アプリケーションおよびリスク分析レポート お客様名: パロアルトネットワークス合同会社 作成者: 三輪 賢一 2010年9月8日(水) パロアルトネットワークス合同会社 102-0094 千代田区紀尾井町4番3号 泉館紀尾井町ビル5階 TEL: 03-3511-4050 www.paloaltonetworks.co.jp Page 1 of 19 なぜ Palo Alto Networks なのか? パロアルトネットワークス合同会社 様は、Palo Alto Networks の次世代ファイアウォールをアプリケーションの可視性と制御を高める ことによってセキュリティ対策を強化するための手段として評価していただきました。評価結果を徹底的に調べる前に、パロアルト ネットワークス合同会社 様が評価プロセスを進めていくうえで考慮する必要がある Palo Alto Networks の主要な機能を再度ここで説 明させていただきます。 Palo Alto Networks の次世代ファイアウォールでは、App-ID™、User-ID™、および Content-ID™ の 3 つの独自のテクノロジを使用し て、アプリケーション、ユーザー、およびコンテンツについて、可視性と管理能力を IT 部門に取り戻すことができます。専用のプ ラットフォームとして提供される Palo Alto Networks の次世代ファイアウォールは、次の点で他のセキュリティ ソリューションと異 なります。 App-ID によるアプリケーションの可視性と制御: 4 つの異なるメカニズム (アプリケーション プロトコルの検出と復号化、アプリケーションのデコード、アプリケーション シグネ チャ、および通信の振る舞い分析) を使用して、使用されているポート、プロトコル、SSL 暗号化、セキュリティ回避手法などに かかわらずネットワークを通過するアプリケーションを識別する特許出願中の分類テクノロジ、App-ID を使用しています。App-ID により得られたアプリケーション識別情報は、該当するログとレポート出力に加え、あらゆるファイアウォール ポリシーの決定基 準として使用されます。 既存のファイアウォールは、トラフィック分類手段としてポートとプロトコルのみを使用していることは既にご存知かと思いま す。これは、セキュリティを回避する機能を組み込んだ最近のアプリケーションであれば空いたポートを発見してファイアウォー ルをひそかに通過し、アンチウィルスなどの検査を迂回できることを意味します。またはアプリケーションが別のアプリケーショ ンに成りすまし、SSL を使用してセキュリティ チェックによって妨げられることなくファイアウォールをすり抜けたりすることに もなります。 User-ID によるユーザーの可視性と制御: エンタープライズ ディレクトリ サービス (Active Directory、eDirectory、LDAP) を利用して、ユーザーとグループの情報に基づい てアプリケーションおよびコンテンツに対するポリシー制御を可能にします。Application Command Center (ACC)、App-Scope、 トラフィック ログ、レポートに加え、ポリシー エディタを含むすべての機能でユーザーの活動を表示できます。 Content-ID によるコンテンツ インスペクション: Palo Alto Networks はストリーム ベースのスキャン、統一された脅威シグネチャ形式、包括的な URL データベース、およびアプリ ケーションの可視性を備えた唯一のファイアウォールで、これにより不正なファイル転送を制限し、さまざまな脅威を検出してブ ロックし、業務とは無関係な Web の利用を制御します。Content-ID は独自開発の専用ハードウェアで処理されるため、他社製品 で一般的に見られるパフォーマンスの大幅な劣化は発生しません。 強力な可視化ツールおよび統一されたポリシー制御: アプリケーションの 利用状況、一定期間のアクティビティ、およびインシデントのフォレンジック情報を表示する強力の可視化 ツールに加え、きめ細やかなポリシー制御を簡単に実現する使いやすい管理インターフェイスが提供されています。Palo Alto Networks は、複数の製品を寄せ集めただけのような使いにくい管理インターフェイスを使用するのではなく、アクセス制御、脅威 防御、URL フィルタ、ログ作成、QoS などの基準を含むすべてのセキュリティ ルールを一括設定するためのポリシー エディタを 用意しています。アプリケーションの制御ポリシーは、iTunes でプレイリストを作るのと同じように簡単に設定することができ、 管理者はアプリケーション ブラウザにより、カテゴリ、サブカテゴリ、そのベースとなっているテクノロジ、動作特性などの一連 のアプリケーション情報を使用して動的にアプリケーションのフィルタルールを設定できます。競合製品のほとんどでは、アプリ ケーションはIPSのシグネチャ設定の一部としてファイアウォールと異なる管理画面を通して作成する必要があります。 Palo Alto Networks の次世代ファイアウォールは、ネットワークを通過するアプリケーションと脅威に関して比類ないレベルの可視化 と制御を可能にします。以降では、今回の検証にて確認されたアプリケーションの内容とそれによるリスクの分析結果について報告さ せていただきます。 Page 2 of 19 要約 今回 Palo Alto Networks では、パロアルトネットワークス合同会社 様向けに Palo Alto Networks の次世代ファイアウォールを使用し てアプリケーションとリスクの分析を実施いたしました。Palo Alto Networks の次世代ファイアウォールは、App-ID、User-ID、およ び Content-ID の 3 つの独自のテクノロジを利用して、ネットワークを通過するアプリケーション、ユーザー、およびコンテンツの可 視化と制御を可能にいたします。このレポートはこの分析結果を総括したもので、最初に主な結果と全般的なビジネス リスク評価に ついて説明します。次に、特定のアプリケーション、テクノロジ リスクと脅威に基づいて パロアルトネットワークス合同会社 様のト ラフィックを分析し、ネットワークの使用方法に関する概要を示します。そして最後にまとめと推奨策について説明いたします。 調査結果から パロアルトネットワークス合同会社 様で対策が必要と思われる主な内容: 個人的なアプリケーションのインストールと使用: ユーザーが業務とは無関係のさまざまなアプリケーションをインストールしていることから、ビジネス リスクとセキュリティ リス クが高まる可能性があります。 ネットワーク上の活動を隠蔽するアプリケーション: IT テクノロジに精通する社員がネットワーク上での活動を隠すためのアプリケーションを使用しています。この種のアプリケー ションの例としては、外部プロキシ、リモート デスクトップ アクセス、非 VPN 関連の暗号化トンネルが挙げられます。誰がどの ような目的にこれらのアプリケーションを使用しているのかを調査する必要があります。 情報漏洩につながるアプリケーション: ファイル転送アプリケーション (P2Pまたはブラウザ ベース、あるいはその両方) が使用されており、セキュリティ、情報漏洩、コ ンプライアンス違反、および著作権侵害の可能性といった深刻なリスクが パロアルトネットワークス合同会社 様に及んでいます。 個人用のコミュニケーションアプリケーション: ユーザーが個人用のさまざまな通信アプリケーションを使用しています。この例としては、インスタント メッセージング、Web メール、VoIP/ビデオ会議などがあります。この種のアプリケーションにより、生産性の低下、コンプライアンス違反、および事業 継続性のリスクが発生します。 帯域幅と労働時間を浪費するアプリケーション: メディア アプリケーションおよびソーシャル ネットワーキング アプリケーションの使用が確認されました。これらのアプリケー ションによって、回線の帯域幅と社員の作業時間を浪費することが懸念されます。 Page 3 of 19 ハイリスクアプリケーションによってもたらされるビジネス上のリスク ネットワークを通過するアプリケーションによってもたらされるビジ ネスリスクの可能性は、ハイリスクなアプリケーション (1 ~ 5 段階で レベル4 と 5 のリスクが潜むもの) の特徴を分析することで確認できま す。