サイバーアタック対策 PC検疫システムのご紹介 日本電気株式会社 Copyright(C) NEC Corporation 2005. All rights reserved. 1. 市場動向 Copyright(C) NEC Corporation 2005. All rights reserved. ウィルス/ワームの脅威 ウィルスは過去の問題ではありません – ワクチン適用はすすんでいるはずだが、依然多くの被害が報告されている – 2004年3月からは実害率200%以上と、かつてないほどの高水準 IPA/ISECへのウイルス届出状況 最近の傾向 ① 凶悪化の一途をたどる ・ 機密ファイルの漏えい ・ イントラネットのダウン ② 感染速度UP ・ 全世界への蔓延は、MSブラスターの場 合、わずか3時間 ・ 新ウイルスの検出用パターンファイルの 更新が間に合わない。 ニムダ コードレッドII ③ セキュリティホールを悪用した 攻撃 MSブラスター ウェルチ Netskyウイルスの亜種 セキュリティホールを悪用する亜種 ・ セキュリティパッチの適用徹底に多大な 工数がかかる 出展:情報処理振興事業協会セキュリティセンター資料(2004年6月)より Copyright(C) NEC Corporation 2005. All rights reserved. 3 既知のセキュリティホールを悪用したウイルス/ワームが増加 既知のセキュリティ対策(セキュリティパッチ適用)を徹底させることが重要です 比率 100% 4.5% メール悪用 メール悪用 ウイルス ウイルス 26.1% 30.9% セキュリティホール セキュリティホール を悪用した を悪用した ウイルス/ワーム ウイルス/ワーム 80% 60.2% 60% 74.3% マクロウイルス マクロウイルス 58.8% 54.8% 40% 20% 30.5% その他 その他 20.1% 11.6% 14.2% 0% 1998 1999 4.1% 4.7% 3.5% 2000 2001 IPA ウイルス発見届出状況より引用 Copyright(C) NEC Corporation 2005. All rights reserved. 1.5% 2002 年 (6月まで) 4 脅威の事例 : MS ブラスター ・ WindowsXP、2000 OS本体の脆弱性をつくワーム ・ 国内の企業の約20%が感染(情報処理振興事業協会調) ・ 約半数が、復旧に1日以上費やす。一週間以上かかっ た 企業も約10%。 1時間程度で復旧 1日程度で復旧 0% 従業員規模1~29人(n=180) 従業員規模30~99人(n=223) 従業員規模100人以上(n=462) 全体(n=865) 20% 11.1 14.8 23.4 18.6 感染したことがある 40% 60% 80% 100% 85 3.9 81.6 3.6 半日程度で復旧 22.30% 1.7 74.9 23.60% 2~4日程度で復旧 26.10% 16.60% 7.60% 3.20% 0.60% 2.7 78.7 感染したことはない 不明または無回答 MS Blaster、Welchi に感染した有無 0% 20% 40% 60% 80% 100% 発見から復旧までに要した時間 情報処理振興事業協会調べ(IPA/ISEC) Copyright(C) NEC Corporation 2005. All rights reserved. 5 Windowsパッチ適用実施について 0% 従業員規模1~29人(n=268) 従業員規模30~99人(n=238) 従業員規模100人以上(n=474) 全体(n=980) 20% 40% 14.6 28.7 60% 80% 8.6 16.4 31.7 12.6 3.8 15.1 15.5 52.9 19.2 56.1 17 47.9 100% 10.7 12.7 3.8 1.1 12.9 18.6 各ユーザまかせ システム担当者が実施 ツールで自動化している 実施していない (出典:情報処理振興事業協会 セキュリティセンター調べ 2003年8月) Copyright(C) NEC Corporation 2005. All rights reserved. 6 MS ブラスター 感染原因 感染原因の25%は、自宅等からの不正な持ち込みPC 未回答、不明 19% 接続したインターネットから感染 持ち込んだPCから感染 25% 56% 情報処理振興事業協会調べ(IPA/ISEC) Copyright(C) NEC Corporation 2005. All rights reserved. 7 企業団体におけるウィルス感染経路 A社との 取引停止 ウイルス メールによって 社外に流出 Internet 取引先 B社 ウイルス A社に対し 損害賠償請求 FireWall 経路① 経路① メール・ Web メール・Web から感染 から感染 顧客 C店 ブラスタ感染被害原因の 25%が持ち込みPC 情報処理事業振興協会調べ グループウェアサーバ ファイルサーバ フロッピーディスク 経路② 経路② 記録媒体 記録媒体 経由で感染 経由で感染 部門サーバ 他のコンピュータ に2次感染 経路③ 経路③ 感染した PCの持込 感染したPCの持込 外出先の LANに接続 外出先のLANに接続 PC( PC(メモリ)カード CDCD-ROM/R/RW等 ROM/R/RW等 感染 感染 感染 感染 クライアントPC Copyright(C) NEC Corporation 2005. All rights reserved. PC持ち PC持ち出し 感染 感染 8 イントラネットセキュリティの重要性 企業・団体にとって重要問題化 イントラネットでの ウイルス 感染・拡大 ! ! ! ! ネットワークダウン、トラヒック増大 お客様へのウイルスばら撒き(お客様への迷惑) サーバダウン 重要情報の流出 イントラネットにおけるウイルス拡散防止の ためには以下の対策が必要です 侵入経路 IT対策(仕組み) しつけ・対策 侵 入 防 止 ① メール、Web からの侵入 •メールサーバへのワクチンフィルタ導入 •URLフィルタ導入 不審メール開封の防止教育 ② 持ち込み PC対策 • 持ち込みPC検知・PC検疫システムの構 PCの持込のルール ③ 記憶媒体経 由 •PC・サーバへのワクチン適正導入 •セキュリティパッチ完全適用 拡 散 防 止 感染PCの封じ込 め •不正侵入検知/防御システムの導入 •ネットワーク遮断システム PC・サーバ間の 拡散防止 •パーソナルファイアーウォールの導入 •PC・サーバへのワクチン適正導入 •PC・サーバのセキュリティパッチ完全適用 築 Copyright(C) NEC Corporation 2005. All rights reserved. 