製品紹介資料（3.6MB）

製品ご提案資料
Secure Data Sanitization
のご紹介
2016年9月
スワットブレインズ株式会社
ソリューション営業部
提供元：株式会社アズジェント
1
Copyright © 2016 Asgent, Inc. All Rights Reserved
“Antivirus software only catches 45%
of malware attacks and is ”dead“”
（今日のアンチウイルスでは45%しか止められない。死んだも同然だ。）
By Brian Dye, senior vice-president for information security/Symantec 2014/05
2
Copyright © 2016 Asgent, Inc. All Rights Reserved
標的型メール攻撃とセキュリティ事件
95%
スピアフィッシング攻撃に起因する企業
ネットワークへの攻撃の割合
(出展: Network World。2013年、SANS Director of
ResearchであるAlan Paller氏による)
91%
2012年から2013年におけるスピアフィッシング
攻撃の増加率
(出展: Symantec社 Internet Security Threat Report 2014)
80%
10.4%
実験で7つのフィッシングメールの内、最低
でも1つを開いてしまった従業員の割合
(出典: McAfee Labs Threats Report 2014)
2013年から2014年におけるサイバー犯罪額の
増加割合 ($720万 → $760万)
(出典: Ponemon Institute Global Report on the Cost of
Cyber Crime October 2014)
3
など
Copyright © 2016 Asgent, Inc. All Rights Reserved
標的型メール攻撃の流れ
組織内の特定の人をター
ゲットにしたメールが送
られる
スパムフィルタで検知で
きない
メールの件名・本文や
添付ファイルは、いかにも
本物らしい内容になって
いる
ファイルの中に未知
またはゼロデイの
脆弱性が仕込まれる
受信者は本物だと思って
ファイルを開いてしまう
この段階でしか攻撃を
止められない
サンドボックスを回避して
しまう多型マルウェアがイ
ンストールされる
アンチマルウェアや
サンドボックスを回避
ソーシャルエンジニアリング
ファイルの脆弱性を悪用
（ソーシャルネットワーク等からターゲット
に関する様々な情報を集めてフィッシング
メールのネタに利用する）
（パッチがまだ提供されていないゼロデイや
知られていない未知の脆弱性をファイルに
埋め込み、ターゲットに送る）
4
Copyright © 2016 Asgent, Inc. All Rights Reserved
脅威のライフサイクル
未知の脆弱性
ゼロデイの脆弱性
既知の脆弱性
高
中
低
潜伏期間
～年単位
～月単位
N/A
利用方法
サイバー戦争や
サイバー犯罪
サイバー戦争や
サイバー犯罪
アマチュアハッカーに
よる娯楽目的の攻撃
シグネチャによる
検知の可否
不可
可（サンプル次第）
可（サンプル次第）
サンドボックスに
よる検知の可否
可（しかし、難しい）
可（しかし、難しい）
可（しかし、難しい）
可
可
可
脅威レベル
VOTIROによる
保護の可否
5
Copyright © 2016 Asgent, Inc. All Rights Reserved
従来のファイルセキュリティ
メール Web USB
受信
サンドボックス
？
アンチウィルス
判別
既知のマルウェア「ではない」ファイル △
検証
Ｘ既知のマルウェア
≒ 未知のマルウェア「かもしれない」ファイル
判定
警報：未知のマルウェア
配信
6
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIROが提案する
新しいファイルセキュリティのアプローチ
メール
Web
USB
受信
悪意の検知を行いません
→ パターン更新からの解放
→ 誤検知からの解放
全ての対象ファイルをサニタイズします
→ 悪意を含む可能性を重視
→ ポリシーの適用を強制
？
アンチウィルス
判別
既知のマルウェア「ではない」ファイル △
Ｘ既知のマルウェア
≒ 未知のマルウェア「かもしれない」ファイル
△
検疫フォルダに
暫定保管
Sanitize
(消毒・無害化)
• ハッシュ値変更
○ 消毒済みファイル
• プロファイル情報更新
(作成者情報やタイムスタンプなど)
• マクロ無効化
配信
7