これらの動作特性がビジネス上でのリスクを誘発する可能性があ ります。たとえば、アプリケーションのファイル転送がデータの漏洩 につながったり、検出を回避する機能やその他のアプリケーションを すり抜ける機能がコンプライアンス違反リスクにつながったり、帯域 幅の大量消費が運用コストを増加させ、悪意のあるソフトウェアの攻 撃を受けやすいアプリケーションや脆弱性のあるソフトウェアが事業 継続性のリスクをもたらす可能性があります。関連するビジネス リス クを効果的に管理する上で最初の手順は、アプリケーションが運ぶと 思われるリスクを識別することです。 図 1 は、ビジネス リスク算出のサマリを示しています。 付録 A で は、ビジネス リスクの詳細を説明しています。 Operational Cost 13% Productivity 18% Business Continuity 22% Compliance 24% Data Loss 23% 図 1: ハイリスク アプリケーション が 誘発 する ビジネス リスク の 詳細 ハイリスク アプリケーション ハイリスク アプリケーション (リスクレベル 4 または 5) をカテゴリ、サブカテゴリ、および使用バイト数ごとに分類して以下に示し ます。アプリケーションをそれぞれのカテゴリ、サブカテゴリ、およびテクノロジと併せて確認できると、事業上の価値、および各 ユーザーまたはユーザー グループに対してアプリケーションが誘発するリスクの可能性を検討するのに役立ちます。 93 ハイリスク アプリケーションに関する調査結果: アクティビティの隠蔽: プロキシ (5) およびリモート アクセス (4) アプリケーションが確認されました。 IT テクノロジに精通する社員がアクティビティを 隠蔽するためにこれらのアプリケーションを使用する頻度が高まっており、コンプライアンス違反とデータ消失のリスクが パロア ルトネットワークス合同会社 に及ぶ可能性があります。 ファイル転送/情報漏洩/著作権侵害: P2P アプリケーション (16) およびブラウザ ベースのファイル共有アプリケーション (51) が確認されました。これらのアプリケー ションにより、データ消失に加え、著作権侵害の可能性、コンプライアンス違反のリスクが パロアルトネットワークス合同会社 に 及び、脅威ベクトルとなる可能性があります。 通信アプリケーションの個人使用: インスタント メッセージング (11)、Web メール (11)、VoIP/ビデオ会議 (6) などのさまざまな通信アプリケーションが個人使用の 目的でよく使用されていることが確認されました。この種のアプリケーションは、生産性の低下、コンプライアンス違反、および 事業継続性のリスクを パロアルトネットワークス合同会社 に及ぼす可能性があります。 帯域幅の大量消費: 写真/ビデオ (11)、オーディオ (2)、ソーシャル ネットワーキング (3) など、帯域幅を大量に消費することが判明しているアプリ ケーションが検出されました。この種のアプリケーションは社員の生産性の低下を表しており、帯域幅を大量消費すると共に、脅 威を運ぶ手段となる可能性があります。 Page 4 of 19 Risk Application Category Sub-Category Technology Bytes Sessions 4 concur business-systems general-business browser-based 538,914 10 5 google-docs business-systems office-programs browser-based 80,880,356 1,502 4 ms-groove business-systems office-programs peer-to-peer 18,829,556 109 4 evernote business-systems office-programs client-server 1,566,241 339 4 ms-update business-systems software-update client-server 5,676,805,569 9,132 4 adobe-update business-systems software-update client-server 1,887,460,041 7,058 5 smtp collaboration email client-server 132,783,761,380 3,201,755 4 gmail collaboration email browser-based 6,678,377,883 469,504 4 hotmail collaboration email browser-based 1,645,643,498 50,896 4 aim-mail collaboration email browser-based 611,424,329 26,585 4 secureserver-mail collaboration email browser-based 67,005,320 3,637 4 squirrelmail collaboration email browser-based 9,902,113 742 4 outlook-web collaboration email browser-based 5,130,720 103 4 outblaze-mail collaboration email browser-based 2,839,736 347 4 yandex-mail collaboration email browser-based 1,113,155 149 5 horde collaboration email browser-based 1,105,891 221 4 fastmail collaboration email browser-based 133,401 12 4 roundcube collaboration email browser-based 83,828 57 4 twig collaboration email client-server 77,269 1 4 ms-exchange collaboration email client-server 720 12 4 aim collaboration instant-messaging client-server 447,550,206 13,015 4 yahoo-im collaboration instant-messaging client-server 433,450,742 277,847 5 yahoo-file-transfer collaboration instant-messaging peer-to-peer 172,856,026 41 4 aim-express collaboration instant-messaging browser-based 77,155,719 16,106 4 aim-file-transfer collaboration instant-messaging peer-to-peer 65,358,219 87 5 msn-file-transfer collaboration instant-messaging peer-to-peer 2,741,010 37 5 jabber collaboration instant-messaging client-server 1,937,656 18 4 gadu-gadu collaboration instant-messaging client-server 387,309 236 5 gtalk-file-transfer collaboration instant-messaging peer-to-peer 67,094 45 5 ebuddy collaboration instant-messaging browser-based 54,442 16 4 google-talk collaboration instant-messaging client-server 1,323 1 5 adobe-connect collaboration internet-conferencing browser-based 