InterScan Messaging Security Suite Plus メッセージングセキュリティー対策 ~スパムメール対策「検知」を超える「予防」~ トレンドマイクロ株式会社 プロダクトマーケティング本部 2008年8月 最終更新 プロダクトマーケティンググループ •Copyright (C) 2008 Trend Micro Incorporated. All rights reserved. •本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。 •トレンドマイクロ株式会社が事前に承諾している場合を除き、形態および手段を問わず本ドキュメントまたはその一部を複製することは禁じられています。 •本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本ドキュメ ントおよびその記述内容は予告なしに変更されることがあります。 •本ドキュメントは表紙に記載に日付時点での情報をもとに作成されたものです。今後、価格の変更、仕様の変更、バージョンアップ等により、内容の全部もしくは一部に変更が生じる可能性があ ります。 •TRENDMICRO、InterScan、INTERSCAN VIRUSWALL、ISVW、InterScanWebManager、ISWM、InterScan Message Security Suite、InterScan Web Security Suite、IWSS、VSAPI、eManager、 Trend Micro Enterprise Protection Strategy、RBL+、InterScan Gateway Security Applianceは、トレンドマイクロ株式会社の登録商標です。 •本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。 目次 (1) 脅威の変化 – スパムメール対策の必要性の背景 求められるe-mailゲートウェイセキュリティと、トレン ドマイクロの新しいソリューション – いまそこにある脅威とそれを解決するトレンドマイクロ製 品の機能の対比 製品構成・価格 – 各製品の守備範囲と、機能、さらにお客様の環境におけ る大まかな組み合わせ 2 Copyright 2008 - Trend Micro Inc. 目次 (2) InterScan Messaging Security Suite Plus 新機能紹介 – InterScan MSS Plusの新しい機能について 製品の組み合わせと構築モデル – お客様の必要な機能に対して必要になる製品 – 簡単な構築イメージについて その他 【本文中の製品略称記載について:】 ・InterScan MSS = InterScan Messaging Security Suite ・SPS = Spam Prevention Solution ・ERS = Email Reputation Services (旧製品名 Network Reputation Services) ・IGSA = InterScan Gateway Security Appliance ・ISVW SE = InterScan VirusWall スタンダードエディション ・ISVW EE=InterScan VirusWall エンタープライズエディション ・ISVW SMB = InterScan VirusWall for Small and Medium Businesses ・IWSS = InterScan Web Security Suite 3 Copyright 2008 - Trend Micro Inc. 脅威の変遷- 愉快犯から経済犯、犯罪化へ ウェブからの脅威 Complexity Crimeware ボットネット スパイウェア 脆弱性/ワーム アウトブレーク 2001 スパム/ マスメーリング 2003 4 •多方向性・多面性 •コンポーネントの組合せ •驚異的な亜種数増加 •特定のターゲット •リージョナル・アタック •隠れている •クリーンナップしにくい •ボットネット化 2004 Copyright 2008 - Trend Micro Inc. 2005 2007 お客様の課題 とにかく毎日受信するスパムメールの量が多い その課題、『検知率が高いスパムメール対策』 を利用するだけで本当に解決できますか? 5 Copyright 2008 - Trend Micro Inc. 脅威の変化 引き続きお客さまを脅かす危険 増え続けるスパムメール – 増えるコスト – 攻撃目的、対象の明確化Æターゲット攻撃 ボット、ウイルスとその亜種・変種 – メールによる再感染で、被害者が加害者に メールシステムへの攻撃:バウンスメールアタック、DHA (Directory Harvesting Attack) – サービス停止、メールアドレス流出 情報漏えい – 事故、故意、スパイウェアによる漏えい 6 Copyright 2008 - Trend Micro Inc. 脅威の変化 増え続けるスパムメールと特徴 スパムメールの割合は、過去最悪となり、メールトラフィック の90%を超える状況になったという報告もあります。Æ正常 なメールは全体の1/10? 画像スパムなど、スパムメール対策フィルタを回避する 「古典的な」手法が検出を困難に より「商業的」に。