Ⅰ-② 延命セキュリティ延命セキュリティ二つの対策方法 ▐ 対策① ホワイトリスト型 l 概要：動作させてもよいアプリケーションのみ許可し、それ以外の全ての動作をブロックすることで、不正な動作を防止します。 l 特長：特定用途やスタンドアロンのＰＣの延命に効果的です。アプリケーション起動制御不許可アプリケーションは防止リストに登録されたアプリケーションのみ許可 ▐ 対策② 仮想パッチ型 l 概要： OS、アプリケーションの脆弱性を狙った通信をブロックし、正規パッチを当てた場合と同等のセキュリティを提供します。 l 特長： PCへの影響が小さいため、最小限の評価で適用可能です。クラッカー攻撃ボット Page 92 © NEC Corporation 2014 仮想パッチ Ⅰ-② 延命セキュリティ延命セキュリティ製品製品名ホワイトリスト型お客様の想定対象OS McAfee Embedded Control 特定の業務で利用する物理PC・仮想PCや、 Windows Server 2003 Windows XP、 Windows Server 2003 Trend Micro Safe Lock 特定の業務で利用するスタンドアロンPC Windows XP Trend Micro ウイルスバスターコーポレートエディション脆弱性対策オプションネットワーク接続がある物理PC Windows XP Trend Micro Deep Security Virtual Appliance VMware上で動作するVPC、同、Windows Server 2003 Windows XP、 Windows Server 2003 仮想パッチ型 Page 93 © NEC Corporation 2014 Ⅰ-② 延命セキュリティホワイトリスト型セキュリティ McAfee Embedded Control n概要／導入メリット •予め登録した実行ファイルやスクリプトのみを動作させるホワイトリスト型セキュリティ •登録したファイルの改ざんも防止することで、なりすましやシステムの破壊も防止 •メモリ保護機能を実装し、バッファオーバフロー攻撃やDLLを悪用する攻撃など脆弱性を利用した攻撃からもシステムを保護 •定義ファイルの定期更新が不要なため、インターネットへの接続が不要 ◎動作イメージクラッカー攻撃 Windows Windows マシン内を検索し Server アプリケーションを XP 2003 登録リストに登録外のアプリケーションは動作不可ボットメモリ保護機能 ◎運用イメージホワイトリストの作成 Windows Windows Server XP 2003 Page 94 © NEC Corporation 2014 システム保護アプリケーションの追加・更新（ホワイトリストは自動更新） Ⅰ-② 延命セキュリティ McAfee Embedded Controlの特長 McAfee Embedded Control は「ホワイトリスト方式」を採用しているので、システム変更が少ない旧OS延命提案に最適なセキュリティ対策ソフトです。 ▌導入効果 OEM品の取り扱いはサーバベンダでは “NECのみ” 1. セキュリティパッチを適用しない状態で高いセキュリティを確保 l あらかじめ動作させるプログラムを登録（＝ホワイトリスト） l 登録されていないプログラムの起動を検知し、強制的に停止 2. 未知のウイルスや脆弱性攻撃からもサーバを保護 l 未知のウイルスは未登録のプログラムとして扱い、動作を停止 l メモリ保護機能によりWindowsOSのバッファオーバーフロー脆弱性への攻撃を無効化 3. サーバの処理性能への影響は軽微 l アンチウイルスのようなディスクスキャンはなく、メモリ消費は12MB程度 Page 95 © NEC Corporation 2014 Ⅰ-② 延命セキュリティホワイトリスト型セキュリティ Trend Micro Safe Lock n概要／導入メリット •予め許可リストに登録したアプリケーション以外をブロックするロックダウン型セキュリティ •定義ファイルの定期更新や構成変更が不要な制御系端末など特定用途やスタンドアロンのPC/サーバ延命に効果的 •不正侵入対策機能や外部デバイスの不正実行防止機能もあり、さらに安全に利用可能 ◎動作イメージ Windows Windows Server XP 2003 マシン内を検索しアプリケーションを登録システムをロックダウンリストに登録外のアプリケーションは動作不可 ◎運用イメージシステムのロックダウン登録済み許可リストのアプリケーションの再作成更新・変更＊ロックダウン型セキュリティ：ホワイトリスト型と同義 Page 96 © NEC Corporation 2014 Ⅰ-② 延命セキュリティ仮想パッチ型セキュリティ Trend Micro ウイルスバスターコーポレートエディション脆弱性対策オプション n概要／導入メリット -クライアントOSに特化した仮想パッチで、正規パッチと同等のセキュリティを提供 -仮想パッチはOSの構成変更（インストール）は行わないため、システムへの影響が少なく、最小限の評価で適用可能 -ウイルスバスター Corp.