146,731,547 591 4 live-meeting collaboration internet-conferencing client-server 100,827,592 299 4 facebook collaboration social-networking browser-based 2,660,028,888 132,245 4 myspace collaboration social-networking browser-based 52,444,038 1,319 4 spark collaboration social-networking browser-based 1,103,322 161 5 skype collaboration voip-video peer-to-peer 1,151,504,346 2,997 4 yahoo-voice collaboration voip-video peer-to-peer 34,345,098 474 4 msn-voice collaboration voip-video peer-to-peer 732,623 99 5 stickam collaboration voip-video browser-based 226,742 9 4 sip collaboration voip-video peer-to-peer 205,619 39 4 gtalk-voice collaboration voip-video peer-to-peer 30,500 24 5 ftp general-internet file-sharing client-server 31,883,149,854 38,616 4 yousendit general-internet file-sharing browser-based 761,900,849 313 4 mediafire general-internet file-sharing browser-based 394,744,911 181 4 sendspace general-internet file-sharing browser-based 241,745,701 26 5 bittorrent general-internet file-sharing peer-to-peer 113,152,880 31,851 4 4shared general-internet file-sharing browser-based 46,193,499 114 4 docstoc general-internet file-sharing browser-based 42,152,347 76 5 webdav general-internet file-sharing browser-based 33,653,832 2,639 5 pando general-internet file-sharing peer-to-peer 22,987,129 3,062 Page 5 of 19 5 emule general-internet file-sharing peer-to-peer 2,158,618 39 5 soribada general-internet file-sharing peer-to-peer 1,758,540 9 4 megaupload general-internet file-sharing browser-based 1,537,106 61 5 imesh general-internet file-sharing peer-to-peer 109,869 6 4 drop.io general-internet file-sharing browser-based 3,780 2 4 web-browsing general-internet internet-utility browser-based 318,370,486,160 14,935,346 4 flash general-internet internet-utility browser-based 149,758,507,829 589,369 5 rss general-internet internet-utility client-server 2,596,099,001 130,927 5 nntp general-internet internet-utility client-server 1,602,522,161 70 4 atom general-internet internet-utility client-server 603,980,360 7,044 4 google-desktop general-internet internet-utility client-server 280,121,884 24,807 4 mobile-me general-internet internet-utility browser-based 169,939,987 7,160 4 web-crawler general-internet internet-utility browser-based 4,413,384 2,756 5 http-audio media audio-streaming browser-based 34,418,923,985 14,378 4 itunes media audio-streaming client-server 2,360,211,607 35,900 4 poker-stars media gaming browser-based 1,674,149 1 4 second-life media gaming client-server 333,458 4 4 zango media gaming browser-based 265,963 51 5 asf-streaming media photo-video browser-based 46,560,684,093 3,215 4 limelight media photo-video browser-based 22,736,572,908 148,822 4 rtmp media photo-video browser-based 21,395,459,360 6,375 5 http-video media photo-video browser-based 12,684,199,228 14,410 4 rtmpt media photo-video browser-based 11,324,321,835 96,667 5 youtube media photo-video browser-based 5,360,183,479 28,851 4 dailymotion media photo-video browser-based 1,422,046,098 2,959 4 mogulus media photo-video browser-based 11,711,976 46 4 metacafe media photo-video browser-based 11,553,855 360 4 socialtv media photo-video browser-based 293,692 16 5 sopcast media photo-video peer-to-peer 4 ssl networking encrypted-tunnel browser-based 4 ssh networking encrypted-tunnel client-server 3,989,811,144 2,555 4 dns networking infrastructure network-protocol 1,992,410,799 7,373,232 4 icmp networking ip-protocol network-protocol 915,330,569 216,748 5 http-proxy networking proxy browser-based 40,007,685 3,070 5 hopster networking proxy client-server 967,486 108 5 phproxy networking proxy browser-based 110,399 6 5 cgiproxy networking proxy browser-based 109,526 7 5 coralcdn-user networking proxy browser-based 7,074 8 4 ms-rdp networking remote-access client-server 837,234,085 130 4 yoics networking remote-access client-server 9,922,340 241 5 logmein networking remote-access client-server 1,256,740 10 5 vnc-http networking remote-access browser-based 264,606 4 10,760 22 71,784,223,929 2,582,793 図 2: ネットワークを通過するハイリスクアプリケーション (レベル 4 または 5) Page 6 of 19 リスクを判定するためのアプリケーションの特性 Palo Alto Networks の研究チームは、アプリケーションの動作特性に基づいてリスクレベル 1 ~ 5 を判定しています。