IBM ISSが実現する「事前防御」
日本アイ・ビーエム株式会社
ITS事業 ISS事業部
ISS営業 テクニカル・ソリューション部長
小倉 秀敏
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Agenda
事前防御とは?
事前防御を実現するProventia®
Proventia®の位置付け
事前防御が必要な理由:脅威の現状
脅威の侵入経路
事前防御なしで引き起こされるビジネスリスク
IBM Global Technology Services
© 2007 IBM Corporation
事前防御とは?
IBM ISSの強み
X-Force®
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
事前防御を実現するIBM ISSのキー・テクノロジー
Virtual Patch®
– 脆弱性に対応した防御シグネチャー。攻撃が世に出る前に保護を
提供
VPS : Virus Prevention System
– 振る舞い監視から不正プログラムを検知・防御するシステム
BOEP : Buffer Overflow Exploit Prevention
– 不正なWord文書、PDF文書などアプリケーションに対する攻撃から
システムを防御
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
脆弱性と対応したVirtual Patch®
Microsoftパッチ番号
内容
Virtual Patch®シグネチャ名
MS07-011
MS07-012
MS07-013
Microsoft OLEダイアログの脆弱性により、リモート
でコードが実行される (926436)
Microsoft MFC の脆弱性により、リモートでコード
が実行される (924667)
Microsoft リッチ エディットの脆弱性により、リモー
トでコードが実行される (918118)
RTF_MFC_OLE_Overflow
MS07-014
Microsoft Wordの脆弱性により、リモートでコード
が実行される (929434)
CompoundFile_Word_Code_Exec
MS07-015
Microsoft Officeの脆弱性により、リモートでコード
が実行される (932554)
CompoundFile_Office_Document_CodeEx
ec
MS07-016
Internet Explorer用の累積的なセキュリティ更新プ
ログラム (928090)
FTP_Bad_Response_Overflow
HTML_IE_ActiveX_Loader_Heap_Corrupti
on
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Virtual Patch®による事前防御の実例:MS IE VML脆弱性
Virtual
Virtual
Patch
Patch
IBM ISSの動き
2006/3/28
X-Force®はJavaスクリプト
シェルコード防御シグチャーを
リリース
2006/9/19
ISSは防御シグネチャー
によりゼロデイ攻撃の
発生を発見
2006/9/20
新たな攻撃手法
と複数の亜種が
発生
2006/9/26
6ヶ月前からIBM ISS
顧客は保護(事前防御)
他社の動き
2006/3/28
研究機関を持たない他社は
VML脆弱性について何も理解
していない
2006/9/16
MS06-055
アナウンス
2006/9/22
競合他社は事
後対応を開始
2006/9/26
Microsoftがパッチ
をリリース
参照:http://www.microsoft.com/japan/technet/security/Bulletin/MS06-055.mspx
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
BOEPとは
バッファ・オーバーフロー攻撃からシステムを防御
バッファ・オーバーフローとは?
– 不正に任意のプログラムを気づかれないように実行できる攻撃手法
– 不正プログラムが利用する常套手段
– WordやAcrobat Readerなどアプリケーションも攻撃可能
事前防御の要素は
– バッファ・オーバーフローさせることそのものを検知・防御
• レガシーではオーバーフローさせて実行したプログラムで検知
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
BOEPの動作
上書きされたリ
ターンアドレス
上書きされたフ
レームポインタ
システム変数
領域
バッファオーバーフローさせるための
「詰め物」
Stack
不正な実行コードなど
システム・コール等の呼び出し
x90¥x90¥x90¥x90¥x90¥x90¥xeb
¥xff¥x81¥x36¥x80¥xbf¥x32¥x94
エラー
¥x05¥xe8¥xe2¥xff¥xff¥xff¥x03¥
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
VPSが検知する「振る舞い」とは?
VPSルール
検知する振る舞い
malcode-CopyAndShellFile
システムファイルもしくはアプリケーションファイルをコピーする
スクリプト/マクロ
malcode-OrganizerCopy
自分自身を他のMicrosoft Officeファイルに上書き
malcode-Vuln_GDI32_Download
GDI32の脆弱性を悪用したダウンロード
malcode-generalInfection3
自分自身をe-mailとして送信しようとするマクロもしくはスクリプ
ト
malcode-Format
ハードディスクをフォーマットしようとするスクリプトもしくはOffice
ファイル
malcode-ContainsShellCode
非実行ファイルを含んだシェルコード
malcodeCreateBinaryScriptAndShellsIt1
ファイルにバイナリコードを書き込み大量に複製するスクリプト
もしくはOfficeファイル
malcode-W32_Rootkit
ルートキットのインストール
malcode-DeleteFiles
システムファイルもしくはアプリケーションファイルを削除する
スクリプトもしくはOfficeファイル
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
VPSの仕組み
IBM ISS VPS
ファイル・フィルタ
新規ファイル?
