Technology Blueprint ネットワーク境界の保護 組織への出入りを制御する SECURITY CONNECTED REFERENCE ARCHITECTURE LEVEL 1 2 3 4 5 Security Connected マカフィーのSecurity Connected フレームワークは、複数の製品、 サービス、パートナーの統合を可能 にすることで、効率的かつ効果的に 一元的なリスク軽減を実現します。 20年以上の実績を持つセキュリティ プラクティスを基盤に構築された Security Connectedアプローチを 通じて、規模やセグメントを問わず、 すべての地域の組織がセキュリティ 体制を改善し、セキュリティを最適化 することでコスト効率を高め、戦略的 にセキュリティとビジネスイニシアチブ を整合させることが可能になります。 Security Connectedリファレンス アーキテクチャーは、構想から実装 までの具体的な手法を提供します。 このアーキテクチャーを利用する ことにより、Security Connectedの 概念をお客様独自のリスク、インフラ ストラクチャー、ビジネス目標に適合 させることができます。マカフィーは、 常にお客様を保護する新しい方法 を見出すことに専心しています。 組織への出入りを制御する 現状 ネットワーク境界の保護は、 過去 10 年間でそれほど大きく変化していません。 大部分 の境界では、自由に通過できる「ホール」があるステートフルインスペクション型のファイア ウォールを保護に使用しており、 アラートが多すぎてほとんど見逃される侵入防止 システムや検出システムによって二次的に支えられています。 ネットワーク境界保護は変化していませんが、 ビジネス要件とコラボレーション要件の ために、 インターネットアプリケーションと組織間接続の利用が急増しています。 境界 の非武装地帯に配置されるこれらのサービスは、 多くの場合、 管理や制御がほとんど 行われずに通過します。 規制遵守によって、 多くの IT チームでは、 データ損失防止や 暗号化などの特定の制御を追加するよう義務付けられています。「すべてを暗号化する」 戦略からこれらのソリューションの 「チェックボックス」 の実装まで、多くの組織では依然 として何がネットワーク境界を通過するのか把握していません。 課題 ネットワークの外側の境界は、組織の顔になります。適切なトラフィックと不正なトラフィックの両方を含め、 境界の通過を許可されたトラフィックは組織の成功と失敗を左右します。ネットワークの有用性と説明責任 を最大化しながら、ネットワークの脆弱性を最小化することが課題となっています。 ほとんどのネットワーク境界セキュリティは、手直しが必要です。ネットワーク境界は、インバウンドの攻撃に 晒されています。暗号化されたポリモルフィック型マルウェア、分散型サービス拒否(DDOS)攻撃、および 意図的な標的型攻撃の試みが、静的で迷惑なウイルスやありふれたサービス拒否攻撃などの一般的な 問題に対処するよう設計された、ネットワーク境界の可用性とセキュリティに日々挑んでいます。ポートや プロトコルの単純なパリティチェックは、かなり時代遅れになっています。トラフィックの80%がポート80を 介したHTTPである場合、ファイアウォールでは、ポートとプロトコルの先にあるアプリケーション内部に目を 向けて、どのトラフィックが安全なのかを判断する必要があります。 また、データ損失と規制のために、ネットワークエッジで新しい制御が必要になっています。ネットワーク 境界は、組織外に出るトラフィックの最後の制御ポイントです。ネットワーク境界は、機密情報を特定して 適切に処理するとともに、組織外に出るトラフィックの種類を制御できる最後のポイントです。従って、ネット ワーク境界は、社外の評判を形成する最後のポイントとなっています。 さらに、ネットワーク境界は、インターネットのPOP(Point of Presence)であるだけでなく、ビジネスパート ナーへの接続、リモートワーカーのVPNアクセス、および組織間接続のハブでもあります。ビジネスが機能 するためには、これらに接続のセキュリティと信頼性を確保する必要があります。 今日のネットワーク境界のセキュリティを確保するとは、次のことに対処できるよう防御を最新化すること です。 • 旧式のファイアウォールポリシーの管理: 旧式のファイアウォールポリシーの管理 ファイアウォールポリシーには、不確かな感染源、ビジネス 要件、および有効な使用法に関するルールが含まれています。重要なルールが有効になっていない 一方で、重要でないルールばかりが有効になっていて、ネットワーク境界の防御を鈍化させている可能 性があります。ほとんどの組織では、規制や政府の委員会で定義されたポリシーがルールによって適切 に実装されているかどうか、あまり把握できていません。 • 自動攻撃: 自動攻撃 一般向けサービスは、ビジネスの継続性を脅かす分散型サービス拒否(DDoS)攻撃を受け る危険があります。 • 標的型攻撃: 標的型攻撃 ネットワーク境界システムの脆弱性(パッチが適用されていないWebサーバーなど)を 特定および軽減して、悪用を防止する必要があります。 2 ネットワーク境界の保護 • 誰が何をどこでするかの特定: 誰が何をどこでするかの特定 望ましくないトラフィックやリスクの高いトラフィックを低減するため、ネット ワークでは、社内ユーザーによるアウトバウンド通信を識別および制御して、既知の犯罪者やリスクの 高い地域とのやり取りから保護する必要があります。 • アクセスが頻繁な侵入防止システム(IPS): アクセスが頻繁な侵入防止システム(IPS) ネットワーク境界に配置されるIPSは、ファイアウォール が許可したり、ユーザーが送信 するトラフィックのすべてのパケ ット を認 識しま す。何度も発行さ れる膨大な数のアラートは、イベント後のフォレンジック用にしか参照されないことを意味します。 また、フォレンジックの実行時に、この膨大な数のために、異なるデータソースにイベントを相関付ける 際、データを正規化するのが困難になります。 • トンネリングアプリケーションの管理: トンネリングアプリケーションの管理 トンネリングされた通信では、フィルタリングのないコマンド&コント ロール通信がマルウェアとボットネットに提供される可能性があります。また、Skypeなどのトンネリング アプリケーションでは、データ漏えいを検出できない可能性があります。 • 暗号化で生じる死角: 暗号化で生じる死角 多くの組織では、暗号化されたトラフィックのスキャンを実行するテクノロジーを導 入していないか、ネットワーク境界で必要に応じてこのスキャン機能が有効になるようになっていません。 悪質なトラフィックの大半は、この制限を利用するために暗号化されています。また、強い決意を持った 内部関係者が、社外に送信するために機密情報を暗号化する可能性もあります。 解決策 ソリューション選定の要素 アーキテクチャーには、次のよう な要素が影響します。 • 組 織 が制 御 で き な い ビジネ スパートナーや他の組織に、 組 織 が 直接接 続されてい る (一般に、VPN、MPLS、その他 の直接接続を使用)かどうか • どのような業界規制や政府規 制(HIPAA、NERC、PCIなど)に 準拠する必要があるか • プ ラ イバ シ ー 規 制 に よ っ て 実行可能な フィル タリングの レベルやSSL暗号化が制限さ れている国でビジネスを行って いないかどうか • DLPソリューションを現在すで に使用しているかどうか。使用 している場合、ICAPがサポート されているかどうか 効果的なネットワーク境界アーキテクチャーにより、組織のセキュリティ体制と監視を強化します。重要な 脅威情報をサイロに保持するポイント製品の寄せ集めではなく、効果的なネットワーク境界によって通信 全体を確実に把握でき、トラフィックフローを簡単かつ安全に、効率性に優れた方法で管理できます。 • レピュテーションに対応したネットワーク境界デバイス: レピュテーションに対応したネットワーク境界デバイス ネットワーク境界デバイスは、接続を許可する 前に外部ホストのビヘイビア履歴を確認する機能を備えている必要があります。この機能は、スパムと マルウェアの検出用に電子メールゲートウェイで最も使用されていますが、他の一部の境界保護デバイ スにも装備されています。 • 脆弱性の管理と悪用の防止: 脆弱性の管理と悪用の防止 既知の脆弱性や新しい脆弱性がないかどうか、ネットワーク境界デバイス (電子メールサーバーやWebサーバーなど)を定期的にスキャンする必要があります。パッチ管理スケ ジュールは、保守期間、ビジネスのアップタイム要件、および脅威の重大度に応じて設定されるため、 ネットワークセキュリティシステムによって、パッチのインストールが可能になるまでの期間、脆弱性を 軽減する必要があります。