これらのアプリ ケーション特性はアプリケーションの可視化に不可欠な要素で、管理者はこれらの特性を使用してネットワークで見られる新しいアプ リケーションを分析し、この結果に基づいてアプリケーションをどのように処理するかを決定することができます。 アプリケーションの動作特性の定義 乱用されやすい: 不正目的のための使用、または意図した以上のことを行うように簡単に設定できるもの。この例として、SOCKS だけでなく、BitTorrent、AppleJuice などの比較的最近登場したアプリケーションが挙げられます。 他のアプリケーションをすり抜けさせる: 他のアプリケーションをトランスポートすることが可能なもの。この例として SSH と SSL に加え、Hopster、TOR と RTSP、RTMPT が挙げられます。 脆弱性が判明している: 悪用など、脆弱性を持つことが判明しているアプリケーション。 ファイルの転送: 1 つのネットワークから別のネットワークにファイルを転送することが可能なもの。この例として FTP と P2P に 加え、Web メール、MegaUpload や YouSendIt などのオンライン ファイル共有アプリケーションが挙げられます。 悪意のあるソフトウェアに利用される: 悪意のあるソフトウェアの伝播、攻撃の開始、またはデータの盗難に悪用されうるもの。 悪意のあるソフトウェアに使用されるアプリケーションには、コラボレーション (電子メール、IM など) および一般的なインター ネット カテゴリ (ファイル共有、インターネット ユーティリティ) が含まれます。 帯域幅を消費する: 通常使用で一般的に 1 Mbps 以上を消費するアプリケーション。この例として、Xunlei、DirectConnect などの P2P アプリケーションに加え、メディア アプリケーション、ソフトウェア更新、およびその他の業務アプリケーションが挙げられ ます。 セキュリティを回避する: インストール作業自体が簡略化していて、既存のセキュリティ インフラストラクチャからすり抜けるた めに、意図された目的以外でポートまたはプロトコルを使用するもの。 パロアルトネットワークス合同会社 様においては、ネットワークを通過するアプリケーション、その個別特性、およびそれを使用す る社員を認識することで、関連するセキュリティ ポリシーによりアプリケーション トラフィックをどのように処理するかを効果的に 決定できるようになります。多くのアプリケーションには、複数の動作特性があることに注意してください。 Application Behavorial Characteristics Used By Malware 63 Transfers Files 80 Has Known Vulnerablities 83 Tunnels Other Applications 45 Prone to Misuse 33 Consumes Bandwidth 38 Evasive 54 0 10 20 30 40 50 60 Number of Applications 70 80 90 図 3: 検出 されたハイリスク アプリケーション の動作特性 Page 7 of 19 ネットワークを通過する上位のアプリケーション 上位 35 のアプリケーション (帯域幅の消費量に基づく) をカテゴリおよびサブカテゴリごとに分類して以下に示します。アプリケー ションのカテゴリ、サブカテゴリ、およびテクノロジに加えて、その動作特性 (前ページ) を確認することにより、アプリケーションが もたらす事業上の利点を全般的に把握することができます。 Risk Application Category Sub-Category Technology Bytes Sessions 2 soap business-systems general-business client-server 4,395,760,327 38,670 3 apple-update business-systems software-update client-server 7,216,572,456 9,987 4 ms-update business-systems software-update client-server 5,676,805,569 9,132 4 adobe-update business-systems software-update client-server 1,887,460,041 7,058 5 smtp collaboration email client-server 132,783,761,380 3,201,755 4 gmail collaboration email browser-based 6,678,377,883 469,504 3 yahoo-mail collaboration email browser-based 4,004,117,401 122,952 3 comcast-webmail collaboration email browser-based 1,842,983,935 119,805 4 hotmail collaboration email browser-based 1,645,643,498 50,896 3 gmail-chat collaboration instant-messaging browser-based 1,568,010,375 100,425 4 facebook collaboration social-networking browser-based 5 ftp general-internet file-sharing client-server 4 web-browsing general-internet internet-utility 4 flash general-internet internet-utility 2 google-safebrowsing general-internet 5 rss 5 nntp 2,660,028,888 132,245 31,883,149,854 38,616 browser-based 318,370,486,160 14,935,346 browser-based 149,758,507,829 589,369 internet-utility browser-based 2,944,679,114 94,092 general-internet internet-utility client-server 2,596,099,001 130,927 general-internet internet-utility client-server 1,602,522,161 70 3 pandora media audio-streaming browser-based 53,494,241,781 23,966 5 http-audio media audio-streaming browser-based 34,418,923,985 14,378 2 xm-radio media audio-streaming