クラウドセキュリティの護り方講座 ·...

クラウドセキュリティの護り方講座

パロアルトネットワークス株式会社

2018年7月31日

パロアルトネットワークスについて

サイバーセキュリティのリーダー企業であるパロアルトネットワークス

世界のトップ2000企業のうち63%がパロアルトネットワークスの顧客

年間成長率 28%収益成長率

85Fortune 100企業の中のパロアルトネットワークス

顧客

48%年平均成長率

FY12–FY17

51,000+顧客数

150以上の国・地域で活動

Revenue trend

FY12 FY13 FY14 FY15 FY16 FY17

* Q2FY2018. Fiscal year ends July 31.

3 | © 2018, Palo Alto Networks. All Rights Reserved.

新CEO Nikesh Arora(ex.Google, Softbank) クラウドにシフト


Palo Alto Networksは米国時間6月1日、取締役会がNikesh Arora氏を最高経営責任者（CEO）兼会長に指名したことを発表した。Arora氏は以前、ソフトバンクで最高執行責任者（COO）を務めていた人物だ。

Arora氏は2014～2016年の間、ソフトバンクのCOO兼プレジデントを務めた。ソフトバンクの幹部就任前には、Googleで最高ビジネス責任者を務めた。Palo Altoは同氏について、「Googleの検索事業の売り上げが20億ドルから600億ドルに成長する中で重要な役割を果たした」としている。

https://www.paloaltonetworks.com/company/press/2018/palo-alto-networks-announces-record-revenues-and-billings-and-board-appoints-nikesh-arora-as-ceo-and-chairman

ネットワーク

モバイルエンドポイント

プライベートクラウド

SECURITY OPERATING PLATFORMがどこでも一貫したセキュリティを提供し，データを守ります


IaaS

SaaS

PaaS

NGFW

Traps

ApplicationFramework

Logging Service (products)

Magnifier

クラウドの利用状況と課題

クラウドコンピューティングへのIT投資は2009年から4.5倍の増加であったが、2015年から2020年にかけては6倍になると予測される。

パブリッククラウドの成長状況


リーディングクラウドベンダー

2017年現在AWSがマーケットをリードしているが、MS Azureも急速に成長している。またGoogle Cloud Platform(GCP)もそれを追い上げている状況。


クラウド特有のインシデントとは

クラウドセキュリティアライアンス（CSA： Cloud Security Alliance）は RSA カンファレンス 2016 において、組織が直面するクラウドコンピューティング関連の脅威上位 12 種をまとめた "the Treacherous 12"（「12 の危険」）を発表

• データ流出CSA によれば、通常、クラウドで流出が発生するのは、認証基準が甘い、パスワードの強度が不十分、証明書の管理プロセスがお粗末などのいずれかまたは複数が原因

• インターフェイスや API のハッキング

• 脆弱性の悪用

• APT攻撃

• クラウドサービスの悪用

• 技術の共有が招く広範な脅威


https://www.digicert.com/blog/threat-landscape-in-the-cloud/

クラウド上にハニーポッドを置いてみたところ…


クラウドセキュリティで検討すべきことは

クラウドの責任共有とは

パブリッククラウドのセキュリティに関しての質問で多い「オンプレミスとの違いは？」

「クラウドベンダーが全て管理してくれるのでは？」

その違いが：

責任共有モデル


AWSの責任共有モデル

AWS は、AWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護に責任を負います。お客様は、ゲストオペレーティングシステムの管理 (更新やセキュリティパッチなど)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティの管理、AWS より各インスタンスに提供されるファイアウォール (セキュリティグループと呼ばれる) の構成に責任を負います。


プラットフォーム別責任範囲

On Premises Infrastructure as a Service (IaaS)

Platform as a Service(PaaS)

Software as a Service(SaaS)

Applications Applications Applications Applications

Data Data Data Data

Middleware Middleware Middleware Middleware

O/S O/S O/S O/S

Virtualization Virtualization Virtualization Virtualization

Servers Servers Servers Servers

Storage Storage Storage Storage

Networking Networking Networking Networking

自己責任ベンダー責任14 | © 2018, Palo Alto Networks. All Rights Reserved.