キャッシュ
新規実行ファイルもしくは
スクリプト
X86仮想化
•仮想CPU
•仮想Windows OS
Script仮想化
•VBS, JS, VBA, HTML
擬似コード検証
振る舞いパターン
仮想化のバイパス
•データファイル
•すでにスキャン済みのファイル
パターン分析
不正コード自体は無関係
不正プログラムを検知・防御
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
IBM ISSが誇る事前防御を実現する研究機関 X-Force®
研究
テクノロジー
ソリューション
X-Force保護エンジン
既存エンジンの拡張
サ
品
新保護エンジン開発
製
独自の脆弱性研究
ビ
ス
X-Force製品アップデート
不正プログラム分析
脅威傾向分析
X-Forceインテリジェンス
セ X
キ -F
ア ュ or
ッ リテ ce
プ
デ ィー
ー ・
ト
合
テ 化
ィー セ
キ
情 ュ
報 リ
ソリューション
シグネチャー開発
統
公開脆弱性の分析
ー
X-Forceデータベース
保護技術研究
知識の共有
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
全世界の検知イベントを集約するIBM ISSのGTOC
GTOC(Global Threat Operation Center) 総合分析センタ ー
インターネット・リスクレベル
の公開
社会動性・テロや紛争など
検知イベント
分析情報提供
情報共有
分析情報配信
事前防御技術
脆弱性情報
X-Force®
全世界のSOC
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
世界中に存在するSOC:Security Operation Center
全SOCが24時間365日のサービスを提供
各国でとらえた脅威情報を全SOCで共有
IBM Global Technology Services
© 2007 IBM Corporation
事前防御を実現するProventia®
防御と監査
Proventia® Network IPSとProventia® ADS
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
事前防御のためのポイント
攻撃を防御する
– Proventia® Network Intrusion Prevention System(IPS)
監査から不正な行動をあぶり出す
– Proventia® Network Anomaly Detection System(ADS)
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
攻撃防御を実現するProventia® Network IPS
認証
Managed Firewall Service
監査
防御
Proventia® ADS
Proventia® Network IPS
Proventia® Multi Function Security
Proventia® Network Mail Security
Managed Protection Service – Standard
Managed Protection Service for SMB
Managed Intrusion Protection Service
Internet Scanner
Proventia® Enterprise Scanner
Vulnerability Management Service
Log Management Service
Proventia® Server Protection
ネットワーク
サーバ
Proventia® Desktop Protection
デスクトップ
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network Intrusion Prevention System(IPS)
ネットワークで防御を提供(アプライアンス)
高度なプロトコル分析技術による正確な検知
脆弱性研究による事前防御の提供
脆弱性シグネチャによるVirtual Patch®
– 脆弱性とProventiaの防御シグネチャーが一対一で対応
– 脆弱性に対する攻撃からシステムを防御
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network IPS
OSI階層で見る脅威と保護技術
OSI階層
アプリケーションによる
コンテンツ処理
脅威
保護技術
アンチウィルス、
URLフィルタなど
スパム、ポルノなど
ウィルス、スパイウェア
サーバアプリケーション
ユーザアプリケーション
不正利用
ワーム
侵入防御 IPS
OS
TCP/IPネットワーク
不正接続
盗聴、セッション・ハイジャック
ファイアウォール、VPN
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network IPS特徴
X-Force®による推奨防御ポリシーを提供
Trust X-Forceポリシー
柔軟に設定可能な検
知・防御ポリシー
2200以上のシグネチャのうち1000以上をブロック対象
Virtual IPS/Granular Policy機能
VLAN、ポート、IPアドレス毎にポリシーの設定が可能
Inline Protection:通過トラフィックを確認した上で、防御を実施
3つの実装モード
Inline Simulation:インライン型で設置し、検知内容をシミュレーション(防御なし)
Passive:ネットワークのモニタリング(IDSモード)
監視セグメントにはIPアドレス不要、ネットワークに透過的に実装
L2での実装
フェイルオープン機能(一部モデルはオプション外付けユニット使用)