browser-based 8,804,212,497 29,316 1 shoutcast media audio-streaming client-server 3,322,534,392 321 4 itunes media audio-streaming client-server 2,360,211,607 35,900 5 asf-streaming media photo-video browser-based 46,560,684,093 3,215 3 rtsp media photo-video client-server 23,574,745,350 1,991 4 limelight media photo-video browser-based 22,736,572,908 148,822 4 rtmp media photo-video browser-based 21,395,459,360 6,375 1 move-networks media photo-video client-server 15,593,576,860 3,193 5 http-video media photo-video browser-based 12,684,199,228 14,410 4 rtmpt media photo-video browser-based 11,324,321,835 96,667 5 youtube media photo-video browser-based 5,360,183,479 28,851 2 hulu media photo-video browser-based 2,978,982,552 7,724 3 photobucket media photo-video browser-based 2,587,985,679 30,860 4 ssl networking encrypted-tunnel browser-based 71,784,223,929 2,582,793 4 ssh networking encrypted-tunnel client-server 3,989,811,144 2,555 4 dns networking infrastructure network-protocol 1,992,410,799 7,373,232 図 4: カテゴリ、サブカテゴリ、およびテクノロジ別に分類した帯域幅消費量が多い上位のアプリケーション 上位 35 (225 中) のアプリケーションに関する主要結果: 最も一般的なタイプのアプリケーションは photo-video および internet-utility です。 Page 8 of 19 アプリケーションのサブカテゴリ 検出されたすべてのアプリケーションのサブカテゴリ分類を、帯域幅の消費量順に以下に示します。この表から、最も使用量の多いア プリケーションの概要を把握することができます。IT 組織では、これらのデータを基に効果的にアプリケーション イネーブルメント 活動の優先度を決定することができます。 Sub-Category Number of Applications Bytes Consumed Sessions Consumed internet-utility 18 478,165,538,917 16,031,540 photo-video 26 167,412,397,677 359,596 email 25 148,690,376,012 4,023,119 audio-streaming 9 102,533,766,817 104,313 encrypted-tunnel 6 76,769,598,233 2,586,166 file-sharing 17 33,569,518,268 77,054 software-update 4 14,865,804,759 36,245 social-networking 17 5,546,975,068 183,607 general-business 7 4,695,614,849 79,504 instant-messaging 20 3,423,643,918 461,392 infrastructure 7 2,049,378,587 7,503,408 voip-video 9 1,187,567,233 7,460 internet-conferencing 6 1,183,578,897 2,673 ip-protocol 2 915,387,003 216,803 remote-access 8 855,835,815 450 storage-backup 2 810,810,190 586 database 3 451,724,495 201 office-programs 7 253,272,342 9,414 gaming 5 168,763,436 7,735 management 7 115,267,909 80,364 erp-crm 3 73,904,971 43,277 proxy 5 41,202,170 3,199 web-posting 7 23,665,517 388 auth-service 3 187,283 796 Grand Total 223 1,043,803,780,366 31,819,290 図 5: 消費バイト数順に示したすべての検出アプリケーションのサブカテゴリ アプリケーションのサブカテゴリに関する主要結果: 帯域幅の消費量が最も多いアプリケーションのサブカテゴリは、 internet-utility, photo-video, email です。 Page 9 of 19 HTTP を使用するアプリケーション 何らかの方法、形式、形態で HTTP を使用する上位 25 のアプリケーション (帯域幅の消費量に基づく) を以下に示します。多くの業務 アプリケーションは、一早い導入とアクセス簡略化を実現する手段として HTTP を使用しますが、非業務アプリケーションではセキュ リティをバイパスするために HTTP を使用することがあります。アプリケーションポリシーを設定する際に、どのアプリケーションが HTTP を使用するかを把握することが重要になります。 Risk HTTP Application Technology Bytes Sessions 4 web-browsing browser-based 318,370,486,160 14,935,346 4 flash browser-based 149,758,507,829 589,369 5 asf-streaming browser-based 46,560,684,093 3,215 5 http-audio browser-based 34,418,923,985 14,378 3 rtsp client-server 23,574,745,350 1,991 4 limelight browser-based 22,736,572,908 148,822 1 move-networks client-server 15,593,576,860 3,193 5 http-video browser-based 12,684,199,228 14,410 4 rtmpt browser-based 11,324,321,835 96,667 2 xm-radio browser-based 8,804,212,497 29,316 3 apple-update client-server 7,216,572,456 9,987 4 gmail browser-based 6,678,377,883 469,504 4 ms-update client-server 5,676,805,569 9,132 5 youtube browser-based 5,360,183,479 28,851 2 soap client-server 4,395,760,327 38,670 3 yahoo-mail browser-based 4,004,117,401 122,952 1 shoutcast client-server 3,322,534,392 321 2 hulu browser-based 2,978,982,552 7,724 2 google-safebrowsing browser-based 2,944,679,114 94,092 4 facebook browser-based 2,660,028,888 132,245 5 rss client-server 2,596,099,001 130,927 3 photobucket browser-based 2,587,985,679 30,860 4 itunes client-server 2,360,211,607 35,900 3 comcast-webmail browser-based 1,842,983,935 119,805 4 hotmail browser-based 1,645,643,498 50,896 図 6: 消費バイト数順に示した上位の HTTP アプリケーション 上位 25 (166 中) のHTTP アプリケーションに関する主要結果: ネットワークを通過し、何らかの方法で HTTP を使用するアプリケーションには、業務関連と非業務関連のアプリケーションがあ ります。 