IaaSとPaaSの違いは


外部からの攻撃＋内部セキュリティの監視＝クラウド環境を防御


virtual private cloud

Amazon EC2

Amazon EC2

Amazon EC2

AmazonS3

AmazonRDS

Amazon EC2

AWSCloudFormation

AWSConfig

IAM AWS KMS

AmazonRoute 53

Elastic Load Balancing*

API

外部からの攻撃による漏洩

内部からのセキィリティ設定の甘さによる漏洩

外部からの攻撃＋内部セキュリティの監視＝クラウド環境を防御



Amazon EC2

Amazon EC2

Amazon EC2

AmazonS3

AmazonRDS

Amazon EC2

AWSCloudFormation

AWSConfig

IAM AWS KMS

AmazonRoute 53

Elastic Load Balancing*

API

外部からの攻撃による漏洩

内部からのセキィリティ設定の甘さによる漏洩

次世代仮想ファイアウォールVM-Series

APIベースのセキュリティコンプライアンス

Evident.io

次世代仮想ファイアウォールVM-Seriesのご紹介

エンタープライズグレードの次世代ファイアウォール


PA-220

PA-5200シリーズ

最大10倍のパフォーマンス強化

最大35倍のSSLセッション増加

最大10倍の復号化パフォーマンス向上

高いポート密度、柔軟なI / O

Front-to-back 冷却

PA-800シリーズ

次世代ファイアウォールとは

これまでのIP・ポートベースの防御ではなくアプリケーション、ユーザー、コンテンツの3つを組み合わせることにより次世代のファイアウォールとして機能します

• App-ID

• User-ID

• Content-ID


脅威分析クラウドによる未知の脅威に対応

21 | © 2017, Palo Alto Networks. Confidential and Proprietary.

WildFireTM

世界最大のマルウェア分析クラウドサービス

• 次世代FWから送信された未知のファイルをクラウド上にあるサンドボックス環境で実行＆分析し、未

知のマルウェアを発見・防御するためのクラウドサービス

• お客様環境で発見されたマルウェアに対して、シグネチャを自動生成し、一斉配信

世界中のどこかで発見されたマルウェアに

対するシグネチャが、最短5分間隔で全ての次世代FWに自動配信される

最新の脅威にいち早く対応することが可能


Significant Increase in Cloud-Based Attacks in the Last Year

22 | © 2018, Palo Alto Networks. All Rights Reserved. https://blog.sensecy.com/2017/09/25/significant-increase-in-cloud-based-attacks-in-the-last-year/

クラウド利用増加に伴い、アッタク件数も急増。2017年には前年度比300%増の様々な攻撃(フィッシング、ブルートフォース攻撃、3rdパーティからのハッキング)

Attacks on Cloud accounts: comparison between Q1 2016 to Q1 2017. Source: Microsoft

Types of attacks performed using compromised virtual machines in the Cloud

エンタープライズグレードのファイアウォールをそのままクラウドへ



あらゆる規模に対応するVM-Seriesラインナップ

Extra small (200M)

ブランチオフィス,マルチテナント用小規模リソース

VM-500 VM-700

Small, Medium (2-4G)

ハイブリッドクラウド、セグメンテーション、インターネットゲートウェイ

Large, Extra Large (8-16G)

NFVコンポーネント; 仮想化された100％のデータセンターでワークロードを防御

VM-200VM-100 VM-300 VM-1000-HVVM-50

アプリ識別 200M,脅威防御 100MB, 50K セッション

アプリ識別 2G, 脅威防御1G, 250K セッション

アプリ識別 4G, 脅威防御2G, 800K セッション

アプリ識別 8G, 脅威防御4G, 2M セッション

アプリ識別 16G, 8G 脅威防御 8G, 10M セッション

25 | ©2017, Palo Alto Networks, Inc. Confidential and ProprietaryThe contents of this course are only intended for authorized employees & partners of Palo Alto Networks & cannot be shared with anyone who is not entitled under any condition.