また、完全なデータ相関付けとレポーティングシステムによって、これらのシス テムの最新の状態について情報を集約する必要があります。 • アプリケーションの検出と制御: アプリケーションの検出と制御 多くのアプリケーションでは、通常開いている通信パスとポートを介 したアウトバンド接続が必要です。このトラフィックには、重要なビジネスアプリケーションと悪質なトラ フィックの両方が含まれます。ソリューションでは、HTTPトラフィックおよびHTTPSトラフィック内のアプリ ケーションを含めて、確実にアプリケーションを識別してポリシーを適用する必要があります。 • トンネリングアプリケーションの検出: トンネリングアプリケーションの検出 完全なソリューションは、通信チャネルに関係なく、プロトコルと アプリケーションをさらに検証するためのトラフィックフロー分析を備えている必要があります。また、 外部サービスを提供するシステムは、サービスが提供されるプロトコルを認識して、これらのプロトコルに コンプライアンスを施行する必要があります。これには、コマンド&コントロール通信も含まれます。 • 適切で広範な暗号管理: 適切で広範な暗号管理 トラフィックがポリシーに準拠しており、マルウェアが含まれていないことを 確認するため、受信と送信の両方のトラフィックを復号化、検査、再暗号化できる必要があります。 ただし、システムは、特定のトラフィックを認識して、必要に応じて復号化せずに通過させる柔軟性を備 えている必要があります。このようなトラフィックには、医療に関する個人情報(PHI;Personal Health Information)などの機密性の高いトラフィックや保護対象のトラフィックがあります。 • システム、ポリシー、イベントの管理: イベントの管理 イベントおよび影響を受けるシステムを把握するとともに、アクティブ なルールを適用したときのポリシーの適用性と有効性に関してレポートする必要があります。詳細な レポート機能を利用して、ソリューションでは、リアルタイムの状況だけでなく履歴の状況も把握できる 必要があります。 ネットワーク境界の保護 3 マカフィーのソリューションで使用されているテクノロジー マカフィーの完全な統合ソリューションには、McAfee ® Firewall Enterprise、McAfee Network Security Platform、McAfee Vulnerability Manager、およびWeb Application Assessment Moduleが含まれています。これらの各製品では、新しい脅威や捕らえにくいリスクの分析に、McAfee Global Threat IntelligenceT M によるリアルタイムの更新を利用しています。Mc Afee ePolic y Orchestrator®(McAfee ePOTM)は、製品間のデータを相関付けて、ネットワーク防御を他のセキュリティ とコンプライアンスの管理、およびレポーティングと関連付けます。 最適なソリューション構成では、McAfee Firewall EnterpriseとMcAfee Network Security Platform (NSP)がMcAfee Global Threat Intelligenceサービスのリアルタイムのファイルレピュテーションとネット ワーク接続レピュテーションを利用し、ネットワーク境界で受信トラフィックを検査します。McAfee Firewall Enterpriseがウイルス対策とスパム対策を適用し、トラフィックの復号化、検査、再暗号化を実行し、 ブロックされたトラフィックと許可されたトラフィックにポリシー(Geo-locationなど)を適用します。次に、新し いマルウェア、ゼロデイ攻撃、ボットネット、サービス拒否(DoS)攻撃、および高度な標的型攻撃から保護する ため、NSPがヒューリスティックとMcAfee GTIのファイルレピュテーションを利用して攻撃を検査します。 また、NSPでは、McAfee Vulnerability Managerと連携して動作することで、各資産のリスクベースの 評価に従って、パッチが適用されていない社内資産を既知の脆弱性に対する攻撃から保護できます。 