リンクプロパゲーション
X-Press Updateによる自動更新
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network IPSラインナップ
モデル
GX3002
GX4002
GX4004
GX5008
GX5108
G2000
GX6116
ターゲット
リモート
オフィス
リモート
オフィス
ネットワーク
境界
ネットワーク
境界
ネットワーク
コア
ネットワーク
コア
ネットワークコア
スループット
10Mbps
200Mbps
200Mbps
400Mbps
1.2Gbps
2Gbps
15Gbps
インスペクショ
ン
10Mbps
200Mbps
200Mbps
400Mbps
1.2Gbps
2Gbps
6Gbps
レイテンシー
<1000
μsec
<150μsec
<150μsec
<200μsec
<200μsec
<200μsec
<150μsec
新規コネクショ
ン/秒
3,750
21,000
21,000
35,000
40,000
40,000
160,000
同時コネクショ
ン数
200,000
1,200,000
1,200,000
1,200,000
1,450,000
1,300,000
4,600,000
パフォーマンス
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
パッチより前に防御するVirtual Patch®
全サーバーに適用するパッチとIPSのシグネチャーが同じ役割
サーバA
サーバB サーバC
サーバD
緑色はMicrosoft のパッチリリースよりも早く対応適用済
み
黄色はMicrosoft のパッチリリース日にて適用
注:2005/6/20現在
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
パッチより前に防御するVirtual Patch®
Virtual Patchなし
Virtual Patchあり
注:2005/6/20現在
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network IPSの配置例
IBM Global Technology Services
© 2007 IBM Corporation
Proventia
IBM Governance and Risk Management
®Network
IPSによる
Business alignment, visibility and control
セキュリティー・パッチ運用支援ソリューション
© 2007 IBM Corporation
ワーム蔓延による被害例
サーバー・パッチマネージメントが抱える課題
製造業:工場の生産ライン停止
最適
が
金融業:ATM網のダウン
と
チ
パッ 護手段
流通業:全店舗NWのダウン な保 かってい
はわ
.....
が
ビジネスそのものの停止る
広範囲に頻出するセキュリティー・ホール
対応パッチ発表前の攻撃の発生
パッチの評価手順・体制の確立
24時間365日止められないサーバー群
Virtual Patch®によりサーバーのパッチマネージメントを簡素化/運用コスト削減
IBM Proventia Network IPSが計画的なパッチ・マネージメントを実現
・仮想的なパッチ = Virtual Patchがセキュリティー・パッチ未適用のサーバーを保護
・セキュリティー・パッチ適用までのタイムコントロールが可能
サーバーファーム
内部からの不正通
信の拡散を防御
不正通信の拡散
不正通信の拡散
・Windows
・Linux
・Unix
など
Proventia
Network IPS
ISS監視センター
Up
最新XPU
(シグネチャファイル)
無防備な重要サーバを
守り、安定稼動させる
脆弱性を狙った通信
脆弱性を狙った通信
サーバーの
セキュリティー・レベル
Virtual Patch by Proventia
パッチ運用コスト
バーチャルパッチによるバリア効果
バーチャルパッチによるバリア効果
IBM Global Technology Services
Down
© 2007 IBM Corporation
Proventia
IBM Governance and Risk Management
®
Network IPSによる
Business alignment, visibility and control
セキュリティー・パッチ運用支援ソリューション
© 2007 IBM Corporation
Virtual Patchの特長
■脆弱性の本質を知り尽くしたX-Force®との連携により、新種の脅威に対する事前防御が可能
事前防御
■IBM Managed Security Serviceにより専門家がProventiaを運用監視、お客様の運用負荷軽減を実現
■サーバーOSやMiddlewareだけでなく、NW機器(Ciscoなど)や他セキュリティ製品への対応も可能
脆弱性研究の専門組織:IBM X-Force
構成例1(シングル構成)
【Model】
・GX5008CF x1
・Bypass Unit x1
【製品参考価格】
¥5,868,000-(税別)
【保障帯域】
400Mbps
※別途初年度保守費用が必要
になります。
民間で世界最大規模の脆弱性研究専門組織
高危険度な脆弱性の多くをX-Forceにて事前に発見
新種の脅威に対する事前防御の実現
GX5008CF
X-Forceにて発見された脆弱性に対し、製品ベンダーに
先駆けて即座にVirtual Patch(シグネチャー)をリリース
事例【MS05-039 Plug & Playの脆弱性の例】
Virtual
Virtual
Patch
Patch
2005年4月13日
セキュリティホールを発見
