F5 のセキュリティ戦略及び ポートフォリオのご紹介 近藤学 セキュリティスペシャリスト セキュリティビジネス統括 F5 ネットワークスジャパン合同会社 F5 = Security ? © F5 Networks, Inc 3 Emdivi OpKillingBay ランサムウェア 不正送金 IoT 社会インフラ SQL インジェクション TOKYO Olympic 2020 © F5 Networks, Inc あらゆるポイントに種々の脅威が存在 Clientside Attacks Data Network attacks Session attacks Application attacks Data DNS Attacks Malware Stolen User Credentials/ Fraud © F5 Networks, Inc Man In The Browser Phishing Botnet/SPAM Recon. Port scan DNS Amplification/ Cache Poisioning Network DDoS Attacks Man in the Middle Application DDoS Attacks Attacks against SSL Vul Business Logic Abuse Application Vuln Exploits OWASP top 10 / 5 あらゆるポイントに種々の脅威が存在 ATTACKS ARE DISPROPORTIONTELY TARGETING THESE AREAS Clientside Attacks Data Network attacks Session attacks Application attacks Data DNS Attacks USER ACCESS AND CREDENTIALS Malware Stolen User Credentials/ Fraud © F5 Networks, Inc Man In The Browser Phishing Botnet/SPAM Recon. Port scan DNS Amplification/ Cache Poisoning Network DDoS Attacks DNS Attacks Man in the Middle Application DDoS Attacks Attacks against SSL Vul APPLICATION PROTECTION Business Logic Abuse Application Vuln Exploits OWASP top 10 / 6 F5 によるカバレッジ ATTACKS ARE DISPROPORTIONTELY TARGETING THESE AREAS Data Clientside Attacks Network attacks Session attacks Application attacks Data DNS Attacks Man In The USER ACCESS Malware Browser AND CREDENTIALS Stolen User Credentials/ Fraud © F5 Networks, Inc Phishing Botnet/SPAM DNS Amplification/ Cache Poisioning DNS Attacks Man in the Middle Application DDoS Attacks Business LAYER Logic Abuse7 APPLICATION PROTECTION Recon. Port scan Network DDoS AVAILABILITY Attacks Attacks against SSL Vul Application Vuln Exploits OWASP top 10 / 7 なぜ F5 がセキュリティやアクセス管理を語るのか? • Big-IP は社内外を隔てるポイントに設置され,すべてのトラフィックをさばい ている • その中身をチェックしたりだけではなく,セッションのコンテキストも理解するフル プロキシアーキテクチャ ↓ より良いセキュリティ対策や アクセス管理ができる! HTTP SSL TCP © F5 Networks, Inc HTTP L4 から L7 までを すべてカバー SSL TCP 8 1st mile から Last mile までを包括的にカバー アプリケーション シングルサインオン アクセス管理 APPLICATION ACCESS SSLVPN © F5 Networks, Inc モバイルアクセス 管理 ネットワーク ファイア ウォール トラフィック マネージメント DDoS 対策 不正送金対策 APPLICATION PROTECTION セキュア DNS セキュリティ ウェブゲート ウェイ SSL 可視化 WAF 9 アプリケーション防御に関するソリューション群を ワンプラットフォームで One Platform Network Firewall Traffic Management Application Security Access Control DDoS Protection SSL DNS Security EAL2+ EAL4+ (in process) © F5 Networks, Inc Web Fraud Protection DC FW (in process) WAF (in process) DDoS (pending) 10 10 Solutions スペックを語るより,ストーリーを語ろう © F5 Networks, Inc BIG-IPをお使いのお客様へ Webシステムのセキュリティ導入を 客観的に判断できる「指標」とは!? F5ネットワークスジャパン合同会社 WAFを導入したいけれど有効性の説明が難しい。 「リスクの根拠」と「投資対効果」を明示できなくてお困りではありませんか。 CIO Webセキュリティは万全に頼むよ! 投資対効果は明確にしてね! セキュリティ強化 CFO ITコスト抑制 システムご担当者 「WAFを導入したくてもリスクの根拠や投資対効果を明示できない」 そんな、あなたのジレンマを解消する方法があります。 © F5 Networks, Inc 13 専門家による「アセスメント」をご活用ください。 現状のリスクを洗い出し、投資対効果まで「可視化」できます。 《診断レポート》 ◎リスクの明示 ◎最適な防御方法 ◎継続的な改善方法 ◎投資対効果の測定 POINT アプリケーションレベルでの攻撃の有無がわかります。 攻撃に対するリスク分析、具体的な対処法立案をご支援します。 © F5 Networks, Inc 14 既存のBIG-IPに「WAF機能を追加」しませんか。 BIG-IPのWAF機能は、アクティベーションするだけで使えます。 BIG-IPをお使いのお客様へ いまお使いのBIG-IP LTM ロードバランサー [BIG-IP Local Traffic Manager] WAF(Web Application Firewall) [BIG-IP Application Security Manager] BIG-IPのWAF機能をONしよう! © F5 Networks, Inc 15 セキュリティ評価は「全体視点」が重要です。 BIG-IPなら機器構成を変更することなく、シンプルにサーバーを保護できます。 BIG-IPなら3つの機能を1台に SSL SSLアクセラレーター WAF Web Application Firewall LB 他社製品では・・・ 複数のアプライアンスによる 数珠つなぎ構成に ▲保守管理する機器が増加 ▲異なるベンダーごとのサポート ▲機器構成の変更による影響 ロードバランサー トラフィックはSSLが前提です。機器構成の複雑化を招かないために WAF単独ではなく「全体視点での最適化」をご検討ください。 © F5 Networks, Inc 16 アプリケーション開発の短期化に 「多層防御」による安心を! F5ネットワークスジャパン合同会社 セキュアコーディングに完璧はありません。 事実、開発の短納期化で脆弱性リスクが残る可能性が高まっています。 セキュアコーディングの難しさ 品質とセキュリティの担保が困難 脆弱性リスク アプリケーション開発の短納期化 工数とコスト、スケジュール優先 《取扱いが長期化(90日以上経過)しているウェブサイトの経過日数と脆弱性の種類》 アプリケーションの脆弱性を30日以内に修正できたWEBサイトは、全体の半数に達しません。 ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート[2014 年第3 四半期(7 月~9 月)] https://www.jpcert.or.jp/press/2014/vulnREPORT_2014q3.pdf © F5 Networks, Inc 18 「多層防御」でリスクを低減しませんか。 コーディングにより解決しきれない脆弱性は「WAF」で補完できます。 セキュア コーディング WAF Web Application Firewall 知財 顧客情報 ビジネスプロセス 取引情報 WAF(Web Application Firewall) Webサーバーが利用するポート80番、443 POINT セキュアコーディングとWAFの多層防御により、 無理のないスケジュールでアプリケーションを改修できます。 番のトラフィックを双方向で監視し、SQL インジェクションやクロスサイト・スクリ プティング等の攻撃からWebアプリケー ションとデータを守ります。 © F5 Networks, Inc 19 「緊急パッチ」という解決策をご存知ですか。 診断ツールが発見した脆弱性を「時間差なし」でWAFに反映できます。 緊急パッチ 診断結果をインポート 脆弱性診断ツール(DAST) WAF DAST: Dynamic Application Security Testing BIG-IP ASM POINT 診断ツールによる脆弱性の発見から アプリケーションの改修完了までには時間を要します。 POINT F5の統合型WAF「BIG-IP ASM」なら 診断ツールが発見した脆弱性に対し、即座に「緊急パッチ」で対応できます。 © F5 Networks, Inc 知財 顧客情報 ビジネスプロセス 取引情報 20 ビジネスを守れ! DDoS攻撃の最新動向と対策 F5ネットワークスジャパン合同会社 その対策で本当にDDoS攻撃に耐えられますか? DDoS攻撃の量と質が激変し企業単独の対策では対応できなくなっています。 攻撃の大規模化 攻撃の複雑化 数百GBpsの攻撃もあたりまえに 「マルチベクトル攻撃」が急増 ボリューム攻撃 ~400Gbps × 企業システム (データセンター) 大規模攻撃による回線のパンクは セキュリティ機器では防げません © F5 Networks, Inc アプリケーション層攻撃 一般的なセキュリティ機器では アプリケーション層攻撃に対応できません 23 クラウドサービスなら最新の攻撃に対応できます。 F5 Silverlineは、最新のDDoS攻撃に対応したクラウド型防御サービスです。 データセンターの Webアプリケーション DDoS Protection F5F5Silverline Silverline インターネット クラウド上の Webアプリケーション 利用者 攻撃者 POINT DDoS攻撃(大規模攻撃&マルチベクトル攻撃) 業界最強クラスの帯域対応で、大規模攻撃を防御 2.0Tbps以上のDDoS攻撃にも対応 POINT POINT DDoS攻撃対策だけの専用サービス 通信業者やISPのサービスと異なり、 DDoS攻撃対策だけを今すぐ利用可能 高度なWAFサービスで、マルチベクトル攻撃を防御 実績あるBIG-IP ASMのセキュリティ機能をクラウドに実装 © F5 Networks, Inc 24 柔軟な運用ができるハイブリッドソリューションです。 2つのサービス提供形態とオンプレミス機能から、ニーズに合わせて選べます。 DDoS Protection F5 Silverline Always Available Always On (有事防御) (常時監視&防御) DDoS攻撃対策の監視と防御を 24時間365日実施 DDoS攻撃の時だけ 全トラフィックをSilverline経由に切り替え BIG-IPとの 連携 © F5 Networks, Inc オンプレミスでの攻撃検知により クラウド対応に切り替え 25 攻撃を可視化することで防御を進化させます。 