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIRO Secure Data Sanitizationの特徴
• 以下のサニタイズ手法によりファイルの無害化を実現
–
–
–
–
当該ファイルフォーマットにおいて、実行可能コードが埋め込まれ得る箇所を無害化
ファイル内に内包される埋め込みオブジェクトも再帰的に無害化
ファイル拡張子に関わらず、本来のファイル形式に応じた無害化処理を実施
その他、本来のファイル機能に影響し得ない不明な領域を削除することで無害化
• ファイル内に脅威が存在するかどうかを判別することなく、
すべての対象ファイルにサニタイズ(無害化)処理を強制
※技術と実績を鑑み、イスラエル政府から
基盤での利用に向けた認証を取得
8
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIROアンチエクスプロイト技術の仕組み
前
後
ユーザ観点
1. メタデータを確認し、
ファイルの種類を調べる
2. ファイルをオブジェクト
単位に分解する
3. サニタイズ処理を実施
4. ファイルを再構成する
攻撃者観点
前
未知の脆弱性をファイルに埋め込む
後
9
ファイルの開き方・見え方は変わりない
オリジナルファイルのクリーン版を提供
Copyright © 2016 Asgent, Inc. All Rights Reserved
無害化（サニタイズ）プロセス
Microsoft Office, Adobe PDFの一例
10
Copyright © 2016 Asgent, Inc. All Rights Reserved
1. ファイルフォーマットを認識
ファイルのヘッダーやファイルの構造から、当該ファイルのフォーマットを認識
サニタイズ対象ファイル
ヘッダー
フィンガープリント
どのファイルフォーマットであるかを示す
Office Word
コンテンツ
Office Excel
画像
Office PowerPoint
Adobe PDF
RTF
テキスト
:
:
OLEオブジェクト
不明なデータ
悪意が埋め込まれる
可能性があるデータ領域
その他の要素（スクリプトなど）
？
11
Copyright © 2016 Asgent, Inc. All Rights Reserved
2. ファイルフォーマットの照合
各コンテンツを分解し、ファイル種本来のフォーマットと照合
ファイル構造自体がフォーマットに則さない場合、SDSのポリシーによりこれをブロック
ファイル構造
サニタイズ対象ファイル
ヘッダー
ヘッダー
フィンガープリント
フィンガープリント
コンテンツ
コンテンツ
画像
画像
テキスト
テキスト
OLEオブジェクト
OLEオブジェクト
不明なデータ
その他の要素（スクリプトなど）
その他の要素（スクリプトなど）
？
12
Copyright © 2016 Asgent, Inc. All Rights Reserved
3. ファイル構造に異なるコンテンツの削除
ファイルの正規の仕様という観点から
ファイルを検査し、悪意のコードが埋め込まれる可能性がある部分を削除
サニタイズ対象ファイル
HEADER
ヘッダー
フィンガープリント
Fingerprint
コンテンツ
Images
画像
テキスト
Text
正規のファイルフォーマットに
則しない部分には、悪意のコードが
埋め込まれる可能性がある
↓
OLEオブジェクト
OLE Object
削除することによりリスクを排除
不明なデータ
その他の要素（スクリプトなど）
Other elements
？
13
Copyright © 2016 Asgent, Inc. All Rights Reserved
4. エクスプロイトコードの削除
エクスプロイトコードが稼働する可能性自体を排除
サニタイズ対象ファイル
HEADER
ヘッダー
フィンガープリント
Fingerprint
コンテンツ
ヘッダー、コンテンツ、スクリプト
等を検査
Images
画像
↓
サニタイズ（無害化）
の領域
そのファイルの機能に必ずしも
必要ではないデータ構造を
ビットレベルで変更
テキスト
Text
(例:全ビットを「１」に変換）
OLEオブジェクト
OLE Object
↓
エクスプロイトコードが
稼働する可能性を排除
その他の要素（スクリプトなど）
？
14
Copyright © 2016 Asgent, Inc. All Rights Reserved
5. ファイルを再構成する
ファイルの各コンテンツを、最小限の機能を保ったまま再構成する
よって、元データと同じようにファイルを開くことができ編集も可能
サニタイズされたファイル
ヘッダー
フィンガープリント