媒体取り扱い イントラネット集中監視 体制の整備、 感染時の緊急対策マ ニュアルの制定とその 教育徹底 9 このようなことでお困り、お悩みございませんか? システム管理者 (セキュリティ管理者) ① ウィルス/ワームの被害に対し、対策が打てない。 ② 「パッチ適用」「ウィルスワクチンのバージョン更新」の通知 を出しても、クライアントの対応状況を確かめる手段がない。 ③ 持込みPCを勝手につながせたくない。 ④ どのパッチを適用すれば良いかアドバイスが欲しい。 ⑤ 管理対象PCが膨大で、一元的に管理できる仕組みが欲しい。 ① 自分がセキュリティ上危険なPCを利用している 意識があまりない。 ② どのパッチを適用すればよいのか分からない。 ③ パッチの適用方法が分からない、不安だ。 クライアント利用者 このようなお客様に、PC検疫システムをおすすめします Copyright(C) NEC Corporation 2005. All rights reserved. 10 2. PC検疫システムのご紹介 Copyright(C) NEC Corporation 2005. All rights reserved. PC検疫システムとは? 認証DHCP・認証VLANの切り替え機能を利用し、セキュリティ未対策のPCを分離! 正規登録・セキュリティ 対策を完了しているPC セキュリティ対策を 行っていないPC 社内ネットワーク への接続を許可 クリーンLAN に強制接続 ○ 未登録の 持ち込みPC × △ パッチ用サーバ 社内ネットワーク への接続を禁止 認証VLANスイッチによるVLAN 振り分け機能+CapsSuite連携に より、検疫ネットワークを実現 L3SWまたは IP8800シリーズ <検疫ネットワーク(クリーンLAN)> ・各PCにてパッチ適用を実施するため の専用ネットワークです。 ・業務アプリサーバ ・メールサーバ ・WEBサーバ ・部門ネットワークリソース Copyright(C) NEC Corporation 2005. All rights reserved. 認証VLANサーバ <社内ネットワーク (イントラネット)> ・PC検疫システムにより、未登録のPCやセキュリティレベルの 低いPCの接続を許可せず、セキュアな環境を実現できます。 12 PC検疫システムのコンポーネント CapsSuite V3.0 VLANaccess+QIP (1)CapsSuite 統合管理サー バ (1)NEC VitalQIP Ver5.2 (2)CapsSuite ネットワーク管 理サーバ (2)NEC VitalQIP Registration Manager Ver1.2 DomainManager SiteManager NetworkAgent Enterprise Server Remote Server 認証Webサーバ (3)VLANaccessController 認証/検疫スイッチ (1)IP8800/700シリーズ フィルタリング/QoS機能に優れ た高性能認証/検疫スイッチ (2)VLANaccessAgent IP8800/700用VLANaccess連携 機能 認証スイッチ連携機能 (3) CapsSuite PC管理サーバ パソコン見張り隊サーバ パソコン見張り隊クライアント (4)VLANaccessLink 他認証システム連携機能 (オプション) (4) CapsSuite検疫連携機能 for VLANaccess L3スイッチ ( 1 ) L3SW(Shared Network 構 成) 連携によりPC検疫システムを実現! ・PC検疫により、セキュリティ対策が不十分なPCからのウィルス侵入を阻止 ・ユーザ認証VLAN機能による、内部NWからの情報漏洩を阻止、フロアのフリーレイアウト化を実現 ・ネットワーク内部の資産について、一元的な管理を実現 Copyright(C) NEC Corporation 2005. All rights reserved. 13 3. コンポーネント説明 Copyright(C) NEC Corporation 2005. All rights reserved. 3.1 CapsSuite Copyright(C) NEC Corporation 2005. All rights reserved. クライアント利用イメージ (セキュリティパッチの適用) 管理者が登録した適用すべきパッチのうち、そのパソコンで未適用のものを自動で判断し、 ポップアップで適用を促します。 利用者はいつも簡単な操作でパッチを適用できます。 ↓パッチチェックビューア (ポップアップ表示) ① パソコン起動時に、未適用パッチ のリストが表示されます パッチ概要説明画面↓ ② GOボタンをクリックするだけで パッチ概要説明画面へ移行します。 ③ exeをクリックし、パッチを適用します。 ポイント ポップアップ画面によってパッチの適用を促すことは、 利用者のセキュリティ意識の向上にもつながります Copyright(C) NEC Corporation 2005. All rights reserved. 16 部門別集計画面 管理者利用イメージ① ① ネットワークに接続された全ホストの数です。 ポイント パソコン見張り隊がインストールされていないPC (インストール忘れ、持込みPC) も全て把握しています。 ② ①のうちパソコン見張隊が インストールされていないPCが 何台あるか数値で把握できます。 ③ パソコン見張隊がインストールされているものについては、 ウイルスワクチンが導入されていないPCが何台あるか、 適用すべきパッチが適用されていないPCが何台あるか 数値で把握できます Copyright(C) NEC Corporation 2005. All rights reserved. 17 (参考) セキュリティ対策は「数える」ことから ・ 数えられるもの → コントロールできる ・ 数えられないもの → コントロールできない 御社のセキュリティレベルを、数値で答えられますか? CapsSuiteなら、社内のセキュリティレベルを数値で把握できます 「10%のパソコンに パッチがあたってない!」 