見えにくいDDoS攻撃の実態を解析することで、有効な対策が可能になります。 Silverline AttackView ポータル SOCエキスパートによるサポート DDoS Protection F5 Silverline 攻撃タイプやサイズ、発信元、 アタックベクタを解析 © F5 Networks, Inc 攻撃状況の分析や対策についての アドバイスをリアルタイムに入手 26 マルチデバイス時代の SSO構築のポイントとは!? F5ネットワークスジャパン合同会社 マルチデバイスの普及が、新たな問題を生んでいます。 不適切な端末からのアクセスが、セキュリティ上のリスクになっています。 ウイルスソフトが 入っていない端末 OSをバージョンアップ していない端末 会社支給外の “野良端末” Jailbreak している端末 企業システム全体の リスクが増加 「ログオン」や「アクセス」だけでなく、 「どの端末からアクセスするか」を含めて考える必要があります。 © F5 Networks, Inc 28 ログオン前の「検疫」で、リスクを低減しませんか。 さらにアクセス制御を組み合わせることで、リスクを大幅に低減できます。 端末の検疫 アクセス制御 誰が、いつ、どこから、どんな端末から アクセスしたのかをチェックします。 アクセス端末 チェック項目例:iOS ポリシー例 プラットフォーム情報 iOS Yamadaというアカウント名のユーザーは、 モデル名 iPhone 4 最新のiOSをインストールした バージョン情報 4.3 デバイスID"XXXXX"というiPhoneから 8ccaf965e51e3077 でなければアクセスを拒否する ユニークID(UUID) JailBreak ユーザ yamada © F5 Networks, Inc 検疫結果とポリシーに基づき 認証と認可を実施します。 チェック項目例:Android no プラットフォーム情報 Android MACアドレス(WiFi) 90:21:55:07:4A:32 モデル名 Galaxy Nexus バージョン情報 4.0.2 ユニークID 8ccaf965e51e3077 シリアルナンバ 016BEB2097AF1456 IMEI番号 354569041052233 アクセス許可 アクセス拒否 ポリシーエディタ メッセージ表示 29 おすすめは、マルチデバイス認証対応のSSOです。 BIG-IP APMなら、SSOの利便性と高度なセキュリティを同時に実現できます。 BIG-IP Access Policy Manager Windows Mac Linux IOS Android クラウド アプリケーション 業務 サーバー Webサイト BIG-IP プラットフォーム マルチデバイス端末に 対応 きめ細かな 端末検疫 ポリシーに基づく、 柔軟なアクセス制御 クラウド/オンプレミスの Webアプリケーションに対応 POINT BIG-IP APMは、マルチシステム、マルチテナント対応の認証/認可基盤を提供する、 本格的なSSOソリューションです。 POINT きめ細かな端末検疫とアクセス制御という従来製品にない特長で、 マルチデバイス時代の企業システムのセキュリティを確保します。 © F5 Networks, Inc 30 あなたの知らない「HTTPSの弱点」 暗号化通信に潜む脅威を可視化せよ! F5ネットワークスジャパン合同会社 暗号化通信が「攻撃の隠れ蓑」だとしたら。 HTTPSプロトコルによる暗号化通信は安全、というのはもはや幻想です。 暗号化されたトラフィックに潜む「見えない脅威」 HTTPS暗号化トラフィック(SSL/TSL) 機密情報 情報資産 Internet HTTPSトラフィックは FWやIPSによる復号化は HTTPSを利用した 復号化しない限り パフォーマンスの 攻撃の80%が IPSやWAFで検疫できない 大幅な低下を招く 検出を逃れている 「2017年までにネットワーク攻撃の50%以上がHTTPSを介して行われる」と調査会社は警告しています。 © F5 Networks, Inc 33 HTTPSを可視化して「100%検疫」しませんか。 BIG-IPなら、HTTPS復号化⇒検疫⇒トラフィック管理までを集約できます。 DMZ 次世代IPS ◎高度なインテリジェンス ◎不正な通信を検知し通知・遮断 ◎シグネチャ自動チューニング ◎誤検知の大幅な低減 復号化(平文) 復号化 検疫(WAF) トラフィック管理 再暗号化 暗号化通信(SSL/TSL) BIG-IP Internet POINT 機密情報 情報資産 BIG-IP上で復号化したトラフィックを セキュリティ監視機器に振り向けます。 © F5 Networks, Inc POINT HTTPS可視化に際して パフォーマンス低下を起こしません。 34 HTTPS可視化は「情報漏えい対策」にも有効です。 BIG-IPなら、PCのウィルス感染等によるリスクも軽減できます。 次世代FW ◎URLフィルタリング ◎アプリケーションレベルでの識別と制御 ◎ポリシーベースのアクセス制御 復号化(平文) 再暗号化 代理署名 トラフィック管理 LAN 復号化 暗号化通信(SSL/TSL) SNS、掲示板、ブログ 動画サイト、ゲームサイト オンラインストレージ POINT Internet BIG-IP User BIG-IPでHTTPSを可視化することにより、 アプリケーションレベルでのフィルタリングとアクセス制御が有効になります。 © F5 Networks, Inc 35 F5 が提供する包括的なアプリケーションセキュリティ Enterprise Mobility Gateway Inspecting SSL IP Intelligence あらゆるところからの アプリケーションアクセスを セキュアに Application Access Management Web Fraud Protection DDoS Protection Secure DNS Network Firewall Web Application Firewall High-Performance IPS あらゆるところからの アクセスに対して アプリケーションを 適切に防御 本日のプログラム © F5 Networks, Inc 38
© Copyright 2026 Paperzz