コンテンツ
画像

テキスト

OLEオブジェクト


※画像ファイルの場合、ファイルをビット情報に分解して再構成するため、画像中に埋め込まれたシェルコードなどのリスクも排除します。
15
Copyright © 2016 Asgent, Inc. All Rights Reserved
６.埋め込まれたデータへの対応
例えば、Wordに埋め込まれたexcel、画像データに関しても
同じように再帰的に無害化処理の実行
Wordファイル
excelファイル
ヘッダー
ヘッダー
フィンガープリント

フィンガープリント
コンテンツ

コンテンツ
画像

画像

テキスト

テキスト

excelオブジェクト


OLEオブジェクト
16


Copyright © 2016 Asgent, Inc. All Rights Reserved
世の中に存在する無害化の手法
手法
マルウェアの危険性
データの再利用
実運用
マクロ、メタデータ
削除
有（標的型）
可能
×（リスクが存在）
PDF、画像化
無
出来ない
×
テキスト化
無
テキストのみ
△
Votiroによる無害化
（サニタイズ）
無
可能
○
17
非推奨
推奨！！
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIRO SDSの対応ファイルタイプ
Microsoft Officeファイル
・Excel, PowerPoint, Word, RTF
・マクロや組み込みオブジェクト等を見つけ出し、サニタイズ
Adobe PDFファイル
・PDF
・サニタイズ後、PDFのテキストコピー機能や
検索機能を維持
画像ファイル
・BMP, GIF, WMF, EMF, PNG, JPG, JPEG, TIFF, TIF
・画素レベルでファイル分析を行う
メールの添付ファイル
・EML, MSG, ICS
・メール添付ファイルをサニタイズ
圧縮ファイル
・ZIP, Microsoft-CAB, TAR, RAR, 7Z, GZIP
・多重圧縮ファイルにも対応。サニタイズ後、再圧縮も可能
18
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIRO SDSの基本コンポーネント（ファイル/メール連携）
Votiro社クラウド
Votiro社が運営するクラウドサービス
組織内に設置されたUpdaterサーバに最新情報を提供する
SDSの管理機能もVotiro社のクラウドから提供される
組織外
HTTPS
Updater サーバ
Windows
サーバ
Secure Data
Sanitization サーバ
ISO Boot
イメージ
組織内
以下の情報をVotiro社クラウドから取得し、SDSサーバに提供する
その為、Updaterサーバはインターネット接続が必須
・最新のアンチウイルスシグネチャ
・SDSエンジンの最新アップデート
・ライセンス情報
FTP
複数のアンチウイルスエンジンとSDSエンジンを利用してネットワークに
入ってくるファイルをサニタイズする。ISOイメージファイルとして提供される
・DVDまたは仮想環境（推奨。VMwareまたはHyper-V）から起動可能
TCP/UDP
Flow サーバ
Windows
サーバ
SDS サーバによって処理されるメールやファイル※のオリジナル版を保存するための
専用サーバ。管理者はこのサーバよりサニタイズ前のファイルやメールを配信する
ことができる
・Microsoft SQL Serverが必要
・ログインアカウントの認証用に、Active Directoryのドメインコントローラが必須
※ファイルサーバ連携の場合は、オプションとなります。
19
Copyright © 2016 Asgent, Inc. All Rights Reserved
活用シナリオ
20
Copyright © 2016 Asgent, Inc. All Rights Reserved
活用シナリオ①
•
•
Internet
•
ファイルサーバ連携
オンプレにVOTIRO SDSを設置
ファイルサーバの任意のフォルダ（IN）に置かれたファイルを自動的にサニタイズし、
別の任意のフォルダ（OUT）に置く。オリジナルファイルはFlow Serverに保存可能
USBなどのメディアからの持ち込みファイルが対象
例）外部メディアからの取込みファイルはINにしか置かせないことで強制
1
設定ファイル読み込みの流れ
Updater Server
(無害化設定及びエンジンの更新)
Votiro SDSのコンポーネント
2

①
IN
②
SDS
ファイルサーバ
③
OUT
ファイルサーバ
Flow Server
(オリジナルファイル)
※オプション
インターネット接続環境
※SDSは、FTP/FTPS/CIFSでサニタイズ処理を行います。
LAN
21
Copyright © 2016 Asgent, Inc. All Rights Reserved
活用シナリオ②
•
•
•
•
Internet
メール連携（SMTP）
オンプレにVOTIRO SDSとExchange Edge Serverを設置
既存のSMTPメールサーバと連携し、受信メールの添付ファイルを配信前にサニタイズ
オリジナルファイルはFlow Serverに保存
Exchange Edgeサーバのライセンスは製品ライセンスに含まれる
1
設定ファイル読み込みの流れ
Updater Server
(無害化設定及びエンジンの更新)
2
Votiro SDSのコンポーネント
①
②
SDS
メール
ゲートウェイ
Exchange Edgeサーバ
（SDS Connector含む）
②’
SMTP
メールサーバ
③
Flowサーバ
(オリジナルファイル)
インターネット接続環境
※SDSは、FTP/FTPS/CIFSでサニタイズ処理を行います。
LAN
22
Copyright © 2016 Asgent, Inc. All Rights Reserved
活用シナリオ③ Webサービス連携
•
•
•
オンプレにVOTIRO SDSを設置
ユーザがWebサーバにファイルをアップロードすると、Webサーバに導入された
エージェントがVOTIRO SDSのAPIを利用してSDS-WSでサニタイズする
サニタイズされた安全なファイルは組織内のユーザがダウンロードできるようになる
SDS-WS
アップロード
② サニタイズ処理
①
アップロード
ダウンロード
①
Webサーバ
ブラウザ