Page 10 of 19 上位の URL カテゴリ アプリケーション トラフィックの可視性に関して検討すべき別の側面として、ユーザーが使用する Web サイトの識別と制御がありま す。URL フィルタ制御にアプリケーション制御と脅威防御を組み合わせることで、ネットワーク セキュリティを大幅に向上させるこ とができます。 URL Category Count unknown 3,244,006 news 2,595,843 advertisements-and-popups 1,904,562 infrastructure 1,688,104 shopping 1,452,063 computing-and-internet 1,308,108 business 984,327 search-engines 933,242 streaming-media 895,700 web-based-e-mail 789,194 finance-and-investment 582,929 sports 553,901 entertainment 502,716 reference 378,858 blogs-and-forums 310,423 travel 247,106 chat 223,491 downloads 189,735 games 168,569 motor-vehicles 143,092 real-estate 120,978 job-search-and-career-development 118,294 society-and-culture 107,966 health-and-medicine 105,644 education 104,604 図 7: 上位の URL カテゴリ 上位25 の URL に関する主要結果: URL カテゴリのレポートには、業務関連と非業務関連の Web アクティビティが示されています。 Page 11 of 19 ネットワークを通過する上位の脅威 ネットワークを流れるトラフィックの可視性を向上させ、ポートおよびプロトコルだけでなく、脅威を送信しているアプリケーション を的確に識別することにより、脅威防御を向上させることができます。アプリケーションの実際の識別情報の可視化が促進されれば、 脅威防御エンジンが脅威の可能性を短時間で絞り込むことができ、パフォーマンスを改善できます。 Threat Name Type Severity Count HTTP GET Requests Long URI Anomaly vulnerability MiniBug retrieve weather information spyware phone home medium low 448,570 8,099 MyWebSearch_Toolbar startup configuration spyware phone home medium 1,682 MiniBug check ads spyware phone home medium 1,324 Email-Worm.Win32.NetSky.q virus medium 825 Smart_Shopper Track/Upgrade/Report activities spyware phone home medium 564 DiyBar spyware phone home medium 522 CouponBar Get updates to toolbar buttons spyware phone home low 438 Antivirus 2008 display ads or ask for purchase spyware phone home medium 435 MyWebSearch_Toolbar mysaconfg request spyware phone home medium 253 MyWay_Speed_Bar Ads spyware phone home low 247 Microsoft Internet Explorer COM Object Instantiation Memory Corruption Vulnerability vulnerability high 188 MyWay_Speed_Bar Track activity 2 spyware phone home low 179 Download_Accelerator_Plus DAP startup spyware phone home low 159 Microsoft Windows Graphics Rendering Engine BMP File Parsing Integer Overflow Vulnerability vulnerability high 123 Gigatech_Superbar Collect information spyware phone home low 108 MyWay_Speed_Bar Track activity 1 spyware phone home low 79 Download_Accelerator_Plus DAP ads spyware phone home low 62 Download_Accelerator_Plus DAP download files spyware phone home low 58 Altavista_Toolbar Track user activity spyware phone home low 44 HTTP Cross Site Scripting Vulnerability vulnerability high 26 Net-Worm.Win32.Mytob.i virus medium 25 Hidden Iframe For Drive-By Download Web Exploitation vulnerability medium 24 HTTP Cross Site Scripting Vulnerability vulnerability high 20 Email-Worm.Win32.Mydoom.m virus medium 18 図 8: 件数順に示した上位の脅威 最も一般的に検出される 25 (79 中) の脅威に関する主要結果: Palo Alto Networks の次世代ファイアウォールは、ネットワークを通過するさまざまなスパイウェアおよびアプリケーション脆弱 性の可視化を可能にします。 検出された 79 件の脅威の中で、8% 件がCriticalレベル、16% 件がHighレベル、29% 件がMiddleレベルでした。残りは、Lowまた はInformationalでした。 Page 12 of 19 ベースとなっているテクノロジおよびカテゴリごとのアプリケーション使用状況 次の図には、ベースとなっているテクノロジおよびサブカテゴリに基づくアプリケーションのリソース消費量 (セッション数およびバ イト数) を示します。このデータは、詳細なアプリケーションと脅威のデータを補うもので、サブカテゴリとそのベースとなる使用テ クノロジに基づくアプリケーション タイプのより完全な概要を示しています。 