セキュリティレベルを 数値で把握 部門責任者宛にメール、 館内放送など 改善計画・ 目標値を設定 施策を実施 「施策を打って 来週までに5%まで減らそう」 Copyright(C) NEC Corporation 2005. All rights reserved. 18 管理者利用イメージ② 対象LANに接続されている全てのマシンが 一覧で表示されます PC一覧画面 ・ パソコン見張り隊がインストールされていないマシン ・ ワクチンが最新でないマシン、 ・ 適用すべきパッチが適用されていないマシン、 には、「未導入」「未適用」と表示されますので、 問題PCの所有者をバイネームで把握できます。 ポイント 参照/更新の権限は、ユーザごとに設定することができますので、階層化した管理が可能です Copyright(C) NEC Corporation 2005. All rights reserved. 19 管理者利用イメージ③ PC詳細画面 パソコン見張隊がインストールされているPCについては、 収集したインベントリ情報を閲覧することができます ・ ・ ・ ・ ・ ・ ・ ・ ネットワーク情報 システム情報 CPU情報 メモリ情報 ディスク情報 ライセンス情報 セキュリティ情報 ユーザ入力情報 ※ これらのデータは、CSV形式で出力できます。 加工することで、棚卸し作業、ライセンス管理に利用できます。 Copyright(C) NEC Corporation 2005. All rights reserved. 20 CapsSuite主な特徴 セキュリティに関わる全情報を統合DBで一元管理 セキュリティに関わる全情報を統合DBで一元管理 セキュリティ管理者は、Web管理画面から管理対象となるクライアントのパッチ適用状況を一元的に 把握できます。 パッチ適用をポップアップ指示、操作性向上 パッチ適用をポップアップ指示、操作性向上 適用すべきパッチを自動で判断し、パッチが適用されていないクライアントPCに適用をポップアップで指示 します。操作性向上により、パッチの適用率が向上します。セキュリティ意識向上にもつながります。 PC接続情報収集によりセキュリティ対策を徹底 PC接続情報収集によりセキュリティ対策を徹底 ネットワークに接続されたすべてのIT資産(PC、サーバ等)を検出し、管理することにより、セキュリティ対策を漏 れなく徹底します。 未承認PC接続の検知と遮断 未承認PC接続の検知と遮断 外部から持ち込まれたPCが、ネットワークに接続されたことを検知し、通信を遮断します。セキュリティ対策 の不十分な端末からのウイルス感染、情報漏洩のリスクを低減します。 豊富な運用実績と、パッチ定義ファイル提供サービス 豊富な運用実績と、パッチ定義ファイル提供サービス 弊社および関係会社16万クライアントにて、すでに導入・運用しているシステムです。さらに、弊社内で展 開したパッチに関する情報をご提供するサービスもご用意しておりますので、運用面でも安心です。 Copyright(C) NEC Corporation 2005. All rights reserved. 21 CapsSuiteのシステム構成イメージ 約5000クライアントまで一台 のサーバで管理可能です (環境により負荷分散が必要) 統合管理 サーバ パソコン見張り隊を、 各クライアントPCにインストールします パソコン 見張り隊 サーバ ネットワーク 管理サーバ ・ PCインベントリ情報を収集 ・ パッチ未適用時にポップアップ指示 パッチ配布 サーバ ネットワーク エージェント サイト マネージャー パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 サイト マネージャー パソコン 見張り隊 ネットワーク エージェント サイト管理者B サイト管理者A ネットワーク エージェント パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 ネットワーク エージェント パソコン 見張り隊 パソコン 見張り隊 パソコン 見張り隊 ネットワーク エージェント パソコン 見張り隊 パソコン 見張り隊 ネットワーク エージェント ネットワークエージェントを パソコン 各セグメントに1つインストールします 見張り隊 ・ ネットワークに接続されたマシンを検出 ・ 未登録のものは接続を遮断! Copyright(C) NEC Corporation 2005. All rights reserved. 22 CapsSuiteの動き * ② ネットワーク接続機器情報を自動収集 統合管理 サーバDB * 適用すべき パッチのリスト ① PCインベントリ情報を自動収集 (パッチ適用状況、ウイルスワクチン情報、 HW資源情報、インストールSW情報) * サイト マネージャー ③ 適用すべきパッチのリストを 自動でダウンロード * ネットワーク エージェント * パソコン 見張り隊 * パソコン * パソコン 見張り隊 見張り隊 ⑤ ワンクリックで ダウンロードサイトへ パッチ未適用 ④ 未適用パッチをポップアップ表示 ⑥ ダウンロード・適用 パッチ ダウンロードサーバ Copyright(C) NEC Corporation 2005. All rights reserved. 23 3.2 VLANaccess+VitalQIP Copyright(C) NEC Corporation 2005. All rights reserved. VLANaccess+VitalQIPシステム構成 ① VLANaccess+VitalQIP Express5800シリーズ+SW:NEC VitalQIP 5.2 (Windows2000版) – – – – – – VitalQIP 5.2 • Enterprise Server (E/S – Sybase, GUI) • Remote Server (R/S – DHCP, DNS) Registration Manager Ver1.2 (R/M) • 認証ウェブ機能(HTML, CGI(Perl), プラットフォーム依存コマンド群(Win32)) • DHCP API ライブラリ Audit Manager(オプション機能:IPアドレス履歴監査) VLANaccessController VLANaccessLink(オプション機能:Windows2000 Active Directory等、他認証サーバ連携) VLANaccess検疫連携オプション ② 検疫スイッチ IP8800/700シリーズ+SW:VLANaccessAgent ★NEC自社開発製品★ 10GigabitEther対応 Copyright(C) NEC Corporation 2005. All rights reserved. 