直接的な広告メールに代わって、 Pump-And-Dumpのようなものが増え、スパムメール 送信を生業とする業者も。 スパムメール送信のためのネットワーク:ボットネットの悪用 特定の企業にのみ送られるスパムメール(ターゲット攻撃) 7 Copyright 2008 - Trend Micro Inc. 脅威の変化 ボット、ウイルス、スパイウェア 経済犯 愉快犯 – マスメールによる不特定多数への攻撃に代わって、明確 に金銭、情報の取得を目的とした攻撃に。 – ボットの流行は、結果的に効率よく大量のスパムメール、 フィッシングメールの送信を可能に。 – キーロガーによる情報漏えい。 8 Copyright 2008 - Trend Micro Inc. 脅威の変化 メールシステムへの攻撃 バウンスメールアタック – メールシステムのダウンを目的とした、大量のアクセス。 – サービスが阻害され、最終的には利用不可能になる場合 も。 DHA(Directory Harvesting Attack) – 辞書攻撃による、企業内e-mailアドレスの収集。 – アドレスは、スパムメールに用いられ、フィッシング、スパ イウェア・ウイルス感染の原因にも。 9 Copyright 2008 - Trend Micro Inc. 脅威の変化 情報漏えい さまざまな要因が、企業のe-mailシステムとそれによって運 ばれる情報の管理を重要にしています。 企業統治 企業統治のための内部規定、ポリシー。 e-mailシステムの利用にも、ポリシーによる統治がさらに必要になります。 機密情報漏えいの防止 ウイルス、スパイウェアによる思いがけない情報漏えいに加えて、 不注意、故意による情報漏えいに対して、適切な予防が求められます。 10 Copyright 2008 - Trend Micro Inc. Webからの脅威の影響 脅威 ビジネスリスク スパムメール 機密情報の漏洩 フィッシング ITリソースの損失 ファーミング 生産性の損失 ウイルス 評判の損失 トロイの木馬 従業員や顧客の情報が盗ま れる スパイウェア Eコマースの信頼を失う ボットコード コンプライアンスの違反や罰 金 その他、マルウェア 11 Copyright 2008 - Trend Micro Inc. メール管理者に求められるソリューション スパムメール送信業者 画像スパム バウンスメール アタック 情報漏えい ボット DHA スパムメールに効果的 に対応できるか? メールサーバを狙った攻撃に 対応できるか? e-mailアドレス収集を 防止できるか? 攻撃への対処 予防 中から外への情報を 守れるか? ボットなどの新たな脅威に 対応できるか? 既知の脅威の 検知 新たな脅威への 対応 情報の保護 ※DHA:Directory Harvest Attack の省略になります。 12 Copyright 2008 - Trend Micro Inc. Webからの脅威への対応 各レイヤーでの防御 13 Copyright 2008 - Trend Micro Inc. 14 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plusの紹介 Messaging Security • 主な機能 • SMTP/POP3ゲートウェイのための、ウイルス/スパイウェア対 策 • Trend Micro Email Reputation Servicesにより、サーバの負 荷を軽減 • IP Profilerにより、DHA攻撃やスピアメール攻撃に対応 • Trend Micro Anti-Spam Engineにより、スパムメール検出率を 向上 • End User Quarantine機能により、ユーザ単位でスパムメール を隔離 • 新技術IntelliTrapで、見つけにくかった新種ボットウイルスを効 果的に検出可能 • コンテンツフィルタによって情報漏えい対策を提供 • 複数サーバの集中管理機能で、複数サーバのポリシー、隔離 メール、ログを1つの管理コンソールから集中管理可能 • ポリシー管理に基づく柔軟な管理機能 Windows、Linux、Solaris ウイルス対策 スパイウェア対策 スパムメール対策 コンテンツフィルタ フィッシング対策 コンテンツフィルタ 15 Copyright 2008 - Trend Micro Inc. ソリューションに対応した機能 – スパム対策強化 防御の前の予防からカバー アドレス収集 スパムメール送信 広告メール DHA マスメール型ウィルス メールによる大規模感染 メールによる大規模感染 短時間に多数の亜種 短時間に多数の亜種 管理者の方の負荷も軽減 検知・隔離された メールの管理 隔離された 隔離された スパムメールの管理 スパムメールの管理 Plus ターゲット攻撃型 スパムメール 特定の企業に 特定の企業に 向けた集中攻撃 向けた集中攻撃 16 Copyright 2008 - Trend Micro Inc. 求められる新しいソリューション トレンドマイクロだからできること 多階層でのスパムメール対策 1. 2. 3. 4. DHA攻撃によるアドレス流出を防止できます。 IPレピュテーションサービスにより、既知のスパムメール送信元からのスパ ムメールの受信をブロックできます 自社のみを狙ったターゲット攻撃型のスパムメールについても、トラフィッ クを分析の上、受信をブロックできます。 ヒューリスティック技術採用のスパムメール検索エンジンで、 95%※以上のスパムメールをブロックできます。