Usage by technology in sessions as a percentage of total 12% client-server 24% network-protocol 62% browser-based 0 10 20 30 40 50 60 70 Usage by category in bytes as a percentage of total 1% software-update 3% file-sharing 7% encrypted-tunnel 10% audio-streaming 14% email 16% photo-video 45% internet-utility 0 5 10 15 20 25 30 35 40 45 50 図 9: カテゴリおよびテクノロジごとのアプリケーション使用状況 カテゴリとテクノロジごとのアプリケーション使用状況の主要結果: 評価中、browser-based がセッションの 62% を消費しました。 カテゴリごとのアプリケーション使用状況では、internet-utility アプリケーションが全体帯域幅の 45% を消費しました。 Page 13 of 19 調査結果: Palo Alto Networks 分析の計画段階で、パロアルトネットワークス合同会社 チームは環境が比較的開かれていても、どのアプリケー ションがネットワークを通過しているかを確認できないことから、さまざまなビジネス リスクとセキュリティ リスクが考えられるこ とを説明しました。分析では、次の項目を特定しました。 アクティビティを隠蔽するアプリケーションを検出: ネットワークでアクティビティを隠蔽するアプリケーションが確認されまし た。IT テクノロジに精通するユーザーが、アクティビティを隠蔽し、セキュリティをバイパスするためにこれらのアプリケーショ ンを使用しています。 P2P およびオンライン ファイル転送アプリケーションの使用: P2P およびオンライン ファイル転送/共有アプリケーションが確認 されました。これによりセキュリティ、データ消失、および著作権侵害のリスクが パロアルトネットワークス合同会社 に及ぶ可能 性があります。 メディア アプリケーションおよびソーシャル ネットワーキング アプリケーションの使用: ネットワークでエンターテインメント と知り合いとの個人的な連絡方法として使用されるアプリケーション (メディア、オーディオ、ソーシャル ネットワーキング) が確 認されました。これらのアプリケーションは、士気低下、リクルート、およびエンドユーザーの満足度に対して生産性低下、脅威 に対する露呈、コンプライアンス、および情報漏洩のリスクのバランスをどのように取るかという重要な IT 課題を提示していま す。 Web メール、IM、および VoIP の使用: ネットワークでこれらのアプリケーション例が確認されました。 これらのアプリケーショ ンの多くは、簡単にファイアウォールをバイパスし、脅威を運ぶ手段となるだけでなく、データの漏洩を招く可能性があります。 推奨される対策: アプリケーション使用と Web 利用ポリシーの適用 多くの組織と同様、今回の環境でもこれまでアプリケーション使用を統括する細分化されたポリシーが存在しなかったものと推察 いたします。ユーザーが活用するアプリケーションが増え、ユーザーがセキュリティ回避を行う傾向と、その弱点を利用する脅威 が拡大していることから、アプリケーション単位またはアプリケーション カテゴリ単位で使用を制御するセキュリティポリシーの 適用を推奨します。現在では、このようなポリシーによる制御が必要でかつ、また技術的にも可能です。 P2P およびオンライン ファイル転送/共有などのハイリスクなアプリケーションに対応 ユーザーがこれらのアプリケーションを使用して既存のファイアウォールによる制御をバイパスしていることから、パロアルト ネットワークス合同会社 様にとって、これらのアプリケーションに伴うリスクが問題になる可能性があります。これらのリスクの 把握、分類、および低減を行わない場合、パロアルトネットワークス合同会社 様の環境で不正なデータ転送が行われるだけでな く、それらに関連したウイルスなどの脅威が及ぶ可能性があります。 プロキシおよびリモート アクセス アプリケーションの使用を取り決めるポリシーを適用 これらのアプリケーションは、自宅のコンピュータとアプリケーションにアクセスする社員によって使用されることがあります。 これは脅威を運ぶ手段となる可能性があるだけでなく、生産性も低下します。 パロアルトネットワークス合同会社 様では、これら のアプリケーションの使用を取り決めるポリシーを適用する必要があります。考えられるオプションとして、特定のプロキシまた はリモート アクセス アプリケーションを使用できるグループを取り決め、他のすべてのグループに対してはブロックするといった 制御があげられます。 メディア アプリケーションの制御 パロアルトネットワークス合同会社 様は、一般ユーザーの反感を買うことなく、これらのアプリケーションの使用に関するポリ シーとそれを適用する手段について検討する必要があります。考えられるオプションとして、時間帯による利用の可否制御、また はQoS マーキングや帯域制御による使用量制限などがあります。 アプリケーションの可視化と制御を実現 アプリケーションレベルのリスクを低減する唯一の手段は、最初にアプリケーション トラフィックを可視化し、理解して、それを 統括するポリシーを作成および適用できるようにすることです。特定のタイプのアプリケーションに必要な一部の可視性を得るに はいくつかのテクノロジがありますが、組織ですべてのアプリケーション トラフィックの可視化、理解、および制御を行い、企業 に適したスケーラビリティを提供できるのは、次世代ファイアウォールのみです。したがって、当社では、パロアルトネットワー クス合同会社 様のネットワークに Palo Alto Networks ファイアウォールを配備し、アプリケーションごとに細分化されたポリシー を作成することで、アプリケーション トラフィックを可視化し、組織の優先度に応じてネットワークを管理・運用されることを推 奨します。 Page 14 of 19 Page 15 of 19 付録 A: ビジネス リスクの定義 本書のリスク分析を行う上で、企業とそのプロセスにアプリケーションが及ぼす可能性のある影響を検討しました。ビジネスに対する リスクは、次の 5 つのカテゴリに分類できます。 生産性: 生産性に対するリスクは乱用から引き起こされます。このような乱用は、次の 2 つの形態を取ります。 ·· 社員が、本来の業務を行う代わりに、業務とは無関係のアプリケーション (Myspace、Facebook、個人電子メール、ブロ グなど) を使用する。 ·· 業務とは無関係のアプリケーション (YouTube、ストリーミング/HTTP オーディオなど) が帯域幅を大量に消費し、本来 のアプリケーションのパフォーマンスが低下する。 コンプライアンス: ほとんどの組織では、一連の政府規制およびビジネス規制を順守する必要があります (米国の場合、GLBA、HIPAA、FD、SOX、 FISMA、PCI など)。これらの規制のほとんどは、組織の営業、財務、顧客、または社員のデータを保護することを目的としていま す。特定のアプリケーションは、それ自体が問題となるか、データに対する脅威となることで、これらのデータに大きなリスクを もたらします(BitTorrent および MySpace など)。ファイルを転送できるあらゆるアプリケーション (Web メール、Skype、IM) は、 深刻なコンプライアンス問題を引き起こす可能性があります。 運用コスト: 運用コストに対するリスクには 2 つの可能性があります。1 つは、アプリケーションおよびインフラストラクチャが過度に不正使 用され、ビジネス プロセスの機能を保証するために追加で機器やサービスを購入する必要性が生じることで (ストリーミング ビデ オにより WAN 回線をアップグレードするなど)、2 つ目は、インシデントや攻撃により IT 費用が発生することです (攻撃またはウ イルスによるセキュリティ問題の後にサーバーまたはネットワークを再構築するなど)。 事業継続性: 事業継続性のリスクとは、特定のビジネス プロセスの重要なコンポーネントを停止させるか、使用不能にするようなアプリケー ション (またはアプリケーションが持つ脅威) を指します。この例として、電子メール、トランザクション処理アプリケーション、 脅威の影響を受ける一般向けのアプリケーション、非業務アプリケーションが大量のリソースを消費することによるサービス拒否 が挙げられます。 