Web Application Assessment Moduleとともに使用することで、McAfee Vulnerability Manager は、電子メールサーバー、コラボレーションサーバー、Webサーバーなどの境界の資産を含め、ネットワーク に接続された資産を検出してスキャンします。アプリケーション、サーバー、およびサーバーの下に配置 されるOSの脆弱性を特定できるため、攻撃者によって悪用される前にこれらの資産を保護できます。 McAfee ePOは、このデータを収集して、ホスト上に配備されている対策と相関付けます。IPSのアナリスト は、このデータを使用して、McAfee NSPで適用するリスクベースのポリシーを作成できます。たとえば、 McAfee NSPは、Exchangeサーバーで既知の脆弱性の悪用を検出した場合に、そのトラフィックを ブロックできます。 ポリシーを使って、組織を出入りする不要なトラフィックや望ましくないトラフィックの量を低減することもでき ます。次世代のファイアウォールとして、McAfee Firewall Enterpriseでは、悪質なトラフィックをブロックす るだけでなく、ユーザーの役割および各役割に許可されているアプリケーションに基づいてルールを適用 することもできます。 䝫䝸䝅䞊: ᐇ⾜䛥䜜䜛᳨ᰝ: A. MVM䛸WAAM䛜⬤ᙅᛶ䛜䛺䛔䛛♫ෆ䝩䝇䝖䜢 䝇䜻䝱䞁䛧䚸⤖ᯝ䜢ePO䛻㏦ಙ䛩䜛 1. 䝣䜯䜲䜰䜴䜷䞊䝹䛜䚸GTI䛾䝛䝑䝖䝽䞊䜽᥋⥆ 䝺䝢䝳䝔䞊䝅䝵䞁䛸Geo-location䛻ᇶ䛵䛔䛶 䝸䝇䜽䛾㧗䛔ཷಙ䝖䝷䝣䜱䝑䜽䜢䝤䝻䝑䜽䛩䜛 B. McAfee ePO䛜䚸MVM䛾⬤ᙅᛶ䝕䞊䝍䜢NSP䛾 ⬣ጾ䝕䞊䝍䛚䜘䜃䝩䝇䝖䛾ᑐ⟇䝕䞊䝍䛸┦㛵 䛡䜛 2. 䝣䜯䜲䜰䜴䜷䞊䝹䛜䝖䝷䝣䜱䝑䜽䜢䝇䜻䝱䞁䛩䜛 䠄IPS䚸A/V䚸ྕ/ᬯྕ䠅 C. ⟶⌮⪅䛜䝸䝇䜽䜢䜚ᙜ䛶䛶NSP䝫䝸䝅䞊䜢ᐃ ⩏䛧䚸⤌⧊䛷チྍ䛥䜜䛶䛔䜛䝴䞊䝄䞊䛸䜰䝥䝸 䜿䞊䝅䝵䞁⏝ἲ䛻ᇶ䛵䛔䛶䝣䜯䜲䜰䜴䜷䞊䝹 䝹䞊䝹䛾䝫䝸䝅䞊䜢タᐃ䛩䜛 3. NSP䛜䚸ᨷᧁ䛜䛺䛔䛛᳨ᰝ䛩䜛 4. NSP䛜䚸᪂䛧䛔䝬䝹䜴䜵䜰䜢᳨ฟ䛩䜛䝣䜯䜲䝹 䝺䝢䝳䝔䞊䝅䝵䞁䛜䛺䛔䛛GTI䛻ၥ䛔ྜ䜟䛫䜛 5. 㟁Ꮚ䝯䞊䝹䝃䞊䝞䚸Web䝃䞊䝞䚸䛚䜘䜃ቃ⏺䛻 㓄⨨䛥䜜䛯䛾䝃䞊䝡䝇䛻㓄ಙ䛥䜜䜛ཷಙ䝖䝷 䝣䜱䝑䜽䜢䜽䝸䞊䞁䜰䝑䝥䛩䜛 6. 䜽䝷䜲䜰䞁䝖䝅䝇䝔䝮䛛䜙㏦ಙ䝖䝷䝣䜱䝑䜽䛜㏦ಙ 䛥䜜䜛 DMZ 1 McAfee Global Threat Intelligence (GTI) 7. NSP䛜䚸ᝏព䛾䛒䜛䜰䜽䝔䜱䝡䝔䜱䜔䝁䞁䝔䞁䝒 䛜䛺䛔䛛䚸㏦ಙ䝖䝷䝣䜱䝑䜽䜢᳨ᰝ䛩䜛 2 8. 䝣䜯䜲䜰䜴䜷䞊䝹䛜㏦ಙ䝖䝷䝣䜱䝑䜽䛷IPS䚸A/V䚸 ྕ/ᬯྕ䚸䝴䞊䝄䞊ID䚸ᐄඛ䛾䝺䝢䝳 䝔䞊䝅䝵䞁䜢᳨ᰝ䛧䚸䝴䞊䝄䞊䝫䝸䝅䞊䛸䜰䝥䝸 䜿䞊䝅䝵䞁䝫䝸䝅䞊䜢㐺⏝䛩䜛 McAfee Firewall Enterprise 8 s 䝣䜯䜲䝹䝺䝢䝳䝔䞊䝅䝵䞁 4 9. 䝬䜹䝣䜱䞊䛾䝅䝇䝔䝮䛜McAfee ePO䛸㏻ಙ䛧䚸 䝎䝑䝅䝳䝪䞊䝗䚸䝕䞊䝍┦㛵䛡䚸䝺䝫䞊䝔䜱 䞁䜾䛻ᫎ䛩䜛 C s 䝛䝑䝖䝽䞊䜽᥋⥆䝺䝢䝳䝔䞊䝅䝵䞁 3 9 McAfee Network Security Platform 7 B McAfee ePO 6 5 A McAfee Vulnerability Manager (MVM) 䝴䞊䝄䞊䜽䝷䜲䜰䞁䝖䛜 ㏦ಙ䝖䝷䝣䜱䝑䜽䜢⏕ᡂ Web Application Assessment Module (WAAM) 䝁䝷䝪䝺䞊䝅䝵䞁 䝃䞊䝞䞊 䝯䞊䝹 䝃䞊䝞䞊 Web 䝃䞊䝞䞊 マ カフィー のシステムが受信トラフィックと 送信トラフィックを検 査し、トラフィックに ポリシ ー を 適 用することで、 攻撃と悪意のあるアクティビティから保護 4 ネットワーク境界の保護 McAfee Global Threat Intelligence (GTI) マカフィー製品では、リアルタイムのデータと履歴データを使用して、既知の悪意のあるホストや疑わしい コンテンツとの通信を認識、ブロックします。McAfee Global Threat Intelligenceのネットワーク接続 レピュテーションは、IPアドレス、ネットワークポート、通信プロトコル、URL、ファイルレピュテーションを組み 合わせて詳細なリスク情報を判断する、包括的でリアルタイムなクラウドベースのGTIサービスです。この サービスにより、マカフィー製品では、既知のネットワーク脅威と新しいネットワーク脅威の両方からお客様 を保護することが可能になっています。