③
ブラウザ
Votiro SDSのコンポーネント
インターネット接続環境
23
LAN
Copyright © 2016 Asgent, Inc. All Rights Reserved
SDS デモサイトのご紹介
http://www.votiro.com/demo/jp
24
Copyright © 2016 Asgent, Inc. All Rights Reserved
Before & After①
ファイルプロパティ
25
Copyright © 2016 Asgent, Inc. All Rights Reserved
Before & After②
フォント情報
26
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIRO 会社紹介
• 会社名 :Votiro, Inc.
• 設立 : 2010年
• 顧客 : 15か国で150以上の既存顧客
– 企業では40万ユーザ以上、国レベルでは数百万ユーザ
– 導入国は、カナダ・米国・UK・フランス・スペイン・オランダ・ドイツ・
スイス・イタリア・イスラエル・インド・ナイジェリア・韓国・香港・
シンガポール
– 導入市場として、金融: 30%、政府: 20%、防衛: 15%、一般: 35%
受賞
パートナー
イスラエル政府の認定
Directorate of
Security of the
Defense Establishment
27
State Authority
for Information
Security
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIRO ユーザ事例（一部）
業種
企業類
事例
金融サービス
•
•
•
銀行
保険会社
証券取引所
•
11,000以上の従業員を
持つ大手銀行
医療関係
•
•
•
製薬会社
病院
医療団体
•
30,000以上のユーザを
持つ医療団体
大企業
•
•
航空宇宙産業
防衛産業
•
17,000以上の従業員を
持つ防衛関係の組織
重要インフラ
•
•
•
•
•
製油会社
発電所
通信事業者
水道会社
ガス会社
•
30,000以上の従業員を
持つ製油会社
政府機関
•
•
国防関係機関
官公庁
•
数千の従業員を持つ
官公庁
28
Copyright © 2016 Asgent, Inc. All Rights Reserved
地方自治体向け
ご参考資料
29
Copyright © 2016 Asgent, Inc. All Rights Reserved
ご参考：地方自治体におけるサニタイズ技術の活用例
セキュリティレベルの異なるネットワークを跨ぐファイルの授受には無害化（サニタイズ）を義務化
インターネット
マイナンバー
ファイルの無害化を提供する
ファイル交換専用サーバ
インターネット
接続LAN
個人番号関係
事務等LAN
無害化を条件に許容
データ/ファイルの持出禁止
【想定するポリシー】
インターネット接続LAN
個人番号関係事務等LAN
個人番号利用事務LAN
統合プロキシ経由
禁止
禁止
統合メール基盤経由
ネット端末から
無害化エンジン経由
禁止
（アンチウィルス/サンドボックス）
外部とのメール(送信)
暗号化/誤送信対策/証跡
禁止
禁止
物理メディア持込
無害化エンジン経由
禁止
禁止
Webアクセス
外部とのメール(受信)
30
Copyright © 2016 Asgent, Inc. All Rights Reserved
ご参考：自治体向けソリューション概要
Ver.8
自治体NW
・インターネット側からの電子メール添付ファイルの脅威
・インターネット側からの電子メール本文、URL誘導の脅威
・インターネットのWebサイト閲覧や、サイトからのファイル入手
Internet
情報系Network
LGWAN系Network
FireWall
FireWall
★無害化されたメール
[email protected]
1.OnePointWall
4.Active! zone
2.Counter SSL Proxy
★無害化されたメール
★従来からのメールサーバ
< 送受信 >
[email protected]
or
[email protected]
★デュプリケート(duplicate)処理
されたメール
[email protected]
< 送受信 >
自治体内部
ポータルシステム
< 送受信 >
[email protected]
5.DEEP Mail
★無害化された
メールの送受信
3.PacketBlackHole
★不特定な
Webからの
ダウンロード
メールアーカイブ
内側DMZ
< 送受信 >
9.MailDepot
★従来とおりの
メール送受信
★Web
閲覧操作
7. VOTIRO
SDS ★ファイル単体の無害化
< 送受信 >
(サニタイズ処理)
★Webサイトの閲覧禁止
★｢無害化｣されたインター
ネット側からの電子メール
の受信と、その返信
★LGWANメールは従来と
おりの送受信
★不特定な添付
ファイル
★In-Box
★暗号化の解凍、
ファイル単体化
★送るだけ
6.FFR yarai
★ファイルの中身を確認する
ために、ファイルを開く
★Out-Box
8. デジ急便
★Web配送/
第三者承認
★取るだけ
★ファイル配送
システムによる記録
★ＶＤＩによる接続、リモートディスクトップ接続など。
又は、物理的に「２台」の端末
31
Copyright © 2016 Asgent, Inc. All Rights Reserved
VOTIRO-SDS(Secure Data Sanitization) 製品は、
弊社がご提供しています。
どうぞ、ご採用ください。
お問合せ先
スワットブレインズ株式会社
ソリューション営業部
Tel ： 075-211-9480
E-mail： [email protected]
具体策！
32
Copyright © 2016 Asgent, Inc. All Rights Reserved

Download Report