しマイクロソフト(MS)社に
報告。合わせて脆弱性に対
するVirtual Patchを提供
保護対象
サーバー
構成例2(冗長構成)
GX5108
CF
2005年8月9日
MS社より脆弱
性情報とパッ
チ公開
2005年8月11日
当該脆弱性を
悪用する攻撃
コードの出現
2005年8月13日
Zotob ワームが拡散を
開始し、世界中の企業
が被害を被る
Si
Si
【Model】
・GX5108CF x2
GX5108
・Bypass Unit x2
CF
【製品参考価格】
¥14,296,000-(税別)
【保障帯域】
1200Mbps
※別途初年度保守費用
が必要になります。
* 他にApple, Cisco, Checkpoint, McAfee, Symantec, CA社製品など実績多数
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
監査を実現するProventia® Network ADS
認証
Managed Firewall Service
監査
防御
Proventia® ADS
Proventia® Network IPS
Proventia® Multi Function Security
Proventia® Network Mail Security
Managed Protection Service – Standard
Managed Protection Service for SMB
Managed Intrusion Protection Service
Internet Scanner
Proventia® Enterprise Scanner
Vulnerability Management Service
Log Management Service
Proventia® Server Protection
ネットワーク
サーバ
Proventia® Desktop Protection
デスクトップ
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network ADSの特徴と効果
ネットワークでの通信監査を提供
– 通信量、通信を行っているホストの記録
実装
– スイッチよりネットワーク・フロー情報を取得
• 既存のネットワークに影響を与えない
効果
– 情報システムの可用性維持
• アプローチ
– 通信インフラが有効活用されているか通信量及び通信内容のモニタリング
– 回線増速、機器追加など設備投資の妥当性確認
– 通信障害原因の速やかな特定
– 内部統制
• アプローチ
– ネットワーク利用規定に反する通信のあぶり出し
– 業務上不適切な通信を行っているユーザーの特定
– 財務・会計システム等、重要サーバへのアクセスを監視、記録
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network ADS活用例
通信内容の
可視化と記
録
通信「異常」
の迅速な検
知
「不正ユー
ザー」の特
定
エクスプローラ
いつ、誰と誰が、どのサービスで、どれくらい通信を行ったのか、通信
内容の評価および監査が可能
データベース
通信内容を最適化しデータベースへ長期間保存。保存されたデータ
は問題発生時の解決の手がかりとして活用可能
ITインフラ増設の妥当性確認
通信量・内容を学習しており、設備投資費の正確な予測が可能
ネットワーク帯域の管理と回復
正常な通信を常に学習しており、ネットワークの異常なパフォーマン
ス、ワームの拡散などによる重要なサーバやネットワークでの通信断
や輻輳を検知することが可能
ネットワーク利用規定違反の検
出
P2Pアプリケーション、インスタントメッセンジャー、チャット、動画サイ
ト閲覧など業務上不必要な通信の検出が可能
IT管理者の許可無く設置されたサーバ、PC等を検知可能
重要サーバに対する通信等を
監視
財務・会計システムや機密情報が保存されているサーバーなど職務
において許可された通信許可されていない通信を区別して検知可能
リスクインデックス
注意が必要なホストの優先順リストの表示
アイデンティティ追跡
ネットワーク ログインIDをIPアドレスと関連づけしユーザー名表示が
可能。内部での不正使用に関与している可能性のあるユーザーをす
ぐに特定
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia® Network ADS 配置
IBM Global Technology Services
© 2007 IBM Corporation
Proventia
Network
IBM Governance
and Risk Management
®
ADS (Anormaly Detection System)
Business alignment, visibility and control
企業イントラネット可視化ソリューション
お客様の課題
お客様の課題 :: SNMPベースのネットワーク管理の限界
SNMPベースのネットワーク管理の限界
トラフィックの内容が把握できない
トラフィックの内容が把握できない
End
End to
to Endレベルでの
Endレベルでの
通信の可視化
通信の可視化
集約されたデータから
詳細に細分化された記録へ
通信の正当性がわからない
通信の正当性がわからない
通信「異常」の検出
通信「異常」の検出
1. 許可されていない「異常」通信の把握
不正利用者が特定できない
不正利用者が特定できない
「不正ユーザー」の特定
「不正ユーザー」の特定
1. アイデンティティ・トラッキング
異常通信
2. いつもと違う「異常」な通信の検出
・・いつ
いつ
・・誰と誰が
誰と誰が
・・どのサービスで
どのサービスで
・・どれくらいの
どれくらいの
通信を行ったのか?