クラウド中心の拡張性と柔軟性

VM-SERIES ENTERPRISE LICENSE AGREEMENT (VM-Series ELA)概要

～クラウド環境に最適なライセンス契約～

既存の導入数＋今後（1年ないし 3年）の想定導入数により、ELA の価格を設定 3年の場合、最初の18か月において上限150％

Hyper-visor の種別なしプライベートクラウドを含むマルチクラウド対応想定導入数を超えても、途中からの料金発生なし

（次年度の契約に反映）単一の AUTH CODE を提供 Panorama による管理ユーザ数は無制限

VM-SERIES

サポートサブスクリプション

エンタープライズクラスのセキュリティをマルチクラウド環境にシンプルに提供

Virtual Panorama

製品


Panoramaによるハイブリッド環境を一括監視、管理

複数のパロアルトネットワークス次世代ファイアウォール（PA）の中央管理と可視化を実現する管理ツール

Panorama管理サーバー

管理者

Webインターフェース

• セキュリティポリシーの統一• 運用負荷とコストの削減• 再トレーニングが不要• ログレポートの一元化• VM-ELAで一括ライセンス管理

- PA-7000 - PA-5200

VMWareESXi

VMWareNSX

既存環境仮想化環境クラウド

- PA-3000Amazon Web

ServicesMicrosoft

Azure

VM-ELA


パブリッククラウド特有の脅威とは

クラウドストレージ(S3)の設定ミスによる情報漏えい事故

■米Verizon、1400万人の顧客情報が誰でもアクセス出来る状態で公開

2017年7月12日、米通信大手Verizonの加入者1400万人の個人情報が、Amazon S3上にURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態で公開されていた。

■ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

こちらもUpGuardの調査で発覚した内容だ。ダウ・ジョーンズの出版物に対する数百万人の加入者の名前、住所、口座情報、電子メールアドレス、およびクレジットカード番号の最後の4桁の数字がAmazonのS3に保存されており、AWSのIDを保有しているユーザがURLを知っていればアクセス出来る状態で公開されていた。ダウ・ジョーンズは220万人の顧客が影響を受けていると述べているが、UpGuardはこの数字を400万人に近いと推定している。

■米シカゴの有権者180万人あまりの個人情報が一般にアクセスできる状態で露呈

UpGuardによると、データが露呈されていたのは、AWSのAmazon S3バケットが一般にアクセスできる設定になっていたことが原因だった。AWSのデフォルトの設定では、許可されたユーザーしかデータにはアクセスできないという。「もしこの設定を変更する場合は、データの露呈を確実に発見して是正するための対策を講じなければならない」とUpGuardは強調している。

出典 https://news.yahoo.co.jp/byline/ohmototakashi/20171106-00077827/

http://www.itmedia.co.jp/enterprise/articles/1708/21/news054.html



http://thehill.com/policy/cybersecurity/342333-dow-jones-customer-data-exposed-in-cloud-error

https://news.yahoo.co.jp/byline/ohmototakashi/20171106-00077827/


不正アクセスの原因と対策

• パブリッククラウドへのアクセス方法が複数あり、その全てに対して正しい管理が必要

• Webログイン、CLI、APIそれぞれに対して個別のセキュリティ管理が必要

• ID＋パスワードにはMFLが有効ですが、認証キーによるCLI、APIアクセスにはMFLは設定できません

• 認証キー情報をハードコードし、GitHubなどで公開して不正アクセスによる乗っ取り、高額請求などが発生


“どこからでも利用できる” というリスク

• クラウドの設定ミスが原因で、センシティブなデータが露呈する問題は過去にも見付

かっている。UpGuardが引用したGartnerの推計によれば、情報流出の70～99％は外部からの攻撃によるものではなく、社内の関係者によるITシステムの設定ミスに起因しているという。

• 市場環境として、サービスの無償トライアル機会の提供など、ユーザーが気軽に体験利用できる環境が整っている。また、ユーザー環境では、サービス利用に伴うシステム環境（ブラウザやネットワーク環境など）が、既に整備済みであることや、導入に伴い必要とされるITの専門性が高くない場合が多い

• その結果、ユーザー部門が自社のセキュリティポリシーやシステム化方針などへの影響確認を十分に実施せずに単独で導入してしまい、全社的なシステム統制に影響を及ぼす恐れがある


出典 https://japan.zdnet.com/article/35063430/3/

クラウド人材不足をどう解決するか


APIベースのセキュリティ、コンプライアンス

APIベースのセキュリティ、コンプライアンスソリューションマーケットリーダー、EVIDENT.IOを買収


ワンクリックでレポート作成

マルチクラウド対応

継続的かつリアルタイム

コンプライアンス、DevOps、SecOps対応

エージェントは不要

カスタマイゼーションによる柔軟な企業ポリシーへの対応

既存パロアルトネットワークス製品との完全統合We expect to complete the acquisition of Evident.io, Inc. in our third fiscal quarter, upon satisfaction of customary closing conditions contained in the definitive agreement.