マカフィーは、数十億のIPアドレスとネットワークポートからデータ を収集することにより、数百兆にのぼる一意のビューを提供します。また、ポート、宛先、プロトコル、インバウ ンド/アウトバウンド接続要求を含むネットワークトラフィックに関するデータに基づいて、レピュテーション スコアを計算します。このスコアには、ボットネット制御に関連付けられた接続など、ネットワーク接続が 脅威となる可能性が反映されます。このスコアは、マカフィーのクラウドでクエリを実行するセンサーと、 McAfee LabsTM の研究者と自動ツールによって実行される分析で収集した情報に基づくだけでなく、 ファイル、電子メール、Web、およびネットワークの脅威に関するさまざまなベンダーのデータを関連付けて 決定されます。McAfee Firewall Enterprise、McAfee Network Security Platformなどのマカフィー 製品では、このスコアを使用して、ローカルポリシーに基づいて処理を判断しています。この絶えず更新され るレピュテーションサービスにより、次のことを実現できます。 • DDoS(分散サービス拒否)攻撃、ボットネット、コマンド&コントロール活動、APT(Advanced Persistent Threat)、およびリスクの高いメール接続とWeb接続からエンドポイントを保護する • ネットワークエッジで脅威をブロックすることで、システムとネットワークの負荷を軽減する • ネットワークベースの攻撃に関連するダウンタイムと修復のコストを低減する 同様にマカフィーのファイルレピュテーションサービスは、シグネチャーが利用できるようになるまでの期 間、McAfee GTIのセンサー、分析、相関付けシステムを使用して悪意のあるコンテンツ(ワーム、トロイ の木馬、ウイルスなど)を特定します。マカフィーのマルウェア対策エンジンは、エンドポイントのマルウェア 対策、ゲートウェイ、他のソリューションのいずれに含まれて導入されている場合でも、このスコアを使 用して、ローカルポリシーに基づいて処理(ブロック、検疫など)を判断します。McAfee Global Threat Intelligenceは、このサービスが組み込まれたマカフィー製品に含まれています。一部の製品では、 McAfee Global Threat Intelligenceはデフォルトで有効になっています。デフォルトで有効になっていな い場合は、マカフィー製品の管理インターフェイスを使って容易に有効にできます。 McAfee Firewall Enterprise McAfee Firewall Enterpriseは、不正なユーザーと攻撃者からネットワークを保護する機能と、インター ネットにアクセスする内部ユーザーを保護する機能を提供します。McAfee Firewall Enterpriseは、アプ リケーションレイヤー・ファイアウォール、ユーザーベースポリシー、IPsec VPN機能、SSL復号化と再暗号 化、URLフィルタリング、およびMcAfee Global Threat Intelligenceを組み合わせて1つのセキュリティ アプライアンスに統合した一元管理型境界セキュリティ製品です。これらの機能は、組織への脅威を低減 しながら、インターネット上で公的に利用可能なほぼすべてのサービスへのユーザーアクセスを制御できる 構成オプションを提供します。次世代の真のファイアウォールとして、攻撃が行われる前にブロックするため に、アプリケーションの可視化、レピュテーションベースのグローバル情報、自動脅威フィード、暗号化され たトラフィックのインスペクション、侵入防止、ウイルス対策、コンテンツフィルタリングなどの高度な機能を統 合します。 たとえば、McAfee Firewall Enterpriseの統合型のGeo-locationを利用すると、地理的要因に基づ いてトラフィックを制限して攻撃を防御できます。受信と送信の両方のトラフィックを、国に基づいて正式に 許可または拒否できます。この手法は、ビジネスを行っていない国との通信を制限する場合も、非常に 効果的です。また、レピュテーションと組み合わせると、国に基づいてさまざまなリスク判定を指定できます。 また、インターネットに接続している数百万のホストのビヘイビアを分析するMcAfee Global Threat Intelligence(GTI)サービスも統合されています。