※2006年8月当社調べ スパムメールを受信しないための方法。 ただの「検知率」を超える「予防率」の提供 メールサーバで受信してしまったスパムメールの検知率を上げるだけでは十分ではありません。 17 Copyright 2008 - Trend Micro Inc. 製品構成 Spam Prevention Solution Plus 正確に言えば、多階層(予防、ブロック、分析(ターゲット攻撃)、 検出) 「2階層の対策」で、効果的なスパムメール対策 – IPレピュテーション ・・・予防、 ブロック、ターゲット攻撃の分析・ブロック スパムメールを、メールサーバの入り口で防御。スパムメールを効果的 に削減するとともに、ネットワーク帯域の圧迫やメールストレージの不必 要な拡大を防止。 ・・・検出・隔離 – 新開発のスパムメール検索エンジン ヒューリスティック技術を採用した新開発の検索エンジンで高い検知率を 実現。 さらにお客さまごとの柔軟な設定で、社内ポリシーに沿った柔軟な運用が 可能。 新機能「IP Profiler」でDHAなどにも対応 Webベースのエンドユーザメール隔離(EUQ)と隔離通知メッセージ機能 18 Copyright 2008 - Trend Micro Inc. 検知率の実績 対策ベンダ 検出率 誤検知率 Trend Micro 97.36% 0.16% A社 96.60% 0.20% B社 95.03% 0.14% C社 80.15% 0.42% D社 78.35% 0.03% E社 74.10% 0.85% *1 出典:Results of Anti-spam Testing. Opus One. February 2007. www.opus1.com/www/whitepapers/antispamfeb2007.pdf 19 Copyright 2008 - Trend Micro Inc. 製品構成 新しい製品構成:スパム対策強化 InterScan Messaging Security Suite Plus SMTP Anti Virus/Spam メールウイルス+ス パム対策 メール+Webウイルス対策 スパムメール対策 InterScan VirusWall Enterprise Edition Plus SMTP/HTTP/FTP Anti Virus/Spam Trend Micro Email Reputation Services Trend Micro Spam Prevention Solution 第4階層 Trend Micro Anti-Spam Engine (TMASE) 第1、3階層 IP Profiler 第2階層 IPレピュテーション (Trend Micro Email Reputation Services 相当) Webベースのエンドユーザメール隔離 (EUQ) ※Trend Micro Email Reputation Services Advancedは2008年8月Trend Micro Email Reputation Servicesに変更。 20 Copyright 2008 - Trend Micro Inc. 製品価格 InterScan Messaging Security Suite Plus 価格表 (2008.8.1 現在) 21 Copyright 2008 - Trend Micro Inc. トレンドマイクロ スパムメール対策のテクノロジ 階層化されたスパムメール対策 IPレピュテーション IPレピュテーション ターゲット攻撃対策 ターゲット攻撃対策 コンテンツフィルタ コンテンツフィルタ •• 既知のスパムメール送信 既知のスパムメール送信 元からのメールをブロック 元からのメールをブロック •• ボットネットからのスパム ボットネットからのスパム メールに対しても効果的 メールに対しても効果的 な対応が可能。 な対応が可能。 •• 不正なアドレス収集など、 不正なアドレス収集など、 スパムメール送信の準備 スパムメール送信の準備 段階からの効果的な防 段階からの効果的な防 御 御 •• ターゲット攻撃型のスパ ターゲット攻撃型のスパ ムメールへの柔軟な対応 ムメールへの柔軟な対応 •• 受信者ごとの柔軟なスパ 受信者ごとの柔軟なスパ ムメール対策 ムメール対策 •• Webベースのエンドユー Webベースのエンドユー ザメール隔離(EUQ)と隔 ザメール隔離(EUQ)と隔 離通知メッセージ機能 離通知メッセージ機能 •• ウイルス・スパイウェア対 ウイルス・スパイウェア対 策 策 特定の企業を狙ったスパ 特定の企業を狙ったスパ ムメール、攻撃から防御 ムメール、攻撃から防御 詳細なスパムメール対策、 詳細なスパムメール対策、 不正プログラム対策 不正プログラム対策 不要なメールを削減 不要なメールを削減 必要な データの みを管理、 アーカイブ 23 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plus 新機能紹介 新機能: Spam Prevention Solution標準搭載 Spam Prevention Solution機能紹介 トレンドマイクロが提供する新しいスパムメール対策 @ @ @ @ @ @ • 不正なアドレス収集など、スパム メール送信の準備段階からの効果 的な防御 • 既知のスパムメール送信元、ボッ トネットへの効果的な対応 • ターゲット攻撃型のスパムメール