標的型攻撃対策と スマートデバイス管理を強化した FortiOS 5.0 のご紹介 フォーティネットジャパン株式会社 www.fortinet.co.jp 1 Copyright © Fortinet, Inc. All Rights Reserved. FortiOS 5.0リリースの背景 2 Copyright © Fortinet, Inc. All Rights Reserved. ネットワーク構築の傾向 • 10Gを越える帯域へ発展 • ユビキタス・ワイヤレス・ネットワーク • スマートデバイス/BYOD • ビデオと音声 • IPv6 ネットワーク 3 Copyright © Fortinet, Inc. All Rights Reserved. セキュリティ対策の傾向 • 脅威のスケールが拡大 • トラフィックの可視化 • 検知の精度向上 • さまざまなポリシー適用が必要 • ログの増加 4 Copyright © Fortinet, Inc. All Rights Reserved. 変わらないもの……. • IT予算 »現状維持から削減傾向 • 部門の規模 »現状維持から縮小傾向 • IT部門によって管理されて インターネット接続されている デバイスの数は、2年毎に倍増 5 Copyright © Fortinet, Inc. All Rights Reserved. FortiOS 5.0のハイライト より管理性 を高める 標的型攻撃との戦い クライアント・レピュテーショ ン UTMエンジンの拡張 ボットネット対策 PCとスマートデバイスを セキュアに デバイスのID管理 デバイスベースのポリシー エンドポイントコントロール よりセキュア スマートポリシーの策定 セキュアなゲストアクセス 可視化とレポーティング アイデンティティ中心の ポリシー実行 より効率良く 150以上の新機能 と機能拡張 6 Copyright © Fortinet, Inc. All Rights Reserved. FortiOS 5.0の想定ユーザ • エンタープライス、官公庁、地方自治体向け »標的型攻撃対策の強化 »スマートデバイス/BYODの、より安全な社内ネットワークへのアクセス の実現 »エンドポイントコントロール »可視化とレポートによる管理性の向上 »無線LANのメッシュネットワーク による、大規模導入のサポート • データセンター、サービスプロバイダ向け »IPv6の機能強化 7 Copyright © Fortinet, Inc. All Rights Reserved. FortiOS 5.0の新機能 8 Copyright © Fortinet, Inc. All Rights Reserved. 目次 9 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. FortiOS 5.0のセキュリティ強化 FortiClient 5.0 感染端末 リモートサイト 社内 FortiGuard ボットネット C&Cサーバ 10 Copyright © Fortinet, Inc. All Rights Reserved. 11 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. 標的型攻撃対策の新機能 12 Copyright © Fortinet, Inc. All Rights Reserved. 標的型攻撃対策の新機能 13 Copyright © Fortinet, Inc. All Rights Reserved. ローカル・サンドボックス AVエンジン V2.0 ライトウェイト 仮想マシンエミュレータ ローカル サンドボックス 14 Copyright © Fortinet, Inc. All Rights Reserved. ローカル・サンドボックス OSに非依存の ファイルAnalysis Java Script、 Flash、 PDFなど のマルウェア・イン ジェクションを 検出・ブロック ライトウェイト 仮想マシンエミュレータ ローカル サンドボックス 15 Copyright © Fortinet, Inc. All Rights Reserved. ローカル・サンドボックス OSに非依存の ファイルAnalysis Java Script、 Flash、 PDFなど のマルウェア・イン ジェクションを 検出・ブロック ライトウェイト 仮想マシンエミュレータ ローカル サンドボックス 16 Copyright © Fortinet, Inc. All Rights Reserved. Webアプリなどの マルウェア検知 標的型攻撃対策の新機能 17 Copyright © Fortinet, Inc. All Rights Reserved. クラウド・サンドボックス FortiGate ①疑わしいファイル ! FortiCloud クラウド サンドボックス 18 Copyright © Fortinet, Inc. All Rights Reserved. クラウド・サンドボックス FortiGate ② 不審な実行ファイルなどを 解析のため送信 疑わしいファイル ! FortiCloud クラウド サンドボックス 19 Copyright © Fortinet, Inc. All Rights Reserved. クラウド・サンドボックス エミュレート ・各種OS FortiGate (Win/Mac/Linux) ・パッチレベル ・Application Version 疑わしいファイル ! Scoring、Classification 全ファイルタイプ ・ネットワーク Activity をエミュレート ・API call ・ファイルシステム変更 検査(※) ・permission変更 ・メモリ、レジストリ変更 サンドボックス Full 仮想マシンエミュレータ FDN ③エミュレート、シグネチャ生成 ※全ファイルタイプ ・Portable Executable(PE): DLL、Font Files、Object Code Tor Network ・Browser Script、 OS Script ・PDF、 Flash など 20 Copyright © Fortinet, Inc. All Rights Reserved. クラウド・サンドボックス FortiGate 疑わしいファイル ! ④ シグネチャダウンロード FortiCloud 21 Copyright © Fortinet, Inc. All Rights Reserved. クラウド・サンドボックス FortiGate 疑わしいファイル ! ⑤以降は防御 FortiCloud クラウド サンドボックス 22 Copyright © Fortinet, Inc. All Rights Reserved. 標的型攻撃対策の新機能 23 Copyright © Fortinet, Inc. All Rights Reserved. クライアント・レピュテーション FortiGate ①ユーザの気付か 感染端末? ないアクセスが 徐々に開始 悪意のあるサイト? 24 Copyright © Fortinet, Inc. All Rights Reserved. クライアント・レピュテーション FortiGate ①ユーザの気付か 潜在的な ゼロデイ攻撃を 識別 ないアクセスが 徐々に開始 感染端末 脅威ステータス 振る舞いベースのレピュテーション ② 複数のスコアベクトル ③ リアルタイム、 相対評価、 ドリルダウン、 相関分析 悪意のあるサイト? ID識別 ポリシー スコアの計算 エンフォースメント 25 Copyright © Fortinet, Inc. All Rights Reserved. ランキング クライアント・レピュテーション スコアリング FortiGate ①ユーザの気付か 潜在的な • 外部への不正なコネクションの試み ないアクセスが ゼロデイ攻撃を (例:DNSに存在しないdomainへアクセス、 徐々に開始 識別 route tableにないIPへアクセス、HTTP 404 errorsなど) • セキュリティポリシーによるブロック歴 脅威ステータス 感染端末 振る舞いベースのレピュテーション •各Protection( IPS、マルウェア、 リアルタイム、 相対評価、 複数のスコアベクトル ApplicationControl)による検知歴 ドリルダウン、 相関分析 ② ③ • Webアクセスのアクティビティ • 疑わしい地域(国)へのアクセス 悪意のあるサイト? など ID識別 ポリシー スコアの計算 エンフォースメント 26 Copyright © Fortinet, Inc. All Rights Reserved. ランキング クライアント・レピュテーション 感染端末のアクティビティ をトラッキング、検知 感染端末? FortiGate ④疑わしいクライアント情報を 管理者へレポーティング 悪意のあるサイト? 27 Copyright © Fortinet, Inc. All Rights Reserved. クライアント・レピュテーション • 振る舞いを監視・記録することで、 デイバイスに潜む未知のマルウェアを検出 デバイスの認識 感染端末 振る舞いの評価 脅威の分析/レポート 振る舞い監視・記録 複数のスコアベクトル リアルタイム、 相対評価 ドリルダウン、 相関分析 ポリシーの適応 28 危険度スコア の設定 Copyright © Fortinet, Inc. All Rights Reserved. 危険ランキングの表示 標的型攻撃対策の新機能 29 Copyright © Fortinet, Inc. All Rights Reserved. ボットネット対策 • フローベースのアンチウイルス・シグネチャ ①AVシグネチャ 感染端末 ②C&Cサーバへ アクセス FortiGate ③拡張AVエンジンで 遮断! C&Cサーバ 30 Copyright © Fortinet, Inc. All Rights Reserved. FortiGuard ボットネット対策 • URLフィルタリング 端末 ②URL フィルタリング・ データベース ①ボットネットのURLへ 誘導されるユーザ FortiGate ボットネットサイト: URL ③URL フィルタリングで 遮断! C&Cサーバ 31 Copyright © Fortinet, Inc. All Rights Reserved. FortiGuard ボットネット対策 • アドバンスド・アプリケーション制御と不正侵入検知/防御(IPS) ①Applicationシグネチャ IPSシグネチャ 感染端末 ②C&Cサーバへ 通信、コマンド FortiGate ③特有の通信コマンド、 挙動を見て遮断! C&Cサーバ 32 Copyright © Fortinet, Inc. All Rights Reserved. FortiGuard 標的型攻撃対策の新機能 33 Copyright © Fortinet, Inc. All Rights Reserved. ウォーターマーク(情報漏洩防止:DLP) ①Fortinet ウォーターマーキング ソフトウェア Water Mark 管理者は、ファイルに ウォーターマークを付けて管理 FortiGate ②仕事で必要なため、 社員がダウンロード Water Mark ④FortiGateが発見して 外部流出を防御! ③何らかの原因で 外部へ送信 FDN ! 