Firewall Enterpriseは、GTIレピュテーション情報を活 用して、レピュテーションスコアが低いすべてのホストからのトラフィックをブロックします。 選択的に復号化と再暗号化を行うことで、ルールごとにインテリジェントなアプリケーション可視化を実現 できます。ポート、ソースエンドポイントとデスティネーションエンドポイント、ソースユーザーとグループ、 セキュリティゾーンなどの復号化に使用する条件を慎重に特定することで、必要に応じて、リスクの高い トラフィックや機密性の高いトラフィックを検証し、法的または技術的に必要な場合は、エンドツーエンドの 暗号化整合性を引き続き維持できます。 ネットワーク境界の保護 5 Firewall Enterpriseは、重複や矛盾しているルールを低減したり、ルールを調整するのに役立つため、 適切に適用できます。直観的なインターフェイスを使って、ルールの変更時や作成時に、ファイアウォール ルールが最適化されているかどうか即座に確認できます。 拡張性とパフォーマンスを最大限に高めるため、McAfee Firewall EnterpriseをCrossbeamのX-Series で実行できます。Crossbeam用のMcAfee Firewall Enterpriseは、検査ありのトラフィックで最大40 Gbpsのスループットを実現するというキャリアクラスのセキュリティパフォーマンスに加え、拡張性と組み込 みの冗長性も提供します。セキュリティインフラストラクチャーのコストと複雑さを軽減するとともに、Webの 脅威に対抗できる高い可用性を備えたセキュリティへの高まるニーズに対応するよう設計されています。 McAfee Network Security Platform McAfee Network Security Platform(NSP)は、クラス最高の保護を提供する、業界をリードする専用の IPSシステムです。トラフィックがシステムに到達すると、NSPはトラフィックをすばやくデコードし、クライアント やサーバーが行うようにトラフィックを解釈します。次に、NSPは、複数の検出手法を使用して、攻撃が実行 中であるかどうかを特定します。さらに、McAfee GTIのデータを相関付けて、ファイル、Web、メッセージ、 およびネットワークのすべての媒体でシステムを脅威から保護します。McAfee GTIを利用することで、 セキュリティ運用によって攻撃を脅威データにすばやく相関付けて、リスクの高いネットワーク、送信者、 Webサイトへの以降の通信を防止する、検疫やブロックなどの判断を行うことができます。 McAfee Network Security Platformは、プロトコルに基づいたシングルパスのインスペクションアーキ テクチャーとキャリアクラスの専用ハードウェアを組み合わせて、単一のデバイスで10 Gbpsを超えるインス ペクションを実環境で達成しています。この高いパフォーマンスを汎用のインスペクションと組み合わせて施 行すると、境界だけでなくネットワーク全体で利用できます。たとえば、IPSセンサーをデータセンターの境界 に配置して望ましくないトラフィックに対する保護を追加したり、仮想環境を検査して悪意のあるVMを隔離 するよう使用できます。 含まれているMcAfee Network Security Managerには、すぐに使用を開始できるよう、あらかじめ 作成された数十ものIPSセキュリティポリシーテンプレートが用意されています。McAfee Vulnerability ManagerおよびMcAfee ePOとの統合に加えて、McAfee Network Threat Behavior Analysis、 およびMcAfee Host Intrusion Preventionとオプションで統合できます。これらの統合により、ネット ワーク活動を完全かつシームレスに制御できます。 McAfee Vulnerability ManagerとWeb Application Assessment Module(WAAM) McAfee Vulnerability Manager(MVM)は、ネットワーク接続デバイスでホスト検出、資産管理、脆弱性評 価、およびレポーティングを実現する、拡張性に優れたソリューションです。ネットワーク境界のセキュリティを 確保するため、MVMは、境界にアクセス可能なシステムの各OS(Linux、UNIX、またはWindows)を複数の チェックでテストし、管理者が脆弱性を修正または軽減するために使用できるよう結果を返します。 