通信を行ったのか?
【使用例】
■アプリケーション毎のNWトラフィックの把握
■使用ユーザー数の把握
■NW障害時の問題判別支援
NWのキャパシティプランニング
NWのキャパシティプランニング
【例】
■Webサーバーに対して突然SMTPやSSHなどの未
知のサービス通信が行われ始めた
■あるセグメントで使われていなかったIPアドレスを
含む通信が始まった
■サーバー宛の通信量が突発的に増加 / 減少した
3. 望まれない「異常」な通信の検出
■IPアドレスとユーザーの紐付けし
ユーザーの特定を行う
2. リスク・インデックス
■不正利用者のランキング付け
【例】
■YouTubeなどストリーミングサイトを閲覧する通信
■Webメール、チャットなどによる帯域消費
■その他、業務上不必要な望まれない通信
コンプライアンスと監査
コンプライアンスと監査
セキュリティー対策
セキュリティー対策
IBM Global Technology Services
2007/10版
© 2007 IBM Corporation
Proventia
Network
IBM Governance
and Risk Management
®
ADS (Anormaly Detection System)
Business alignment, visibility and control
企業イントラネット可視化ソリューション
Webブラウザで利用可能な管理
Webブラウザで利用可能な管理
画面を通じて設定、情報確認
画面を通じて設定、情報確認
実装例とご参考価格
実装例とご参考価格
アナライザー
支店、事業所など
一次処理済データがアナラ
一次処理済データがアナラ
イザーに送られ解析されま
イザーに送られ解析されま
す
す
コレクタ
イントラネット
支店、事業所など
© 2007 IBM Corporation
IP-VPN、広域イーサネット,
インターネットVPNなど
3F
2F
フローはコレクタに集められ
フローはコレクタに集められ
一次処理されます
一次処理されます
(フローデータはIPネット
(フローデータはIPネット
ワーク上で転送可能)
ワーク上で転送可能)
1F
1F
1F
フローソース
(フロー生成デバイス)
パケットキャプチャによる通
パケットキャプチャによる通
信データ取得もサポート
信データ取得もサポート
【構成案】 :
Analyzer AD5003
+ Collector AD3007
(フローソースが4、パケットキャプチャが1)
・製品価格
: ¥12,950,000・年額保守費用 : ¥3,885,000* 価格は定価、税別
* 保守は初年度からの契約が必須
* 導入支援サービスもご用意(300万∼)
Proventia
ProventiaNetwork
NetworkADSの特長
ADSの特長
■
■多彩なフローデータの収集(NetFlow,cFlow,sFlowなど)
多彩なフローデータの収集(NetFlow,cFlow,sFlowなど)
→Cisco、Juniper,Foundaryなどに対応
→Cisco、Juniper,Foundaryなどに対応
■ステートフルフローリアセンブル
■ステートフルフローリアセンブルテクノロジーによる効率的な
テクノロジーによる効率的な
フロー処理を実現
フロー処理を実現
■X-Forceのセキュリティナレッジを最大限活用した、定期的な
■X-Forceのセキュリティナレッジを最大限活用した、定期的な
アップデーター提供(ATF
アップデーター提供(ATF::Active
ActiveTreat
TreatFeed)
Feed)
→怪しい振る舞いを検知
→怪しい振る舞いを検知
Proventia
Proventia Network
Network ADS
ADS
モデル一覧
モデル一覧
フローデータとは?