25 NEC VitalQIP5.2の紹介(1) IPアドレス管理・ユーザ認証、アクセス制御の機能を備えた『NEC VitalQIP5.2』についてご紹介します 特長 IPネットワークの運用性の飛躍的向上 ユーザ情報によるIPアドレス管理を一元管理することにより、コスト削減につながります 高信頼性 DHCPフェイルオーバ・DNSセカンダリの機能があります 高性能性 ネットワーク全体を1台のマシンで管理可能・ DHCP,DNS処理をマルチスレッド化しています 複数の装置に機能を分散することで、負荷分散 が可能です 運用・保守 CLIにより既存の情報を移行可・ユーザ固有の 情報の登録が可能です IPアドレス一覧 Copyright(C) NEC Corporation 2005. All rights reserved. 26 NEC VitalQIP5.2の機能(2) リモート管理機能 • QIPは、Windows 98 / 2000 用のグラフィカルユーザインタフェース (GUI)、Web ベースの管理インタフェー ス、さらに、コマンドラインインタフェース (CLI) を提供しています。これらのインタフェースにより、ネットワー ク管理をリモートから行うことができます。 • 複数の管理者を定義することにより、一人の管理者がすべての管理を行う必要はなく、数人による分散管 理ができます。 • 管理機能の制限を持たせることでそれぞれの管理者に運用可能な範囲/機能の制限ができます。 QIP管理者インタフェース画面 Copyright(C) NEC Corporation 2005. All rights reserved. Webインタフェース画面 27 NEC VitalQIP5.2の機能(3) レポート出力機能 以下について、ファイル、プリンタ、又はメールへの出力が可能です • DHCP オブジェクト情報リスト • 管理者プロファイル • 利用可能なサブネットをリストするフリーサブネットレポート • オブジェクトの履歴を確認するための監査履歴レポート • アドレス範囲、場所、管理者、アプリケーションごとの オブジェクトリスト • オブジェクトの所在を突き止めるための、名前、IP アドレス、 MAC アドレス、ユーザ定義フィールドに基づいた、 オブジェクトをリストする照会レポート DNSレポート出力例 インポート/エクスポート機能 QIPは、CLIによるインポート/エクスポート機能により、ネットワーク設定のバックアップが可能です Copyright(C) NEC Corporation 2005. All rights reserved. 28 NEC VitalQIP5.2の機能(4) AuditManager 監査・追跡機能 QIP内で以下の情報を追跡、収集します ・クライアントIPアドレス ・クライアントMACアドレス ・ログインID ・IPアドレス(DHCPリース情報) 割り当て、更新、開放 ・Windowsドメインへのログイン/ログオフ レポート機能 ユーザのログイン履歴、IP、MACアドレスなど、ネットワークの監査に必要な情報のレポート機能 を提供します。 各種条件による絞込みが可能なので、不正アクセス、異常発生時など、迅速に端末や、人物の 特定を行うことが可能となります。 誰がいつどのIPアドレスを利用したのか、ひと目でわかります! Copyright(C) NEC Corporation 2005. All rights reserved. 29 3.3 検疫スイッチ IP8800/700シリーズ Copyright(C) NEC Corporation 2005. All rights reserved. 検疫スイッチ(IP8800/700)紹介(1) Gigabit -Ethernet時代のバックボーン、アプリケーション保護、 Gigabit-Ethernet時代のバックボーン、アプリケーション保護、 企業内セキュリティ 向上を実現する 企業内セキュリティ向上を実現する NEC が自社開発・高品質・高性能レイヤ3スイッチ NECが自社開発・高品質・高性能レイヤ3スイッチ IP8800/730 フロアLAN向 32Gbps IP8800/720 16Gbps IP8800/710B IP8800/750 8Gbps 192Gbps IP8800/740 96Gbps 8 SLOT装備 GbE:MAX 16port FE:MAX 128port 価格 449万円~ 4 SLOT装備 GbE:MAX 8port FE:MAX 64port 価格 149万円~ 2 SLOT装備 GbE:MAX 2port FE:MAX 32port 価格 88万円~ IP8800/735 32Gbps 12 SLOT装備 GbE:MAX 96port FE:MAX 384port 価格 1,030万円~ 6 SLOT装備 GbE:MAX 48port FE:MAX 192port 価格 670万円~ Copyright(C) NEC Corporation 2005. All rights reserved. 2 SLOT装備 GbE:MAX 16port FE:MAX 64port 価格 400万円~ バックボーンLAN向 31 検疫スイッチ(IP8800/700) 特徴(1) 世界最高クラスの 世界最高クラスの スケーラブル・アーキテクチャ スケーラブル・アーキテクチャ (スイッチ容量8~384Gbps) (スイッチ容量8~384Gbps) 自社開発LSI ES4000 chip set ソフトウエア処理性能比1000倍の ソフトウエア処理性能比1000倍の ハードウェア・IPマルチキャスト処理 ハードウェア・IPマルチキャスト処理 10ギガビットイーサネットに対応 10ギガビットイーサネットに対応 超高速パケット転送技術 超高速パケット転送技術 (288Mpps) (288Mpps) 高性能ハードウェア 高性能ハードウェア レイヤ3/4フィルタリング処理 レイヤ3/4フィルタリング処理 8レベル・ハードウェア・QoS処理 8レベル・ハードウェア・QoS処理 日本工業新聞 H14.4.25掲載記事 世界に先駆けた 世界に先駆けた IPV6ハードウェア・ルーティング処理 IPV6ハードウェア・ルーティング処理 ES4000 Inside IP8800/700 シリーズ ・IPv6対応通信ネットワーク農水省から6億円で受注… 電波新聞 日刊工業新聞 H14.5.23掲載記事 ・認証仮想LANシステム発売・・・ 電波新聞 H14.11.16掲載記事 ・10ギガビットイーサネットモジュール対応・・ 機能強化 H15.10.27 ・容量を拡大したIP8800/710Bを発売… 機能強化 H16.8月末 リリース予定 ・上位機種用高密度10/100/1000BASE-Tポートカード Copyright(C) NEC Corporation 2005. All rights reserved. 