Web Application Assessment Module(WAAM)は、コード実行やインジェクションなどの脆弱性が ないかどうか、IISやApacheなどのWebサーバーソフトウェアと任意のWebアプリケーションを調査、テス トし、パッチが適用されていないWebサーバーや脆弱なWebサーバーについて警告を発します。Web Applicationのスキャナーでは、あらかじめ作成されたテンプレートを利用し、PCI、OWASP Top 10、また はCWE/SANS Top 25で必要となるチェックに基づいて、またはクロスサイトスクリプティングやパストラバー サルなどの特定のチェックに絞って、詳細なスキャンを実行できます。 MVMとWAAMの両方が、ITセキュリティ管理者がプロアクティブにWebサーバーを監視して、脆弱性 やパッチが適用されていないシステムを検出するのに役立ちます。Web Application Assessment Moduleは、McAfee Vulnerability Managerの完全に統合された(ユーザーインターフェイス、レポー ティング、エンジン、チケット)モジュールです。MVMは、データをまとめることで、リスクを予測および軽減す るのに役立つ実用的なデータを提供します。 MVMとWAAMのスキャン結果はMcAfee ePOにレポートされ、脅威の関連性、攻撃の検証、およびワー クフローの簡素化を実現するため、McAfee ePOで提供されます。 6 ネットワーク境界の保護 McAfee ePolicy Orchestrator(McAfee ePO) McAfee ePOは、この統合型のネットワーク境界セキュリティソリューション全体で、資産管理とレポーティ ングの中央のリポジトリとして機能します。McAfee ePOは、McAfee Vulnerability Managerのアク ティブなスキャニング、McAfee ePO Rogue System Detectionによるパッシブなセンシングを含む複 数の検出手法を通じて資産の情報を収集します。検出された資産はグループ化され、タグ付けされて、IPS とファイアウォールのイベント相関付けとフォレンジックでの使用に備えてMcAfee ePOで管理されます。 McAfee ePOの相関付けにより、IPSのアナリストは、パッチがインストールされるまでの期間、NSPポリ シーを実装して脆弱なシステムを保護できます。また、McAfee ePOは、マカフィーのフレームワークのすべ ての部分から情報を収集して相関付けることで、一元化されたダッシュボード、レポーティング、および自動 化されたワークフローを提供し、全社規模でのイベント修復に対処できるようにします。 導入効果 ネットワーク境界の脅威によって、組織を通過する受信と送信の両方のトラフィックを確実に把握して制御で きるよう、一連の保護が一新されています。McAfee Network Perimeterによる保護を導入すると、大幅にリ スク状態を改善して攻撃対象領域を低減できます。多くの場合、既知のリスクの高いホストが接続できるよう になる前に、これらのホストとの通信を制限することで、攻撃者が境界経由でシステムを悪用する可能性を低 減します。リアルタイムのレピュテーション評価は、動的で進化を続けるボットネット、DDoS攻撃、標的型攻撃、 および悪意のあるコンテンツに対して常に保護を提供するのに役立ちます。 HTTPとHTTPS経由で通過するトラフィックが増加するにつれて、このソリューションを利用すると、これら のトラフィックや通常は分かりにくい他のネットワーク通信をリスクと要件の観点で完全に把握できます。 暗号化、およびアプリケーションの検出と制御の両方を利用することで、暗号化されたり偽装されている場 合でも、悪質なトラフィックと機密性の高いトラフィックを完全に検査できるため、死角を排除できます。この ソリューションにより、疑わしいトラフィック、リスクの高いトラフィック、またはプライバシー法の対象とならな いトラフィックで、アプリケーションをきめ細かく復号化できます。 Q&A 全送信トラフィックの復号化が重要な理由を教えてください。 復号化を行うと、機密情報を特定して制御でき、暗号化された悪質なトラフィックを検出してブロックするの に役立ちます。 ネットワーク境界を通過するすべてのトラフィックを復号化する必要はありますか。 