フローデータは、L3スイッチ、ルーターにより生成され、それらネッ
トワーク機器が処理した通信のサマリ情報です。 送信元/先IPア
ドレス、送信元/先ポート番号、プロトコル種別、サービス種別、機
器のインターフェース情報が含まれます。*お客様環境のネット
ワーク機器のフロー対応状況については各ベンダー若しくはご購
入元にお問合せ下さい*ADSでは一部サポートできないフロー形
式があります
※初期セットアップ費用は別途お見積もりさせていただきます。
※詳細なお見積もりは弊社営業員もしくはIBMパートナーからご提示させていただきます。
IBM Global Technology Services
2007/10版
© 2007 IBM Corporation
Proventia®の位置付け
セキュリティー製品の分類と
Proventia®の位置
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
セキュリティー : 三つの要素
認証
監査
監査
防御
監査
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
IBM ISSソリューションの位置
認証
Managed Firewall Service
監査
防御
Proventia® ADS
Proventia® Network IPS
Proventia® Multi Function Security
Proventia® Network Mail Security
Managed Protection Service – Standard
Managed Protection Service for SMB
Managed Intrusion Protection Service
Internet Scanner
Proventia® Enterprise Scanner
Vulnerability Management Service
Log Management Service
Proventia® Server Protection
ネットワーク
サーバ
Proventia® Desktop Protection
デスクトップ
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
IBM ISS以外のIBMソリューションの位置
認証
ネットワーク
Tivoli Access Manager for ebusiness
Tivoli Access Manager for
Operation Systems
Tivoli Identity Manager
監査
防御
Tivoli Access Manager for Operation
Systems
Tivoli Security Compliance Manager
Eメールセキュリティ管理サービス(スパム対策を
含む)
セキュリティ診断サービス
電子メール監査ソリューション
ログ管理ソリューション
WatchFire
Tivoli Storage Manager
IBM Encryption Facility for Z/OS
IBMデスクトップ・マネージメント・サービス
IBMウィルス監視・駆除サービス
自己防御型セキュリティ・ソリューショ
ン(Tivoli + Cisco NAC)
ファイアーウォール管理サービス
サーバ
デスクトップ
不正接続PC検知ソリューション
(MSA)
IBM検疫・認証ソリューション
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
認証
認証
「既知」の条件に基づき正しく許可すること
監査
防御
– ディフォルト拒否(条件が存在しないものは拒否)
例
– ログイン
– ファイアウォール
• IPアドレス、ポートで認証
– 検疫システム
• パッチ、アンチウィルスのパターンなどで認証
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
監査
認証
状況を記録すること
監査
– 各種ログ
– 例
防御
• OS監査ログ
• ネットワーク通信ログ
状況を調査すること
– ノードアセスメント
– セキュリティアセスメント
– 例
• 脆弱性診断
• クライアント調査
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
防御
認証
「未定義」の問題発生を防止すること
監査
防御
– ディフォルト許可
– 漏洩防止
– 例
• 暗号化
• ネットワークIPS
• アンチウィルス
• SPAMフィルター、Webコンテンツ・フィルターなど
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
三つのセキュリティー要素はどこにでも存在
ネットワーク
サーバ
デスクトップ
物理的ファシリティー
IBM Global Technology Services
© 2007 IBM Corporation
事前防御が必要な理由:脅威の現状
大量の不正プログラム
攻撃されるWebアプリケーション
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
レガシーシステムでは対応できない脅威の増加
複合化する攻撃手法
検体として補足されない技法
– 潜伏する不正プログラム
– 短期間で自ら沈静化する不正プログラム
対レガシーセキュリティシステム機能の搭載
狙われるユーザーアプリケーション
– Webアプリケーションへの攻撃
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
複合化する攻撃手法
様々な脆弱性を攻撃
–
–
–
–
脆弱性スキャナーを組み込み「脆弱性の存在を確認」
複数の脆弱性を攻撃し、確実に「感染」
ファイル共有など「脆弱性攻撃」以外の手段も利用
実例
• 一つの脆弱性しか攻撃しないMS Blast
• 6種類以上の感染手法を悪用するZotob/ESbot
– 4種類の脆弱性を攻撃
目的の変化
– 「感染」から「悪用」へ
• 「感染」自体が目的だったウィルス
• 感染後の「悪用」により金銭目的となった不正プログラム
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
レガシーシステムが対応できない短期集中型攻撃
短期間での集中攻撃
スパムの技術を導入
対策される前に感染
全ての攻撃は数時間以内
に完了
– 検体が入手不可能であ
るためレガシーシステム
は対応できない
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
レガシーシステムが対応できない短期間に発生する亜種
短期間に発生する亜種
感染期間の拡大
一定間隔で生成される「わずか
に違うだけ」の亜種
– レガシーシステムの対応が追
いつかない
導入されるスパム技術
– 亜種ごとに100万単位で放出
– 亜種それぞれが影響を与える
実例:2006年5月31日の
Bagle-Mania
– たった一日で8種類の亜種が
発生(3時間ごとに亜種が
発生した計算)
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
悪用が目的の不正プログラムの例:ボット
バックドア、トロイの木馬の一種
ボットとは?
IRC、HTTP等を使用し、外部から制御コマンドを受けることが可能
複数のボットが、不正プログラム間のネットワークであるボットネットワーク
を構成
ハーダーと呼ばれる司令の存在
高度に集中管理さ
れた攻撃PC群
IRCサーバ、管理通信の認証、暗号化など
DDoS攻撃
スパムメールの送信
ボットネットとは?