への柔軟な対応 • 受信者ごとの柔軟なスパムメール 対策 25 @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ IP Profiler – アドレス収集防止機能 @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ IPレピュテーションサービス (Email Reputation Services) @ @ @ @ @ @ @ @ @ @ @ @ @ @ IP Profiler – ターゲット攻撃防御機能 Trend Micro Anti-Spam Engine (TMASE) Copyright 2008 - Trend Micro Inc. @ @ @ @ Spam Prevention Solution機能紹介 多階層のスパムメール対策 スパムメール対策で考えると • 不正なアドレス収集など、スパム メール送信の準備段階からの効果 的な防御 • 既知のスパムメール送信元、ボッ トネットへの効果的な対応 • ターゲット攻撃型のスパムメール への柔軟な対応 • 受信者ごとの柔軟なスパムメール 対策 勧誘の電話で考えると 大代表に電話を掛けて、 『以前お世話になった○○○さんが御社にいらっしゃるのです が、直通の電話番号を教えていただけますか?』 手当たり次第に電話をかけて、電話番号を聞き出そうとするよ うな相手に対しては、相応の対応をされていると思います。 聞いた電話番号に対して電話をかけ、『○○○株式会社と申し ます。△△△についてご説明したいのですが。 』 話題に上っている評判の悪い企業や、内容に関する電話であ れば、用件を聞く前に、何とか電話を切ると思います。 『御社人事に紹介いただいてご連絡しているのですが...』 話題に上っている評判の悪い企業や、内容に関する電話であ れば、用件を聞く前に、何とか電話を切ると思います。 一通り30分程度説明をした上で、『近くまで来ているので、お会 いできませんか?』 食い下がる相手に対して『忙しいので』、などの理由で何とか電 話を切ろうとすると思います。 26 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 機能強化:IP レピュテーションサービス Email Reputation Services サービス利用者独自のブラックリスト、 ホワイトリストも設定可能 トレンドマイクロのDNS 接続元サーバが、スパムメール送信元として登録されているかを問い合わせ スパムメール送信元 メールサーバ ERSを利用している MTA 適切な送信元からの メールのみを受信し、 クライアントまたはウイ ルス対策サーバに転送 することができます。 スパムメール送信元と認識された送信元からの接続は、拒否 ※ERSは、Email Reputation Services Advancedの省略です ※Email Reputation ServicesはEmail Reputation Services Advanced の新しい名称です。 27 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 IPレピュテーション「ならでは」の有効性 1) sales@など、社内で複数のあて先にコピーされ て送信されるスパムメールを一度にブロック。 2) 一度の接続で複数送信されるスパムメールを一 度にブロック。 3) メールの内容ではなく、あくまでもスパムメール送 信元のIPアドレスで判断するため、巧妙な画像ス パムメールであっても、適切に対処可能。 28 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 新機能:攻撃への対策 IP Profiler – e-mail IPS機能搭載 • DHA(Directory Harvesting Attack:メールアド レス収集攻撃)のような、SMTPサーバに対する攻撃 を防止 – 『自己』レピュテーションサービス • メールを受信した際に、個々のメールの発信元情報 (IPアドレス)と、メールに対するスパムメール判定を 組み合わせる。 • 任意のIPアドレスから「規定値」以上のスパムメール が送られてくる場合には、対象となるIPアドレスを独自 のブラックリストに登録、以降の通信をブロック。 29 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 IP Profiler:概念図 InterScan Messaging Security Suite Plus トラフィック モニター スパムメール 送信者 受信者 スパムメール 検索エンジン 接続元IP DB 処理結果 プロファイリング DB •スパムメール検索エンジンで検出された大量のスパムメールが同一メールサーバ (IPアドレス)からのものであった場合、以降対象サーバからのメール送信要求は拒否されます。 •同様に、DHAなどの攻撃を行なおうとするサーバについても、接続を拒否します。 30 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 IP Profiler設定画面サンプル デモ 一定時間内に、ひとつのIP アドレスから、指定した閾 値を超えるスパムメールを 受信した場合には、問題 のあるサーバとして、以降 の受信を拒否。 