32 検疫スイッチ(IP8800/700) 特徴(2) "NEC自社開発マルチレイヤ・スイッチ(レイヤ2/3スイッチ) "レイヤ3/4レベルのハードウェア高性能フィルタリングを装備 "ハードウェア8レベルQoS処理(WFQ、Shaper) "多様なVLANに対応(Tag,Port,MAC,IPsubnet,Protocol) "フレキシブルな構成が可能(スロット型、GBIC) "高信頼性/高可用性(冗長化、活線挿抜) "次世代IPアドレスIPv6に対応 "ハードウェア・マルチキャスト処理でマルチキャストも高速 "今後のコアNWの中心となる10Gbpsから、PCを直結する 10/100Mbpsの幅広い通信速度に対応 Copyright(C) NEC Corporation 2005. All rights reserved. 33 L3スイッチの条件 "1つのイーサネットポートに2つのサブネットを定義可能であるこ と(SharedNetまたはセカンダリアドレッシング機能) "DHCPリレー設定が可能であること "定義した2つのサブネットにおいて、一方のアドレスから発信 される通信の相手先を制限可能であること "DHCPリレー設定時に検疫ネットワーク側のサブネットのI/Fアド レスがDHCPリレーエージェントアドレスとして設定できること (CISCOであればPrimary I/Fに検疫ネットワーク側サブネットを設 定。基幹ネットワーク側サブネットはSecondaryI/Fとして設定) Copyright(C) NEC Corporation 2005. All rights reserved. 34 NECが提供するPC検疫システムの実現方式(1) ①認証DHCP方式 ・CapsSuiteと連携したPC検疫システム 認証DHCP機能とCapsSuiteを連携し、セキュリティ対策が行われていないPCを、対策専用の LAN(セキュリティVLAN)に強制接続。 <実現手段> 認証DHCP機能により、払いだすIPアドレスの振り分けを行なうことで、セキュリティLANへの 切替えを実施。 認証DHCPとは、認証が成功した利用者に、その利用者に設定してあるポリシーに従ったサブネットのIP アドレスがリースされ、イントラネットへのアクセスが可能となる仕組みになります。 <メリット> • ネットワーク機器を新規に導入することなく、ネットワーク機器の設定変更と認証DHCPサー バを使用してPC検疫システムが構築可能。 • 指紋認証、ICカード認証等の他の認証関連製品との連携によるSingle Sign Onも実現で きます。 Copyright(C) NEC Corporation 2005. All rights reserved. 35 NECが提供するPC検疫システムの実現方式(2) ② 認証VLAN方式 ・CapsSuiteと連携したPC検疫システム 認証VLANスイッチとCapsSuiteを連携し、セキュリティ対策が行われていないPCを、対策専用 のLAN(セキュリティVLAN)に強制接続。 <実現手段> 認証VLANスイッチにより、払い出すIPアドレスの振り分けを行なうことで、セキュリティLANへ の切替えを実施。 認証VLANとは、認証されたクライアント端末の情報を認証VLANスイッチに登録することにより、認証を 行っていないユーザからの不正アクセスを防止する仕組みになります。 <メリット> • 弊社IP8800利用の場合、認証VLANスイッチでMACアドレスでのアクセス制御を行うので、 IPアドレスの詐称にも対応可能。また、指紋認証、ICカード認証等の他の認証関連製品と の連携によるSingle Sign Onも実現できます。 Copyright(C) NEC Corporation 2005. All rights reserved. 36 検疫を実現するためのしくみ 認証VLAN方式 VLAN1 ③ ① IP8800 ①クライアントから認証VLANにログイン ②認証VLANからCaps連携サーバに状態問い合わせ ③検疫が必要であれば、クライアントを検疫 VLAN(VLAN1)に接続 ④検疫NWでパッチやウィルス対策の更新後再起動 →①、②のチェックをパスし、基幹NWの VLAN(VLAN2)に接続 統合DB PC管理サーバ 検疫ネットワーク NW管理サーバ Caps連携サーバ パッチ配布サーバ アンチウィルスサーバ ② 認証VLAN ID/パスワード ④ VLAN2 VLANaccess 基幹ネットワーク 業務サーバ ファイルサーバ... 上記動作の実現のため、認証VLAN装置としてIP8800シリーズが必要 認証DHCPと認証VLAN方式の違い 認証DHCP ○既存スィッチが利用可能 ○低価格(既存スィッチ活用可能) ×全て動的IPアドレスへの変更が必要(NAT等不可) ×固定IPで接続されると検疫されない(SecureVisor必須) Copyright(C) NEC Corporation 2005. All rights reserved. 認証VLAN ○固定IPの不正接続にも対応可能 ○高セキュリティレベル(IPアドレス詐称不可能) ×高価格(IP8800導入必須) 37 IEEE802.1X環境におけるPC検疫システム IEEE802.1X環境におけるPC検疫システム (CapsSuite連携) (CapsSuite連携) (開発中) (開発中) IEEE802.1X環境にてPC検疫システムの構築が可能! IEEE802.1X認証とウイルス対策状況を管理するIT資産管理製品(CapsSuite)を 連携させることにより、PC検疫システムを構築。 