複数の機能
アップデート
情報の搾取など情報収集機能 → 情報漏洩へ
制御された感染活動
対アンチウィルス、対仮想OS自己防衛機能
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
ボットネットの機能
スパム送信
ハーダー
攻撃対象
IRCサーバー
指令
DDoS攻撃
ボット群 = ボットネット
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia®によるIRC ボット・ダウンロード・コマンド検知例
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
攻撃されるWebアプリケーション
いわば正面攻撃
– 不正プログラムは「裏口」経由の攻撃
なぜ攻撃されるのか?
– ユーザが独自に開発したWebアプリケーションは、脆弱性アセスメン
ト、セキュアプログラミング開発等の考え方が遅れているため、脆弱
性が存在する確率が非常に高い
攻撃手法
– クロスサイト・スクリプティング
– SQLインジェクション
– クロスサイト・リクエスト・フォージェリ(CSRF)
IBM Global Technology Services
© 2007 IBM Corporation
URL_Data_SQL_1equal1
URL_Data_SQL_And
src_IP_URL_Data_SQL_1equal1
IBM Global Technology Services
2007/3/19
2007/3/6
2007/2/8
2007/2/21
2007/1/26
2007/1/13
2006/12/31
2006/12/5
2006/12/18
2006/11/22
2006/11/9
2006/10/27
2006/10/1
2006/10/14
2006/9/18
2006/9/5
2006/8/23
2006/7/28
2006/8/10
2006/7/15
2006/7/2
2006/6/19
2006/5/24
2006/6/6
2006/5/11
2006/4/28
2006/4/15
2006/3/20
2006/4/2
2006/3/7
2006/2/22
2006/2/9
2006/1/14
2006/1/27
2006/1/1
IBM Governance and Risk Management
Business alignment, visibility and control
増加傾向のSQLインジェクション
3000
35
2500
30
2000
25
20
1500
15
1000
10
500
5
0
0
src_IP_URL_Data_SQL_And
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
SQLインジェクション
Webアプリケーションの脆弱性を攻撃し、データベースに不
正アクセスを実施する攻撃
氾濫する自動攻撃ツール
– SQL注入工具 → 様々な攻撃パターン
様々な攻撃の可能性
–
–
–
–
–
–
SQLインジェクションに対して脆弱かどうかの調査
認証バイパス
データベース内部情報の取得
データベースに保存されている情報の漏洩
データベースに保存されている情報の改ざん、削除
データベース経由でOSを攻撃
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
SQLインジェクションの構図
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
ログ解析: SQL注入工具による攻撃の爪痕
"GET /xxx.asp?code=YY' and 1=1 and ''=' HTTP/1.1" 200 20264
"GET /xxx.asp?code=YY' and exists (select * from sysobjects) and ''=' HTTP/1.1" 200 20326
"GET /xxx.asp?code=YY' and 1=(select IS_SRVROLEMEMBER('sysadmin')) and ''=' HTTP/1.1" 200 20336
"GET /xxx.asp?code=YY' and (select len(db_name())) between 0 and 16 and ''=' HTTP/1.1" 200 20338
"GET /xxx.asp?code=YY' and 1=1 and ''='
HTTP/1.1" 200 20264
SQLインジェクションで攻撃できるかどうか、情報取
得目的
"GET /xxx.asp?code=YY' and exists (select * from
sysobjects) and ''=' HTTP/1.1" 200 20326
sysobjectsビューから各種オブジェクトの内容を確認
masterデータベースに対するアクセス権限がなけれ
ば結果は得られない
"GET /xxx.asp?code=YY' and 1=(select
IS_SRVROLEMEMBER('sysadmin')) and ''='
HTTP/1.1" 200 20336
IS_SRVROLEMEMBER関数により、現在のユー
ザーがsysadminロールであるかどうか確認
"GET /xxx.asp?code=YY' and (select
len(db_name())) between 0 and 16 and ''='
HTTP/1.1" 200 20338
db_name( )関数により現在のデータベース名を取り
出し
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
Proventia®によるSQLインジェクション検知例
POSTメソッドにより注入
された OR 1=1 を検知
可能
IBM Global Technology Services
© 2007 IBM Corporation
脅威の侵入経路
イントラネットの「バックドア」:
クライアント経由の侵入
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
企業ネットワークモデル
特定拠点経由
インターネット接続
社内業務
インターネット
閉域網
業務連携
ビジネス・パートナー
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
脅威の方向
インターネット
接続口から
外部に移動後
脅威を呼び込む
内部から内部
情報漏洩
内部から外部の
脅威を呼び込む
外部から
持ち込み
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
押さえるべき脅威の方向
クライアント経由で侵入する脅威
– Webサイトに仕掛けられた「罠」
• Blogに投稿された不正プログラムへのリンク
• アフェリエイトからリンクされた不正プログラム
• Wikiペディアからリンクされた不正プログラム… etc.