お客様に特有な大量の スパムメール、ウイルス送 信元、DHAなどの攻撃元 に対策 31 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 スパムメール対策エンジン Trend Micro Anti-Spam Engine – 下記技術の組み合わせによる、スパムメール対策 – エンジン • ヒューリスティック • パターンマッチング – 従来のコンテンツフィルタリングのみのスパムメール対 策に対して、ヒューリスティックエンジン単体でも 高い検知率 検出率=96% – 画像スパムメールにも対応 32 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 隔離されたメールを各利用者が確認可能 弊社旧バージョンの場合: e-mail InterScan MSS Aさん宛のメール 隔離 Bさん宛のメール 管理者が確認し、 再配信を許可 Cさん宛のメール Dさん宛のメール バージョン7.0の場合: Webベースのエンドユーザメール隔離(EUQ) e-maill InterScan MSS Plus Aさん宛のメール 隔離 Bさん宛のメール Cさん宛のメール Dさん宛のメール 33 Copyright 2008 - Trend Micro Inc. 各利用者は、 Webコンソール を利用して、自分 の隔離メール確 認、再配信可能。 Spam Prevention Solution機能紹介 EUQサンプル 旧バージョンでは管理者に集中 していた作業負荷を 各利用者に分散することが可能 •隔離されたスパムメールのチェック •スパムメールではないものの受信 •手動削除 •定期的な自動削除(周期設定可) •各利用者ごとの受信許可アドレスリスト •各利用者へのWeb EUQダイジェストの 送信による隔離メールボックス内の 状況通知 34 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 推奨運用 通常使用するメールソフト エンドユーザメール隔離キュー 通常はメールソフトを使用し、以下の 場合にEUQを参照: -隔離通知メッセージ受信時 -急ぎのメールの確認時 -定期的 35 Copyright 2008 - Trend Micro Inc. Spam Prevention Solution機能紹介 エンドユーザメール隔離メッセージ 36 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plus 機能紹介 機能:大規模環境のための管理機能の向上 隔離メールの管理と冗長化構成 InterScan Messaging Security Suite Plus 機能紹介 複数InterScan MSS管理 •管理コンソールからは、マスタのポリシーを管理。 •バックアップを一つ作成可能 •他のスレーブは、マスタのポリシーを参照(+キャッシュ) •隔離されたメールは、ある条件に従って、いずれかのEUQに格納 •Scanner=メールの検索エンジン されます •EUQ=個人ごとの隔離フォルダ •Policy=検索ポリシーなどの設定 •管理コンソールから隔離メッセージを参照する際には、条件に 従って、対応する(振り分けられた)EUQを参照します •各検索エンジンへの負荷分散は、DNSのラウンドロビンなど、 *Scanner、ポリシーサーバは最大30まで ネットワークで振り分けとなります。 分散可能。 マスタ InterScan MSS スレーブInterScan MSS ① Scanner 1 Scanner 2 EUQ 1 EUQ 2 Policy バックアップ 38 Copyright 2008 - Trend Micro Inc. スレーブInterScan MSS n Scanner n ・・・ 参照 キャッシュ InterScan Messaging Security Suite Plus 機能紹介 各ポリシー設定の内容がわかりやすく デモ 一見して何をするポリシーかが わかりやすくなりました 以下の内容を設定画面上にて 口語調で解説 •対象 •条件 •アクション 39 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plus 機能紹介 各ポリシー設定の内容がわかりやすく このポリシーは... この送信元、宛先が こんな 対象で 条件にマッチしたら アクションを実施します この 40 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plus 機能紹介 新機能:ボット対策 IntelliTrap正式対応 InterScan Messaging Security Suite Plus 機能紹介 最近の不正プログラムの特徴 2005年にトレンドマイクロに報告された不正プログラムを分析 したところ、大半(87%)は、『自己解凍型の実行プログラム』と して圧縮されていました。 42 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plus 機能紹介 IntelliTrap – より効果的なウイルス対策 Trend Micro Scan Engine TMBLACKファイル TMBLACKファイル VSAPI 8.x •通常のOPR : lpt$vpn.Xxx •スパイウェアパターン : tmaptn.Xxx 自己解凍型圧縮ファイルを検出する 自己解凍型圧縮ファイルを検出する ためのパターンが格納されたファイ ためのパターンが格納されたファイ ル。 