正規登録・セキュリティ対策 を完了しているPC 社内ネットワーク接続を 許可 未登録 持ち込みPC セキュリティ対策を 行っていないPC クリーンLANに 強制接続 IEEE802.1X認証、 VLAN振り分け機能を 持ったSwitch 社内ネットワーク 接続をガード × 製品構成 ・CapsSuite サイバーテロ対策製品 ・CapsSuite検疫連携オプション ・MOBILINK-500RD RADIUSサーバ ・MOBILINK検疫連携オプション ・VitalQIP IPアドレス、DHCP管理 MOBILINK CapsSuite CapsSuite VitalQIP クリーンルーム パッチ適用を実施 業務サーバ 社内ネットワーク (イントラネット) PC検疫システムにより、未登録、セキュリティレベルの低い PCの接続を許可せず、セキュアな環境を実現 IEEE802.1X認証時のVLAN振り分け機能により、セキュリティLANへの切り替えを実施。 Proxy-RADIUSサーバを追加することによる構築も可能です。 Copyright(C) NEC Corporation 2005. All rights reserved. 38 IEEE802.1X環境におけるPC検疫システム(CapsSuite連携) <利用イメージ> (開発中) ① IEEE802.1X認証処理を実行。 ② RADIUSサーバにて、EAP認証を実行。 ③ NGであれば、ネットワークへのアクセスを拒否 ④ OKの場合、さらに端末の固有情報(MACアドレス)をキーに、その端末のウイルス対 策状況をチェック(CapsSuiteへの問い合わせ)。 ⑤ OKであれば、通常の業務用VLANに接続。 ⑥ NGであれば、ウイルス対策用の特別なVLAN(検疫ネットワーク)に強制接続。そこで、 セキュリティパッチ適用等の処置を行い、再度認証処理を実行することにより、通常 の業務用VLANに接続可能に。 • 既存のIEEE802.1X環境に、Proxy-RADIUSサーバを追加することで、PC検疫システ ムを構築することも可能。 • ネットワーク機器は、IEEE802.1X認証機能とVLAN振り分け機能をもったSwitchであ れば対応可能。 Copyright(C) NEC Corporation 2005. All rights reserved. 39 4. 提案構成例 Copyright(C) NEC Corporation 2005. All rights reserved. 構築例(教育機関向け) 利用者 約1000人 計算機センター 学生VLAN パッチ未適用 学生用サーバ等 学生LAN 学生LAN パソコン見張り隊 検疫LAN 検疫LAN パソコン見張り隊 パソコン見張り隊 NetworkAgent 学生VLAN パッチ配布サーバ フロア部門HUB ES100/424 パソコン見張り隊 パソコン見張り隊 パソコン見張り隊 認証/検疫スイッチ IP8800/730 インターネット 教員VLAN NetworkAgent 教員LAN 教員LAN F/W ルータ パソコン見張り隊 パソコン見張り隊 統合管理サーバ ネットワーク管理サーバ パソコン見張り隊サーバ 本館 教員VLAN 事務LAN 事務LAN パソコン見張り隊 フロア部門HUB ES100/424 NetworkAgent 1台のサーバで管理可能 パソコン見張り隊 事務VLAN パソコン見張り隊 パソコン見張り隊 ユーザ 情報 事務VLAN パソコン見張り隊 VitalQIPサーバ 認証Webサーバ Windowsドメインコントローラ(AD) 、 教員用サーバ等 パソコン見張り隊 別館 高レベルのセキュリティ環境を構築 認証端末のMACアドレスを認証/検疫スイッチに登録し、認証/検疫スイッチのVLAN振り分けにより検疫LANへの切替を実施。 MACアドレスでのアクセス制御を行うので、IPアドレスの詐称にも対応可能。 Copyright(C) NEC Corporation 2005. All rights reserved. 41 構築例(教育機関向け) 構成機器価格一覧表 項目 1 . 認証/ 検疫ス イッ チ マルチレイヤスイッチ IP8800/730 ・100BASE-TX:128P ・VLANaccessAgent/LR 2 . フロア 部門HUB スイッチングハブ ES100/424 3 . 各種サーバ Express5800/120Rf-2 Express5800/110Re-1 ディスプレイ、キーボード、ラック、他 4 . Vi t al QIPサーバ: 関連ソフトウェア NEC VLANaccess Solution Pack 2000IPアドレス 5 . 検疫シ ス テ ム : 関連ソフトウェア CapsSuite1000 ・統合管理サーバ ・パソコン見張り隊サーバ ・パソコン見張り隊 1000クライアント ・ネットワーク管理サーバ 合計 6 . 各種サービス パッチ定義ファイル提供サービス(年間) 検疫システム構築支援サービス Copyright(C) NEC Corporation 2005. All rights reserved. 数量 一式(1台) 価格(円) 7,006,000 一式(45台) 9台 1台 8台 一式 一式 備考 2,061,000 6,000,000 各セグメントごとにNWエージェントを配 置。全てラック搭載。 4,670,000 5,720,000 CapsSuite 廉価版Pack 25,457,000 1 1,080,000 年額 1 個別見積もり 42 5. 価格表 Copyright(C) NEC Corporation 2005. All rights reserved. PC検疫システム製品価格 製品価格 金額 Client数 Subnet数 CapsSuite 500 1000 2000 5000 VLANaccess CapsSuite 検 疫連携forVLAN acces 合計金額 10 ¥3,730,000 ¥2,904,000 ¥785,000 ¥7,419,000 20 ¥4,450,000 ¥2,904,000 ¥785,000 ¥8,139,000 50 ¥6,900,000 ¥2,904,000 ¥785,000 ¥10,589,000 10 ¥5,720,000 ¥4,670,000 ¥1,452,000 ¥11,842,000 20 ¥6,410,000 ¥4,670,000 ¥1,452,000 ¥12,532,000 50 ¥8,500,000 ¥4,670,000 ¥1,452,000 ¥14,622,000 100 ¥11,840,000 ¥4,670,000 ¥1,452,000 ¥17,962,000 10 ¥10,520,000 ¥9,340,000 ¥2,335,000 ¥22,195,000 20 ¥10,520,000 ¥9,340,000 ¥2,335,000 ¥22,195,000 50 ¥12,610,000 ¥9,340,000 ¥2,335,000 ¥24,285,000 100 ¥16,250,000 ¥9,340,000 ¥2,335,000 ¥27,925,000 10 ¥24,920,000 ¥18,690,000 ¥5,072,000 ¥48,682,000 20 ¥24,920,000 ¥18,690,000 ¥5,072,000 ¥48,682,000 50 ¥25,210,000 ¥18,690,000 ¥5,072,000 ¥48,972,000 100 ¥28,850,000 ¥18,690,000 ¥5,072,000 ¥52,612,000 ※CapsSute、 CapsSuiteパッチ適用情報パッケージ、および、VLANaccessSolutionPack、の合計金額を、各ユーザ数をもとに計算したものです。 ※各サーバソフトをインストールするためのサーバ装置、ネットワーク装置などの、ハードウェ アに関わる金額は含みません。 ※セグメント数が多い場合には、別途NW管理エージェントの追加ライセンスが必要となる場合があります。 ※VLANaccessSolutionPackは、クライアント数×2倍のIPアドレスライセンスでの金額です。ネットワーク構成によっては、これ以上のライセンス数が必要となる場合があります。 ※各ソフトウェアの保守、サポート料金は含みません。 ※認証VLANを構築する場合は、SWにIP8800/700(VLANaccessAgent)が必要になります。 Copyright(C) NEC Corporation 2005. All rights reserved. 44 PC検疫システムオプション製品価格 オプション製品価格 Client数 CapsSuite 強制適用 VitalQIP Audit Manager VLANaccessLink 500 ¥300,000 ¥812,000 ¥548,000 1000 ¥450,000 ¥1,175,000 ¥790,000 2000 ¥900,000 ¥2,330,000 ¥1,560,000 5000 ¥2,000,000 ¥4,115,000 ¥2,750,000 オプション製品月額保守費用 Client数 CapsSuite 強制適用 VitalQIP Audit Manager VLANaccessLink 500 ¥4,000 ¥12,900 ¥7,600 1000 ¥5,700 ¥18,400 ¥10,700 2000 ¥11,400 ¥35,800 ¥20,400 5000 ¥25,000 ¥62,500 ¥35,200 Copyright(C) NEC Corporation 2005. All rights reserved. 45 PC検疫システム月額保守費用 月額保守費用 金額 Client数 Subnet数 CapsSuite 500 1000 2000 5000 VLANaccess CapsSuite 検 疫連携forVLAN acces 合計金額 10 ¥46,800 ¥36,300 ¥18,200 ¥101,300 20 ¥55,800 ¥36,300 ¥18,200 ¥110,300 50 ¥82,000 ¥36,300 ¥18,200 ¥136,500 10 ¥71,500 ¥58,400 ¥29,200 ¥159,100 20 ¥80,200 ¥58,400 ¥29,200 ¥167,800 50 ¥106,400 ¥58,400 ¥29,200 ¥194,000 100 ¥148,000 ¥58,400 ¥29,200 ¥235,600 10 ¥131,500 ¥116,800 ¥63,400 ¥311,700 20 ¥131,500 ¥116,800 ¥63,400 ¥311,700 50 ¥157,700 ¥116,800 ¥63,400 ¥337,900 100 ¥203,200 ¥116,800 ¥63,400 ¥383,400 10 ¥311,500 ¥233,700 ¥92,800 ¥638,000 20 ¥311,500 ¥233,700 ¥92,800 ¥638,000 50 ¥315,200 ¥233,700 ¥92,800 ¥641,700 100 ¥360,700 ¥233,700 ¥92,800 ¥687,200 Copyright(C) NEC Corporation 2005. All rights reserved. 46 PC検疫システム構成製品機能比較表 CapsSuite ASSETSCAN WormGuard 強制適用 VLANaccess VitalQIP セキュリティパッチ 適用状況の把握 ○ × × ○ × ウイルス対策ソフ ト導入状況の把 握 ○ △ × × × △※1 ○ × × × 不正接続検知 ○ × × × × 不正端末通信妨 害 ○ × × × ○ PC検疫システム の構築 △※2 × × × ○ ワーム検出 × × ○ × × セキュリティパッチ の適用指示 ○ × × × × IT資産管理 ※1 プログラムの追加と削除程度の情報が管理可能 ※2 構成製品となるが、単体では構成不可能 Copyright(C) NEC Corporation 2005. All rights reserved. 47 PC検疫システム構成製品機能比較表 CapsSuite ASSETSCAN WormGuard 強制適用 VLANaccess VitalQIP セキュリティパッチ の強制適用 × × × ○ × DHCPサーバ管理 × × × × ○ GUIによるIPアドレ スの履歴監査 × × × × ○ ユーザ認証 × × × × ○ 認証VLAN × × × × ○ ICカード連携 × × × × ○ Copyright(C) NEC Corporation 2005. All rights reserved. 