– クライアントという裏口からイントラネットへ感染拡大
正面から攻撃する脅威
– 攻撃されるWebアプリケーション
– 様々な問題がユーザーの手で作り込まれたユーザー独自アプリケー
ション
IBM Global Technology Services
© 2007 IBM Corporation
事前防御なしで引き起こされるビジネスリスク
ビジネス可用性に必要な事前防御
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
事前防御なしには保てないビジネス可用性
直接的に可用性を失わせるケース
– ワームなどによるシステムやサービスの停止もしくは応答悪化
間接的に可用性を失わせるケース
– 情報漏洩などによる取引相手への損害と信頼の悪化
– 個人情報保護法などへの法令違反による罰則および信頼の悪化
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
大量のトラフィック : MS Blast型ワーム感染拡大パターン
出典:Simulating and optimizing worm propagation algorithms
http://downloads.securityfocus.com/library/WormPropagation.pdf
不正プログラム感染ホスト数
単位時間あたりの新規感染
ホスト数の推移
ピークは全ホストの半分が
感染した時点
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
伝播し続ける過去の不正プログラム
発生日時
IBM 東京SOC観測
2004/5/1
2003/8/22
2003/8/11
2003/1/25
2001/9/18
2001/8/4
2001/7/19
2001/7/12
IBM Global Technology Services
Sasserワーム
Agobotワーム
Blasterワーム
Slammerワーム
Nimdaワーム
Code_Rad II
Code_Rad v2
Code_Red v1
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
伝播し続ける過去の不正プログラム : SQL Slammer
アメリカ東部標準時2003年1月25日午前12時、Microsoft SQL Serverが使用
するポートを攻撃するワームがInternet Security SystemsのX-Force®チーム
によって発見。SQL Slammerと名付けられ、以下のURLで公表
– http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21824
– http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html
700
50000
45000
600
40000
500
35000
30000
SQL Slammer最近の状況
400
25000
300
20000
15000
200
10000
100
5000
0
2005/10/1
2005/10/18
2005/11/4
2005/11/21
2005/12/8
2005/12/25
2006/1/11
2006/1/28
2006/2/14
2006/3/3
2006/3/20
2006/4/6
2006/4/23
2006/5/10
2006/5/27
2006/6/13
2006/6/30
2006/7/17
2006/8/3
2006/8/20
2006/9/6
2006/9/23
2006/10/10
2006/10/27
2006/11/13
2006/11/30
2006/12/17
2007/1/3
2007/1/20
2007/2/6
2007/2/23
2007/3/12
2007/3/29
0
SQL_SSRP_Slammer_Worm
src_IP_SQL_SSRP_Slammer_Worm
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
可用性が失われると・・・:製造系企業では
製造系企業では製造・物流が最も重要
– 製造・物流は計画通りの遂行が重要
– 企業の売り上げ計画、業績に直結
– 停止することはできない
• 他の手段で緊急対応できない
– 製造・物流プロセス全体で高い可用性の維持が必要
製造・物流が停止すると
– 時間単位で出荷損失もしくは遅延が発生 → 販売計画に悪影響
– 出荷減少、遅延を取り戻すため稼働時間を延長した場合、追加コスト
(残業代、電気代など)が発生 → 取り戻すのは困難
IBM Global Technology Services
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
結論
事前防御なしではビジネス可用性を確保することが困難
理由
– 脅威の複雑化によりレガシーシステムでは対応に限界
– 脅威が侵入する前に「防御」することが重要
IBM Global Technology Services
© 2007 IBM Corporation
Thank You
© 2007 IBM Corporation
IBM Governance and Risk Management
Business alignment, visibility and control
© IBM Corporation 2007
IBM, IBMロゴ、Internet Security Systems, Proventia, SiteProtector, Virtual Patch,
X-Forceは、International Business Machines Corporationの米国およびその他の国にお
ける商標。
他の会社名およびサービス名等はそれぞれ各社の商標。
IBM Global Technology Services
© 2007 IBM Corporation
© Copyright 2026 Paperzz