ル。 TMWHITEファイル TMWHITEファイル 誤検知を防止するための除外パタ 誤検知を防止するための除外パタ ーンが格納されたファイル。 ーンが格納されたファイル。 •IntelliTrap TMBLACK TMWHITE TMBLACKの情報に従って、ボッ トと思われるファイルを検出 43 TMWHITEの情報に従い、正当な ファイルを除外 Copyright 2008 - Trend Micro Inc. InterScan Messaging Security Suite Plus 機能紹介 IntelliTrapの可能性と他社比較 IntelliTrapは、ゼロディアタックに対して、 大きな効果が見込めます: • 2005年の23のアウトブレークに対して、IntelliTrap のジェネリックパターンは、17件を検出しました Æ 全体の73%に対応 他社比較(トレンドマイクロ調べ) A社 ヒューリスティックでの検 11/23 : 48% 出率 44 B社 C社 0/23 : 0% 5/23 : 22% Copyright 2008 - Trend Micro Inc. 製品の組み合わせと構築モデル 製品の組み合わせと構築モデル 製品の組み合わせと構築モデル 小規模構成例 LDAP DB IP Profiler+ メールサーバ Web EUQ 検索サーバ InterScan MSS Plus セントラルコントローラ (Postfix、qmail、 sendmail) サーバ1 メール ボックス 利用者 サーバ2 DMZ 46 MTA イントラネット Copyright 2008 - Trend Micro Inc. 製品の組み合わせと構築モデル 中規模構成例 LDAP DB Web EUQ 検索サーバ IP Profiler+ メールサーバ MTA InterScan MSS Plus セントラルコントローラ (Postfix、qmail、 sendmail) サーバ1 メール ボックス サーバ3 サーバ2 イントラネット DMZ 47 Copyright 2008 - Trend Micro Inc. 利用者 製品の組み合わせと構築モデル 大規模構成例 LDAP (Postfix、qmail、 sendmail) L4スイッチ IP Profiler+ メールサーバ DB用サーバ Web EUQ サーバ群 DB WebEUQ Web EUQ WebEUQ 複数台 ScanServer Server 検索サーバ Scan 複数台 MTA メール ボックス 検索サーバ群 サーバ1 サーバn InterScan MSS Plus セントラルコントローラ 主サーバ及びバックアップ イントラネット DMZ 48 Copyright 2008 - Trend Micro Inc. 利用者 製品の組み合わせと構築モデル サーバ1台構成例 DB IP Profiler+ メールサーバ 検索サーバ InterScan MSS Plus セントラルコントローラ (Postfix、qmail、 sendmail) サーバ1 DMZ 49 Copyright 2008 - Trend Micro Inc. MTA メール ボックス 利用者 製品の組み合わせと構築モデル 参考:サーバ1台構成例 LDAP DB Web EUQ 検索サーバ MTA (ファイアウォール) MTA InterScan MSS Plus セントラルコントローラ メール ボックス サーバ1 DMZ イントラネット 50 Copyright 2008 - Trend Micro Inc. 利用者 製品の組み合わせと構築モデル Spam Prevention Solutionならではの運用例 IPフィルタリングと強化されたコンテンツフィルタリングを併用することにより、 誤検出を抑え、スパムメールと判定された内容をすぐに確認できる環境を 構築することも可能となります。 @ @ @ @ @ @ ERS IPフィルタリング IPフィルタリング @ 日本国内発のメール全てを許可するなど、緩めの設定を実施 日本国内発のメール全てを許可するなど、緩めの設定を実施 ※Outbound ※Outbound Port Port 25 25 Blockingにより、国内発のスパムメールは少数であるため Blockingにより、国内発のスパムメールは少数であるため @ @ TMASE コンテンツフィルタリング コンテンツフィルタリング 強化されたコンテンツフィルタリングによりスパムメールを丁寧に除去 強化されたコンテンツフィルタリングによりスパムメールを丁寧に除去 ※TMASEで処理されたスパムメールはブラウザ経由でエンドユーザが確認可能 ※TMASEで処理されたスパムメールはブラウザ経由でエンドユーザが確認可能 (InterScan (InterScan MSS MSS ver7.0からの新機能) ver7.0からの新機能) @ InterScan InterScan MSS MSS Plus Plus ウイルスチェック ウイルスチェック パターンマッチングによるウイルスチェック パターンマッチングによるウイルスチェック IntelliTrapにより、亜種/変種のボット系ウイルスへの対応強化 IntelliTrapにより、亜種/変種のボット系ウイルスへの対応強化 @ 確認可能 ・前段のIPフィルタリングによりメールシステム全体での負荷を軽減 ・強化されたコンテンツフィルタリングの比重を増やし、決め細やかな運用を実現 利用者 ・コンテンツフィルタリングで拒否されたメールはエンドユーザ自身で確認し、再配送可能 51 Copyright 2008 - Trend Micro Inc. 