34 Copyright © Fortinet, Inc. All Rights Reserved. 標的型攻撃からの、防御サイクルを実現! 35 Copyright © Fortinet, Inc. All Rights Reserved. 36 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. スマートデバイス/BYOD 管理性をより高め PCとスマートデバイスをセキュアに • デバイスベースのポリシー • エンドポイントコントロール 37 Copyright © Fortinet, Inc. All Rights Reserved. デバイス識別 デバイスの識別 • デバイス&OSフィンガープリント • デバイスの分類&マネジメント • デバイスコンテキストの表示 デバイスタイプの識別、デバイスコン テキスト情報の可視化 デバイスやデバイスタイプに基づいた FWポリシーの適用 デバイスベースポリシー • デバイス/デバイスグループに対し てFWポリシーを適用 スマートデバイス/BYODの安全性を 高める環境構築 スマートデバイス/BYOD環境に 求められる要素 デバイスの識別 デバイス毎のセキュリティポリシー制御 ユーザとデバイスの可視化 デバイスグループリスト 38 Copyright © Fortinet, Inc. All Rights Reserved. デバイス識別 見える化… Control IT 認識/識別 デバイス識別 (アイデンティフィケーション) エージェントレス エージェントベース アクセスコントロール デバイス識別ポリシー セキュリティ アプライアンス UTMプロファイル スマートデバイス/BYOD環境のセキュリティ • デバイス/デバイスグループに対して異なるセキュリティポリシーを設定 • Windows ADやユーザ認証環境との連携でユーザとデバイスの可視化 39 Copyright © Fortinet, Inc. All Rights Reserved. デバイスごとのポリシー ポリシー デバイス識別ベースの セキュリティーポリシー 発信 元 宛先 #1 デバイスグループ #1 サービス Port #1 UTM プロファイル #1 宛先 #2 デバイス #1 デバイス #2 サービス Port #2 UTM プロファイル #2 ANTIVIRUS/ ANTISPYWARE 40 ANTISPAM APPLICATION CONTROL 情報漏洩防止(DLP) INTRUSION PREVENTION • デバイスまたはデバイスグ ループにアクセスポリシーと プロファイルを割り当てる • デバイスは自動的にデバイ スグループに分類される • カスタムデバイスグループ を定義することもできる WEB フィルタリングING Copyright © Fortinet, Inc. All Rights Reserved. ユーザ認証と組み合わせ① ユーザ認証との組合せ • Windows AD 等のユーザ認証との組合せによって ユーザ個々の利用デバイスを可視化できる • トラフィックログに対してユーザ・デバイスの可視化 41 Copyright © Fortinet, Inc. All Rights Reserved. ユーザ認証と組み合わせ② 統合クライアント FortiClient 5.0 (エンドポイントコントロール) Webフィルタ リモートVPN 脆弱性スキャン アンチウィルス アプリケーション ファイアウォール 二要素認証 WAN 最適化* WindowsおよびMAC OSX 無償で利用可能 FortiGateと連携することでより強固なエンドポイントセキュリティを実現 * MAC 版にこの機能はありません 42 Copyright © Fortinet, Inc. All Rights Reserved. 43 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. FortiClient 5.0 – クライアントのコントロール – FortiGateからFortiClientを コントロール • • • • クライアント端末の状態チェック “Off-net” セキュリティポリシーの強制 VPN設定プロビジョニング エンドポイントロギング クライアント端末が一定のセキュリ ティ要件を満たすよう強制 セキュリティとVPNの設定を FortiGateから配布 クライアントの行動をロギング クライアント端末の状態チェック (Captive Portal) • FortiClientがインストールさ れ、稼働しているかどうかチ ェック FortiClient 44 Copyright © Fortinet, Inc. All Rights Reserved. FortiClient 5.0 -Off-Net(Off-FortiGate)プロテクション 1• FortiClientは自身を FortiGateに登録し、 セキュリティポリシー を受け取り実行 LAN ON 2• FortiClientは最後に 受け取ったセキュリテ ィポリシーとVPN設 定を実行 インターネット • FortiGateに「未接続時: off-net」も「接続時」と同 等のセキュリティを提供 • FortiGateのアプリケーシ ョンおよびWebフィルタプ ロファイルを利用可能 OFF 45 Copyright © Fortinet, Inc. All Rights Reserved. FortiClient 5.0 –エンドポイントプロファイル– エンドポイントセキュリティ FortiGate設定画面 • 端末のポリシー配布用プロファイル » アンチウィルスリアルタイムスキャンの 強制 » アプリケーションファイアウォールの強 制 » Webフィルタの強制 » 脆弱性スキャンの強制 » VPN設定 » ロギング • FortiGateのUTMプロファイルを利 用可 » アプリケーションコントロール » Webフィルタ • エンドポイントプロファイルは仮想 UTM(VDOM)に一つ 46 Copyright © Fortinet, Inc. All Rights Reserved. FortiClient 5.0 –デバイス識別– FortiClient有り FC FC DMZ INTERNET FortiClient無し 検知テクニック • FortiClient無しの場合 デバイスベースポリシー » TCPフィンガープリントによるOSの特定 » MACアドレスベンダーコードによるデバイス特定 » FortiGateにL2で接続していなければならない • FortiClient有りの場合 » FortiClientがOS、デバイスを特定 » ログインユーザも特定 47 Copyright © Fortinet, Inc. All Rights Reserved. 48 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. ユーザ、OS、デバイスベースの可視化 デバイス情報を識別し、管理&可視化を向上させます。 また資産の投資に対する判断材料として使うこともできます。 • 各 OSの利用比率を確認し脆弱性対応の指標に! • デバイス識別を利用し スマートデバイス/BYOD管理向上 に!! • ユーザ名からトラフィックを判断!!! ※AD以外に SMTPなど Mail情報からも 端末ごとに詳細な出力!! 識別可能!!! 49 Copyright © Fortinet, Inc. All Rights Reserved. 脅威の詳細確認(FortiGuard Encyclopedia) • FortiGuardセンターに照会せずローカルで説明が出力できま す。 50 Copyright © Fortinet, Inc. All Rights Reserved. レポート • 通信の宛先を国別で出力します。 • 送受信情報は見やすいグラフ 51 表記!! Copyright © Fortinet, Inc. All Rights Reserved. 52 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. IPv6 セキュリティ機能対応一覧 機能 53 対応 ファイアウォール Yes ウイルス対策 Yes Web フィルタリング Yes 情報漏洩防止(DLP) Yes E-mail フィルタリング Yes VoIP Yes ICAP Yes 不正侵入検知/防御(IPS) Yes アプリケーション制御 Yes Administrative Access (HTTP/HTTPS/PING/SSH/TELNET/SNMP/FMG) Yes Trusted Hosts Yes Copyright © Fortinet, Inc. All Rights Reserved. New New 54 標的型攻撃対策 スマートデバイス/BYOD エンドポイントコントロール 可視化 IPv6機能強化 無線LANの新機能 Copyright © Fortinet, Inc. All Rights Reserved. 無線LANの新機能 -1対応する攻撃タイプ例 • 無線LAN IDS »FortiWiFi/FortiAPに無線 LAN IDSプロファイルを適 用し、無線LANを通した 攻撃や侵入を防御 FortiGate (Controller) FortiWiFi/FortiAP 攻撃 55 Unauthorized Device Detection 未認証デバイスの検知 Rogue/Interfering AP Detection 悪意のあるAPや電波干渉を引き 起こすAPの検知 Adhoc Network Detection and Containment アドホックネットワークの検知、接 続の停止 Wireless Bridge Detection ワイヤレスブリッジの検知 Misconfigured AP Detection 不適切な設定がされたAPの検知 Weak WEP Detection 脆弱なWEP利用の検知 Multi Tenancy Protection マルチテナント環境での保護 MAC OUI Checking 不正なOUI(MACアドレスのベンダ ーコード)のチェック Copyright © Fortinet, Inc. All Rights Reserved. 無線LANの新機能 -2• 無線メッシュ »FortiGate/FortiWiFi/FortiAPをメッシュネットワーキングで接続すること により、広いエリアにまたがる無線LANを低コストで展開することができ ます • ローカル ブリッジ »FortiAPの無線LANを有線LANへブリッジすることで、有線/無線クライ アントを同一ネットワークに配置できます。 »コントローラはリモートからFortiAPを管理できます。 56 Copyright © Fortinet, Inc. All Rights Reserved. www.fortinet.co.jp 57 Copyright © Fortinet, Inc. All Rights Reserved.
© Copyright 2026 Paperzz
