォームへの自動入力 9 NOC Team Contributor Team STM Team **** Write Read Read NOC→全員 共有ボルト User B **** Write Read 個人→個人 共有ボルト User A NOC Team STM Team Contributor Team STM Activate 条件により Botがチームを 自動割り当て User A **** 個人用ボルト

10. 統合認証管理 SSO  SAML連携によりリモートアクセスや パスワードマネージャ等の認証を一元化 MFA  二要素認証によりなりすましを防止 Device Posture

     サポート切れOSやブラウザを利用している 端末からのアクセスをブロック ITDR  利用状況のモニタリング  不審なアクティビティを検出 10 TTDB  オペレータアカウント Prisma Access SMART Gateway Keeper PAM FortiSASE SAML IdP SP Datadog Cisco Identity Intelligence SAML IdP SP  SSO  MFA  Device Posture  ITDR

11. 管理ネットワークのアクセス制御 マイクロセグメンテーション ネットワークを細分化しアクセス制御を細かく行う技術 ネットワーク/ホスト側で様々な方式が存在 ShowNet管理ネットワークでの活用 分科会・組織単位で，それぞれが設定・利用する機器に限定した アクセス制御を実現 • 従来の管理ネットワークは自由に通信可能 11

12. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 VXLANヘッダに付与した タグによりアクセス制御

    12 aa:aa:aa:aa:aa:aa グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB アクセスポリシ テスター機器 L2L3機器

13. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 13 aa:aa:aa:aa:aa:aa

    グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB GBPタグ 100 アクセスポリシ テスター機器 L2L3機器 GBPタグ 300 GBPタグ 400

14. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 実績（6/11 13:00時点）

    GBPタグ：97個 登録MACアドレス：775個 ポリシ：89個 14 aa:aa:aa:aa:aa:aa グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB GBPタグ 200 アクセスポリシ テスター機器 L2L3機器 GBPタグ 300 GBPタグ 400

15. EVPN/VXLAN ファブリック VXLAN Group Based Policy (GBP) による制御 端末からだけでなく機 器からのアクセスも制御

    15 aa:aa:aa:aa:aa:aa グループ A bb:bb:bb:bb:bb:bb グループ B L2L3機器 テスター機器 グループA グループB アクセスポリシ テスター機器 L2L3機器

16. 統合アクセス管理 TTDBにアクセス制御ポリシ管理機能を実装 TTDBとは トラブルチケットデータベースの略 ShowNet内製のチケットシステム • 実際にはチケットだけではなく、機器情報や配線、出展社のVLANやIPアドレスといったShowNetの 構成情報の大部分を管理 ShowNetに接続する関係者全てのアカウントと機器の情報を管理 16

    L2L3機器 テスター機器 グループA グループB アクセスポリシ TTDB WebAPI or SAML Attribution input Prisma Access SMART Gateway Keeper PAM FortiSASE

17. セキュア運用支援 簡易セキュリティ検査 リムーバブルメディアやユーザ端末のセキュリティチェック環境をShowNetオペレータに提供 可搬型パケットキャプチャ装置 パケットレベルのデバッグに活用 PQ VPN相互接続検証データ保全に活用 17

18. 広帯域セキュリティサービス 18  NGFW  NDR  Sandbox  Forensics

     TAP  NPB  SIEM  XDR  SOAR  TIM Alert 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  NGFW  Sandbox  VXLAN inspeciton 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP sync 統合アクセス管理  SSO  MFA  DP  ITDR

19. 出展社向けセキュリティサービス 出展社ブース向けに提供しているインターネット接続サービスに セキュリティサービスを併せて提供 19

20. 出展社収容ネットワーク 20 出展社ブース ShowNet Backbone EVPN-VXLAN Type-5 L3VPN

21. インラインファイアウォール構成 21 Palo Alto Networks PA-7500 Juniper Networks SRX4700 サンドボックスと連携

    サンドボックスと連携 WildFire ATP Cloud 出展社ブース インターネット NGFW Sandbox VXLAN inspection

22. 脅威監視基盤 23  NGFW  NDR  Sandbox  Forensics

     TAP  NPB  SIEM  XDR  SOAR  TIM Alert 外部攻撃対象領域管理 アラート分析・自動化 脅威検出 Script 出展社向けセキュリティサービス  EASM 認証情報管理 統合認証管理 ****  NGFW  Sandbox  VXLAN inspeciton 統合アクセス管理 機器1 機器2 group1 ◦ × group2 × ◦ ゼロトラスト思想のオペレーション基盤 トラフィック複製・集約 広帯域セキュリティサービス セキュア運用支援 脅威監視基盤 マイクロセグメンテーション セキュアリモートアクセス  SASE  PAM  VXLAN-GBP sync 統合アクセス管理  SSO  MFA  DP  ITDR

23. トラフィック複製・集約 24 複製 • 監視すべき接続ポイントに光TAPを配置 集約 • 複製トラフィックを集約 処理 •

    パケットブローカで重複排除やパケット処理 分配 • 多種多様のアプライアンスに分配 検知 • アプライアンスで脅威を検知 集約 • 膨大な検知アラートを集約 分析 • アラートを分析し、要対処インシデントを検出 ト ラ フ ィ ッ ク 処 理 ア ラ ー ト 処 理

24. トラフィック複製 25 10箇所のリンクに光TAPを接続 Passive TAP RX TX RX TX A

    TX A B B TX

25. 脅威検出 26 QFX5220 -32CD FortiGate3700F PA-5430 SRX2300 Photon400 CheckPoint NIRVANA改

    Synesis 脅威検出 ネットワークフォレンジック 可視化 処理済み トラフィック 複製 トラフィック Profitap X2-2000G TAP Aggregation Dedup L3 Filter Profitap FlexTAP

26. アラート分析・可視化 マルチベンダのセキュリティアラートをSIEM / XDRで分析 ITDRやXDR同士のAPI連携でより包括的な分析結果をレポート 27 脅威検出機器群 SIEM / XDR

    検出アラート ITDR API連携 API連携 トラフィック フロー情報

27. 外部攻撃対象領域管理 28 Cortex XSIAM Tenable ASM BreachRisk OSINT Exploit PortScan

    ・・・ EASMサービス 攻撃可能な領域を通知 VulnScan 対処 オペレータ 攻撃可能な領域を検出 深刻な攻撃対象が検出された 場合は是正対処を実施 様々なアプローチで検出 ShowNetのドメイン / IPアドレスを登録 ShowNetに存在する攻撃対象領域を 様々なEASM製品で管理

28. PQ VPN相互接続検証 量子計算機の実用化による既存暗号アルゴリズムの危殆化に備え PQC（耐量子計算機暗号）を用いたVPNの相互接続を検証 29 192.168.1.0/24 192.168.2.0/24 .1 .10 .1

    .10 Sever Client Synesis Portable Kamuee PA-5430 tap CyberFlood 暗号化通信経路上の通信をキャプチャ PQ VPNのトンネル内通信を パターンテスト IPsec VPN RFC8784(PPK), RFC9242/9370 PQ VPN enabled

29. セキュリティ分科会 協力企業一覧 30

30. 31