製品の組み合わせと構築モデル Spam Prevention Solutionならではの運用例 IPフィルタリングと強化されたコンテンツフィルタリングを併用することにより、 誤検出を抑え、スパムメールと判定された内容をすぐに確認できる環境を 構築することも可能となります。 Profilerでの @ @ @ IP 『予防』 @ @ @ ERS IPフィルタリング IPフィルタリング @ @ @ TMASE コンテンツフィルタリング コンテンツフィルタリング 日本国内発のメール全てを許可するなど、緩めの設定を実施 日本国内発のメール全てを許可するなど、緩めの設定を実施 ※Outbound ※Outbound Port Port 25 25 Blockingにより、国内発のスパムメールは少数であるため Blockingにより、国内発のスパムメールは少数であるため IP Profilerでの 強化されたコンテンツフィルタリングによりスパムメールを丁寧に除去 強化されたコンテンツフィルタリングによりスパムメールを丁寧に除去 『ターゲット攻撃 ※TMASEで処理されたスパムメールはブラウザ経由でエンドユーザが確認可能 ※TMASEで処理されたスパムメールはブラウザ経由でエンドユーザが確認可能 対策』 (InterScan (InterScan MSS MSS ver7.0からの新機能) ver7.0からの新機能) @ InterScan InterScan MSS MSS Plus Plus ウイルスチェック ウイルスチェック パターンマッチングによるウイルスチェック パターンマッチングによるウイルスチェック IntelliTrapにより、亜種/変種のボット系ウイルスへの対応強化 IntelliTrapにより、亜種/変種のボット系ウイルスへの対応強化 @ 確認可能 ・前段のIPフィルタリングによりメールシステム全体での負荷を軽減 ・強化されたコンテンツフィルタリングの比重を増やし、決め細やかな運用を実現 利用者 ・コンテンツフィルタリングで拒否されたメールはエンドユーザ自身で確認し、再配送可能 52 Copyright 2008 - Trend Micro Inc. その他 その他 その他 Linux版システム要件 ソフトウェア要件 オペレーティングシステム – Red Hat Enterprise Linux 5※ – Red Hat Enterprise Linux AS 3 Update 6 – Red Hat Enterprise Linux AS※ 4 Update 2 – SUSE Linux Enterprise Server 8 – SUSE Linux Enterprise Server 9 SP3 ※OSの対応状況および今後の予定につきましては、ト レンドマイクロ認定パートナー / 登録パートナーにお 問い合わせください。 54 Copyright 2008 - Trend Micro Inc. その他 Linux版システム要件 ハードウェア要件 InterScan MSS Plus(コンテンツフィルタリング、IPフィルタリング)の場合 – Intel Dual Pentium 4 3GHz以上または同等のCPU – 2GBのRAM – 4GBのスワップ領域 – メールの保存用に2GBのハードディスク空き容量 ※すべてのコンポーネントをインストールするには少なくとも500MBのディスク空き容量が必要です。ただし、実際 に必要なディスク空き容量はメッセージのトラフィック量により異なります。メールとログ (メールの検索中に生成) の保存用に最低500MBを確保することをお勧めします。 55 Copyright 2008 - Trend Micro Inc. その他 Windows版システム要件 ソフトウェア要件 オペレーティングシステム – Microsoft Windows Server 2003 – Microsoft Windows Server 2003 – Microsoft Windows Server 2003 – Microsoft Windows Server 2003 – Microsoft Windows 2000 Server 56 SP1 R2 x64 Edition R2 x64 Edition SP4 Copyright 2008 - Trend Micro Inc. その他 Windows版システム要件 ハードウェア要件 InterScan MSS Plus(コンテンツフィルタリング、IPフィルタリング)の場合 – Intel Dual Pentium 4 3GHz以上または同等のCPU – 2GBのRAM – メールの保存用に10GBのハードディスク空き容量 – 1日のメールトラフィックが500,000件で、隔離される割合が50%、ロ グを1ヵ月保存する場合、次のハードディスク空き容量を確保するこ とを推奨します。 • メール保存用に10GB • 管理データベース用に50GB以上 • エンドユーザメール隔離 (以下、EUQ) データベース用に20GB 以上 • 隔離フォルダに40GB以上 – (隔離フォルダは初期設定でC:¥Program Files¥Trend Micro¥IMSS¥queueに設定されます。) 