48 6. お問合せ・情報発信 Copyright(C) NEC Corporation 2005. All rights reserved. お問合せ先 問合せ先 ソフトウェア全般: NEC ユビキタスソフトウェア事業部 電話(03)3456-5692 eメール [email protected] NECソフト 静岡支社ITソフトウェアビジネス部 電話(054)255-1940 eメール [email protected] 検疫スイッチ: NEC ブロードバンドプロダクト推進本部 製品企画・TACグループ eメール [email protected] 製品情報Web: http://www.sw.nec.co.jp/cced/capssute/ http://www.sw.nec.co.jp/middle/WebSAM/products/QIP/index.html http://www.sw.nec.co.jp/middle/WebSAM/products/VLANaccess/ http://www.octpower.com/ Copyright(C) NEC Corporation 2005. All rights reserved. 50 プロフェッショナルサービス PC検疫システム を熟知した専門の技術者により、お客様の活動を バックアップするプロフェッショナルサービスを提供致します " 設計支援サービス システムを受注し、設計作業に入ってからの全工程に対して、製品に関連する ノウハウの提供、技術支援、製品のカスタマイズのサービスをします。 " 導入支援サービス 製品の初期導入、バージョンアップ、リビジョンアップに際して、該当作業を支援する サービスです。運用教育メニューもございます。 VitalQIP、VLANaccessプロフェッショナルサービス SecureVisorプロフェッショナルサービス CapsSuite構築SIサービス セキュリティVLAN構築SIサービス 専門技術者によるプロフェッショナルサービ スは、製品知識を熟知した技術者により、 ・最適なシステム設計 ・最適なインストール、セットアップ ・最適な運用管理環境の構築 を提供致します。 これにより、システム構築におけるトータルコ ストを最適なものにすることが可能です。 運用管理教育サービス Copyright(C) NEC Corporation 2005. All rights reserved. 51 7.NEC社内のサイバーアタック対策(CAPS) Copyright(C) NEC Corporation 2005. All rights reserved. 5つの反省(CAPS導入前) 2001年8月 コードレットⅡの対策 ・ 社内で使われているPC、サーバの数を把握していなかった ・ PC利用者へのセキュリティ教育が不十分で、対応が遅れた ・ 危機的状況における対応、体制、訓練が不十分であった ・ 持込PCに対する運用ルールの徹底がなされていなかった ・ 被害規模を正確に把握できなかった 5つの反省 一方的な通知のみで、対策状況の把握確認をするすべがない。 被害の沈静化状況、計画が立てられず、ただ対応に追われた。 Copyright(C) NEC Corporation 2005. All rights reserved. 53 NECのサイバーアタック対策の考え方 予防対策を十分におこなった上で、万一攻撃を受けたときには 予防対策を十分におこなった上で、万一攻撃を受けたときには 速やかに問題箇所を局所化、被害を最小限にとどめる 速やかに問題箇所を局所化、被害を最小限にとどめる 予防 247監視 センター ・ 未登録PCを含め、ネットワークに接続されたすべての PCを把握 ・ セキュリティパッチの適用状況を把握 ・ ワクチンの設定を把握 ・ パッチ等をタイムリーで効率的に配布 検知 ・ 既知の攻撃パターンによる侵入を検知かつ防御 ・ 既知パターン以外の異常を検知 局所化 ・ 問題発生ネットワークを的確かつ速やかに遮断 復旧 ・ 問題解決後の迅速なネットワーク再接続 Copyright(C) NEC Corporation 2005. All rights reserved. 54 NECのサイバーアタック対策全体イメージ PC/サーバ管理 (=CapsSuite) 統合管理 統合管理 漏れの無いワクチン導入、 漏れの無いワクチン導入、 OSパッチ対策 OSパッチ対策 統合監視 統合監視GUI GUI ① 情報セキュリティの一元管理 ② ポップアップによるパッチ配布 ①② ①② 統合DB 統合DB ③ ③ PC接続監視エージェント PC接続監視エージェント ④P ④P C管理エージェント C管理エージェント ③ NW接続機器情報把握と不正接続の遮断 ④ PCインベントリの収集 (HW、SW、パッチ情報) セキュリティポリシーの策定 ネットワークインフラ管理 不正侵入対策/ 不正侵入対策/ 防御対策 防御対策 ⑤ 不正パケットの検出(IDS) ⑥ 防御(IDP) ⑦ ⑦ RouterCare RouterCare ⑤ ⑤ RealSecure RealSecure ⑥ NetScreen-IDP ⑥ NetScreen-IDP ⑧ ⑧ GateMinder GateMinder ⑦ ルータ管理(問題箇所の切断) ⑧ 未知攻撃の検出 セキュリティインシデント情報の共有 セキュリティ診断・監査 (定期的) セキュリティマネジメントサイクルの確立・維持 PC/サーバ管理に関するノウハウを、CapsSuiteとしてお客様向けにパッケージ化 Copyright(C) NEC Corporation 2005. All rights reserved. 55 NEC導入規模・スケジュール 第1次展開:NECへの導入 • • • プロジェクト発足、準備開始:2002年4月 – 要件定義 – セキュリティ管理者向けに運用と管理方法を説明 – エンドユーザに通知 システム稼動時期:2002年12月 導入規模:6万クライアント 社内LANの整備 • • 検知システム:2002年11月より順次稼動 ネットワーク遮断システム: 2002年11月より順次稼動 – ルータ設置:255箇所(2003年5月現在) 第2次展開:NEC関係会社への導入 • • システム稼動時期:2003年6月より順次稼動 導入規模:2004年11月現在、約20万クライアント Copyright(C) NEC Corporation 2005. All rights reserved. 56 Copyright(C) NEC Corporation 2005. All rights reserved.
© Copyright 2024 Paperzz