にオプションとして適用するので、既にウイルスバスター Corp.をご利用のお客様であれば導入が容易 ◎動作イメージクラッカー XP端末攻撃ボット仮想パッチ ◎運用イメージ脆弱性仮想パッチ情報公開提供開始 ※一定期間テストモードで影響を確認。この期間も攻撃の監視は行われる ※ 推奨検索検証※ ※緊急度に応じて0日～1か月で提供 Page 97 © NEC Corporation 2014 適用セキュリティを確保 … Ⅰ-② 延命セキュリティ仮想パッチ型セキュリティ Trend Micro Deep Security Virtual Appliance n概要／導入メリット -仮想アプライアンス型保護により、ハイパーバイザ上の仮想マシンをエージェントレスの仮想パッチで一括保護。仮想化によるXP延命案件のセキュリティ保護に最適 -脆弱性保護の他にアンチウイルス、変更監視、ファイヤウォールなどでセキュリティリスクの高いXPを多面的に防御 -仮想パッチはWindows Server 2003の延命にも拡張可 ◎動作イメージ DSＶＡクラッカー攻撃ボット仮想パッチ仮想マシン仮想マシン AP AP XP XP ハイパーバイザ ◎運用イメージ脆弱性情報公開仮想パッチ提供開始 ※一定期間テストモードで影響を確認。この期間も攻撃の監視は行われる ※ 推奨検索検証※ ※緊急度に応じて0日～1か月で提供 Page 98 © NEC Corporation 2014 適用セキュリティを確保 … （参考）旧ＯＳ遮断 InfoCage 不正接続防止～ NECのネットワークを10年間以上守り続けている不正接続防止製品～＜製品概要＞セキュリティアプライアンス「InterSec/NQ30」が、外部から持ち込まれる脅威からネットワークを守ります。 ü ü ü InfoCage 不正接続防止マネージャネットワークに接続されている機器のIPアドレス、MACアドレスや OS種別を一覧表示し、ネットワークを可視化します。登録外の持込みPCをネットワークから遮断し、不正アクセスやウイルスの二次感染からネットワークを守ります。エージェントが不要・既設ネットワーク機器の設定変更が不要なため、簡単に導入できます。＜XP端末接続防止ソリューション＞ ü ü Webコンソール V4.0 NEW サポートの切れるXP端末の、ネットワークへの接続を防止します。持込みPCの完全な排除の困難な、大学などの準オープンなネットワーク環境におすすめです。 InterSec/NQ30c ＜PC管理製品連携ソリューション＞新規に接続してきたPCのWebブラウザに、資産管理ソフトウェアや検疫エージェントなどのPC管理製品のインストール画面を表示し、クライアントソフトウェアの導入の徹底と展開コストの削減を行います。 ü 連携製品： LanScope Cat、SKYSEA ClientView、InfoCage PC検疫 2014年4月中旬 V4.0 リリース © NEC Corporation 2014 持込みPC 私有スマートフォン V4.0 NEW ü Page 99 正規PC NEC優位性 •10年間以上の販売実績と信頼性 •10万台規模での運用実績 •IPv6に業界で先行して対応動作環境：Windows Server 2012 R2/2012/2008 R2/2008/2003 価格：48.8万円～ URL： https://www.intra.nec.co.jp/InfoCage_prevention/ （参考）旧ＯＳ遮断【活用例】 XP端末接続防止ソリューション～サポート切れOSからネットワークを守ります～ Windows XPのサポートは2014年4月で終了です。対策は完了しましたでしょうか？ A大学様の事例サポート切れOSはネットワークに接続させたくない。だけど、大学のネットワークは学生が利用するし、端末の入れ替わりが多くてとても管理しきれない。 XP端末を自動的に検出し、ネットワークから遮断 InterSec/NQ30c Windows 7 Page 100 Windows XP © NEC Corporation 2014 状態 MACアドレス IPアドレス機器種別 NG 00:00:00:00:00:01 192.168.0.1 Windows XP SP3 OK 00:00:00:00:00:02 192.168.0.2 Windows 7 SP1 OK 00:00:00:00:00:04 192.168.0.4 iOS OK 00:00:00:00:00:05 192.168.0.5 ネットワーク機器 OK 00:00:00:00:00:06 192.168.0.6 Linux サポート切れOSをネットワークから遮断