57 Copyright 2008 - Trend Micro Inc. その他 Solaris版システム要件 ソフトウェア要件 オペレーティングシステム – SPARC Solaris 8、9、10 • 最新のSolarisの推奨パッチクラスタのインストールを 推奨します。 58 Copyright 2008 - Trend Micro Inc. その他 Solaris版システム要件 ハードウェア要件 InterScan MSS Plus(コンテンツフィルタリング、IPフィルタリ ング)の場合 – UltraSPARC Ⅲi 1.0 GHz以上のCPU – 2GBのRAM – ハードディスク空き容量 • メール保存用に10GB • 管理データベース用に50GB以上 • エンドユーザメール隔離データベース用に20GB以上 • 隔離フォルダの稼動用に40GB以上 ※詳細については、最新のreadmeファイルを参照してください: http://www.trendmicro.co.jp/download/product.asp?productid=12 59 Copyright 2008 - Trend Micro Inc. その他 既存変更点 Email Reputation Services (旧製品名: Email Reputation Services Advanced、2008年8月 製品名変更) – トレンドマイクロの提供する、IPレピュテーション型のスパ ムメール対策です。 – ERSについては、別途引き続き単体でも販売いたします。 60 Copyright 2008 - Trend Micro Inc. 61 Copyright 2008 - Trend Micro Inc. 付録 機能強化:IPレピュテーション 付録 管理用Webポータルを提供 63 Copyright 2008 - Trend Micro Inc. 付録 ホワイトリストとブラックリスト 国名称 ISP名称 IPアドレス 64 Copyright 2008 - Trend Micro Inc. 付録 ISPトップ100ランキング 日本ではJPNICによって割り当てら れる、ISPを識別する一意の番号 ISP名称 Spam Volume 対象となるISPからスパムメール数に相当 Botnet Activity 対象となるISP内のボット感染PCの推移。 65 Copyright 2008 - Trend Micro Inc. 付録 活用方法 1: トップ100リストとブラックリスト リスト上位のISPや、Botnet Activityの数字の大きなISPは、大規模なスパムメール送信に悪用 される可能性が高いので、特に必要がなければ、ブラックリストに登録してブロック。 66 Copyright 2008 - Trend Micro Inc. 付録 活用方法 2: OP25B対応済みISPとホワイトリスト 敬称略、2006年10月19日現在 OP25B対応済みのISPは、大規模なスパ ムメール送信元にはなりにくい →ホワイトリストに登録し、万が一のボット感 染時にも、確実に対象となるISPからのメー ルを受信。 67 Copyright 2008 - Trend Micro Inc. 製品と機能の構成 付録 機能と実現に必要なコンポーネント 69 Copyright 2008 - Trend Micro Inc. 社内・社外比較 トレンドマイクロのゲートウェイ製品 ポジショニング 従 業 員 数 1,000 InterScan InterScan VirusWall VirusWall Enterprise Enterprise Edition Edition Plus Plus Trend Trend Micro Micro Email Email Reputation Reputation Services Services InterScan Messaging Security Suite Plus InterScan Web Security Suite Plus InterScan InterScan WebManager WebManager InterScan InterScan VirusWall VirusWall Standard Standard Edition Edition 500 InterScan InterScan Gateway Gateway Security Security Appliance Appliance 100 メール対策 スパム対策 Web対策 ウイルス対策 71 ウイルス対策 Copyright 2008 - Trend Micro Inc. URLフィルタリング 参考資料 付録 画像スパムの例 テキストを画像化しているため、 画像としては空白部分が多いこ とが、画像スパムの特徴。 スパムメール対策エンジンでは、 この特徴をベースに画像スパム を判別。 最近の画像スパムは、この検知 方法をかいくぐるために、ランダ ムな「ノイズ(点や線)」を使用し ている。 73 Copyright 2008 - Trend Micro Inc. 付録 Pump and Dumpの例 74 Copyright 2008 - Trend Micro Inc. 75 Copyright 2008 - Trend Micro Inc.
© Copyright 2025 Paperzz