いいえ。技術的な理由や規制(プライバシー)上の理由から、特定のトラフィックは暗号化すべきではあり ません。 脆弱性を把握する以外に、 McAfee Vulnerability Manager は境界保護にどのように役立ちますか。 McAfee Vulnerability ManagerをMcAfee Network Security PlatformおよびMcAfee ePOと統 合すると、状況把握と施行を強化できます。オンデマンドで、重要なホストの詳細を確認し、ホストに対する 脅威の関連性を把握できます。たとえば、実行しているOSとそのパッチのバージョン、および適用されてい る対策を把握すれば、システムが新しい脅威に実際に脆弱であるかどうかを判断できます。 ネットワーク境界の保護 7 追加情報 www.mcafee.com/gti (英語) www.mcafee.com/japan/products/network_security_platform.asp www.mcafee.com/japan/products/firewall_enterprise.asp www.mcafee.com/japan/products/vulnerability_manager.asp www.mcafee.com/japan/products/epolicy_orchestrator.asp www.mcafee.com/kb (英語) *本書は 2012 年 10 月時点での情報です。 仕様等の変更が生じる場合や、 一部、 日本未発売の製品も含まれています。 詳細はお問い合わせください。 ブリーフ 『Webアプリケーションの脆弱性のスキャン』 (英語) www.mcafee.com/us/resources/solution-briefs/sb-scan-web-apps-vulnerabilities.pdf 著者について DCISSPの認定保有者であるJoe Brownは、マカフィーのシニアセールスエンジニアで、情報システムセキュ リティの分野で15年以上の経験があります。マカフィーに入社する前は、ウォルマートでネットワークセキュ リティチームを指揮していました。Joeは、ノースウエストアーカンソーのInformation Systems Security Association(ISSA;情報システムセキュリティ協会)創設時の支部代表であり、4年間支部役員を勤めました。 米空軍に8年間勤務したベテランであり、戦場の管理機能と情報機能からネットワークエンジニアリングや セキュリティまで、さまざまな職務に従事しました。ステファンF.オースティン州立大学を卒業し、ここで経営学士 を取得しています。また、フェニックス大学で経営学修士も取得しています。 マカフィー株式会社 www.mcafee.com/jp 東 京 本 社 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F TEL:03-5428-1100(代) FAX:03-5428-1480 西日本支店 〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F TEL:06-6344-1511(代) FAX:06-6344-1517 名古屋営業所 〒460-0002 愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F TEL:052-954-9551(代) FAX:052-954-9552 福岡営業所 〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F TEL:092-287-9674(代) FAX:092-287-9675 McAfeeの英文/和文社名、各商品名、ロゴはMcAfee, Inc.またはその関連会社の商標または登録商標です。本書中のその他の登録商標および商標はそ れぞれその所有者に帰属します。 2012 McAfee, Inc. All Rights Reserved. ●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業 部までお問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。 MCABP-PTNP-1210-MC
© Copyright 2024 Paperzz