情報漏洩: 情報漏洩のリスクは、データの盗難、漏洩、または破壊に関連する従来方式の情報セキュリティのリスクを指します。この例とし て、顧客データの盗難、知的財産の盗難または不注意による漏洩、またはセキュリティ脅威/違反によるデータの破壊が挙げられま す。アプリケーション (Facebook、Kazaa、IM、Web メールなど) に起因する悪用、企業のリソースを使用して実行される非業務 関連アプリケーション (BitTorrent、IM など) をはじめとするさまざまな脅威がこれらのリスクの原因となります。 Page 16 of 19 付録 B: Palo Alto Networks について Palo Alto Networks™ とは、ネットワーク セキュリティのメーカーです。その次世代ファイアウォールは、アプリケーション、ユー ザー、およびコンテンツの可視化と制御を可能にします。企業では、Palo Alto Networks の次世代ファイアウォールを使用してアプリ ケーション使用ポリシーを適用することにより、コンプライアンス要件を満たし、脅威を低減し、コストを削減することができます。 Palo Alto Networks の次世代ファイアウォール Palo Alto Networks の次世代ファイアウォール製品群は、ポリシー制御の基準にアプリケーション、ユーザー、およびコンテンツなど のビジネス関連の要素を採用することで、効率的な企業ネットワークのリスク管理を可能にします。 Palo Alto Networks は App-ID を使用してアプリケーションを正確に識別すると共に、ト ラフィックのコンテンツ ポリシー違反を検査しながらユーザー ID にアプリケーションを マップします。セキュリティ チームはポリシー制御にアプリケーション、ユーザー、お よびコンテンツなどのビジネス関連の要素を使用することで、次の事業上の利点を得るこ とができます。 ·· ポリシー ベースのアプリケーション使用制御と脅威防御によりリスクを管 理。 ·· 新しい Web ベースのアプリケーションを制御された安全な方法で組み込む ことで拡大を実現。 ·· IP アドレスだけでなく、ユーザーとグループを基準にしてアプリケーション 使用を制御することにより、運用上の効率を向上。 Palo Alto Networks の次世代ファイアウォールは、既存のファイアウォールに統合する か、代わりに配備することができます。 主要機能: • アプリケーションの可視性と制御: ネットワークを通過するアプリケーションを正確に識別することで、セキュリティ インフラ ストラクチャの戦略的な中核となるファイアウォールで、ポリシーに基づいてアプリケーション使用を制御できるようになりま す。 • 可視化ツール: 管理者は、グラフィカルな可視化ツールと、カスタマイズ可能なレポート機能およびログ作成機能の情報に基づい て、ネットワークを通過するアプリケーションをどのように処理するかを決定することができます。 • ユーザー ベースの可視性と制御: エンタープライズ ディレクトリ サービスとのシームレスな統合により、アプリケーションの可 視化と、IP アドレスだけでなく、ユーザーとグループ情報を基準にしたポリシー作成が可能になります。 • リアルタイム脅威防御: アプリケーションの脆弱性、ウイルス、スパイウェア、およびワームの検出とブロック、Web アクティ ビティの制御をリアルタイムで行い、パフォーマンスと正確性を大幅に向上させます。 • ファイルとデータのフィルタ処理: 管理者は、不正なファイル転送とデータ転送に関連したリスクを低減するために、複数のタ イプのポリシーを適用できます。 • ネットワーク アーキテクチャ: 動的ルーティング (OSPF、RIP、BGP)、Virtual Wire モード、およびレイヤー 2/レイヤー 3 モー ドのサポートにより、ほとんどすべてのネットワーク環境への配備を簡略化します。 • ポリシー ベース フォワーディング: アプリケーション、送信元ゾーン/インターフェイス、送信元/送信先アドレス、送信元ユー ザー/グループ、およびサービスで定義されたポリシーに基づいて、トラフィックをフォワードします。 • 仮想システム: 特定の部門またはお客様をサポートするために 1 つのデバイスに複数の仮想「ファイアウォール」を作成しま す。各仮想システムには、関連付けられたネットワーク トラフィックの専用の管理アカウント、インターフェイス、ネットワーク 構成、セキュリティ ゾーン、およびポリシーを含めることができます。 • VPN 接続: 標準ベースの IPSec VPN サポートによりサイト間の安全な接続が可能になる一方、SSL VPN 接続によりリモート ユーザー アクセスを可能にします。 • サービス品質 (QoS): トラフィック シェーピング ポリシー (保証、最大、優先) を配備することで、業務アプリケーションのパ フォーマンスを維持しながら、帯域幅を大量に消費する非業務関連のアプリケーション (ストリーミング メディアなど) の自発的な ポリシー制御を可能にすることができます。 • リアルタイム帯域幅モニター: 選択した QoS クラス内のアプリケーションおよびユーザーの帯域幅およびセッションの消費をリ アルタイムで表示します。 Page 17 of 19 Palo Alto Networks の主要テクノロジ 専用のプラットフォームとして提供される Palo Alto Networks の次世代ファイアウォールは、App-ID、User-ID、および Content-ID の 3 つの識別テクノロジを使用して、アプリケーション、ユーザー、およびコンテンツについて、可視性と管理能力を IT 部門に取り戻 します。 App-ID: App-ID は、どのポート、プロトコル、SSL 暗号化、セキュリティ回避 手法が使われているかにかかわらず、最大 4 個のトラフィック分類メカニズムを 使用して、ネットワークで実行されているアプリケーションを正確に識別しま す。アプリケーションの実際の識別情報の可視化が促進されるため、管理者は、 アプリケーションの使用を制御する包括的なポリシーをインバウンドとアウトバ ウンドの両方のネットワーク トラフィックに適用できるようになります。 User-ID: Active Directory、eDirectory、LDAP、Citrix などのエンタープライズ ディレクトリ サービスとのシームレスな統合により、管理者は IP アドレスだ けでなくユーザーやユーザーのグループを基準にしてアプリケーションの使用 状況を可視化および制御できます。ユーザー情報は、アプリケーションと脅威 の可視化、ポリシー作成、フォレンジック調査、およびレポート作成を含むあ らゆる機能で使用されます。 Content-ID: 統一されたシグネチャ形式を使用して脅威を防御する、ストリーム ベースのスキャン エンジンです。業務とは無関係な Web の利用を管理する包括的 な URL データベースと並行して、さまざまな種類の脅威を検出してブロックし、 ファイルと機密データ (CC# および SSN) の不正な転送を制限します。App-ID™ により可能になるアプリケーションの可視化と制御に、Content-ID™ による包括 的な脅威防御を組み合わせているため、IT 部門はアプリケーションおよび関連す る脅威トラフィックの管理能力を取り戻すことができます。 SP3(Single Pass Parallel Processing)アーキテクチャ: ネットワーキング、セキュリティ、脅威防御、および管理にそれぞれ専用の機能を使用す る並列処理ハードウェア プラットフォームと緊密に統合されたシングル パス ソフトウェ ア エンジンを使用してマルチ ギガビットのトラフィック フローを管理します。10 Gbps のデータ プレーンはプロセッサ間のトラフィック フローを向上してボトルネックの可能 性を排除する一方、制御プレーンとデータ プレーンを完全に分離することにより、トラ フィック負荷に影響を受けないアクセス管理を提供します。 Page 18 of 19 付録 C: 追加情報 ここに追加情報を入力できます。 例)製品見積り価格、今後のスケジュール等 Page 19 of 19
© Copyright 2024 Paperzz