Evident Security Platform

(ESP) デモ

パブリッククラウドの選択


AWSアイコンをクリック

アカウントIDと外部IDの設定


Evident側 AWS側（ロール作成）

1.Evident側のACCOUNT ID をコピーしAWS側の【アカウントID】にペースト

2.【オプション】をチェック

3.Evident側のEXTERNAL ID をコピーしAWS側の【外部アカウントID】にペースト

ロールARN情報のevident側への設定


Evident側に戻り、【Connect Role to ESP】に画面を進めます。

【Choose an Account Name】に任意のアカウント名を入力します（例：evident-eval、evident-testなど）。

【Choose a Team】に“Default Team”を選択(事前にチームを作成しておくことによりそちらを選択することも可能)。

【ROLE ARN】にAWS側でコピーしたロールARNをペースト。

既に前で設定したEXTERNAL IDを確認

【Submit】をクリック

ライセンス課金単位

AWS Azureアカウント単位サブスクリプションID単位


今利用中のツールと統合可能


AWS LAMBDAによる問題解決フローの自動化例


社内パブリッククラウドにガバナンスをEvidentで実現


virtual private cloudvirtual private cloud




サービス事業部各事業本部海外拠点

全社でどのくらい利用されているか把握していない

正しくセキュリティ設定がされているか管理したい

Evident.ioワークフロー for AWS & Azure

全てのAWSアカウント、リージョン、サービスに対して発生した変更がコンプライアンス、セキュリティのベストプラクティスに準拠しているかをモニタリング

AWSのAPIによりデータを収集し、AWSサービスとそのパフォーマスを継続的にESPはセキュリティベストプラクティスに沿っているかをチェックします。同様に、特有のエクスプロイト攻撃の可能性を判断するためのカスタムシグネチャの内容もチェックします。

ESPリスクエンジンは設定ミス判定とその影響範囲判定を数値化して表示します。

解析結果をダッシュボードだけでなく、自社で利用しているチームワークツールと統合し、通知およびその通知をトリガーとして修復ワークフローを自動実行することができます。

レポートのドリルダウンによりユーザー属性を含むリスク情報を表示し、影響を受けるリソース、チームのリスクをスクリプトで取得することができます。

生成されたレポートに記載された復旧手順を確認しながらスッテプ毎に元のセキュアな状態に戻すことができます。

管理者、開発、運用、正社員、コンストラクタなど多様な担当が案件に参加


パロアルトネットワークスのクラウド戦略

パロアルトネットワークスクラウド戦略とは

IaaS

WEB APP

Web Server App Server

PaaS

OBJECT STORAGE CACHING DATABASE

クラウド内のワークロードの保護とセグメンテーション

ホスト

セキュアなOS &アプリケーション

セキュリティ＆コンプライアンス

API

インライン

クラウドアプリケーション



ハイブリッドクラウド

マイクロセグメンテーションによるセキュリティ強化

NEW

Amazon Web Services Microsoft Azure

ENHANCED ENHANCED

継続性のあるセキュリティ対策とコンプライアンス

ENHANCED

セキュアなOSとアプリケーション利用の安全性向上

NEW

NEW

ENHANCED ENHANCED

Evident

Traps“End point Security”

EV TBD

脅威インテリジェンスとのクラウド連携


URL Filtering

CLOUD-DELIVERED SECURITY SERVICES

WEB

オブジェクトストレージ

キャッシュデータベース

IaaSPaaS

WebServer

APP

AppServer

API

3rd party feeds

Customerdata

Amazon GuardDuty

MineMeld

Threat Prevention

Malware Analysis

EV

Evident

マシンラーニングを利用した防御の自動化

ネットワークセキュリティ

Magnifier行動解析によるアノマリ検知

アドバンスドエンドポイントプロテクション

クラウドセキュリティ

69 | © 2018 Palo Alto Networks. All Rights Reserved.

マシンラーニング

• 解析時間の短縮化• スピード診断• 潜在的な脅威の発見

脅威データベースとログ解析

脅威インテリジェンスをプラットフォームとして提供


PALO ALTO NETWORKSアプリ

3RD PARTY PARTNERAPPS

CUSTOMERAPPS

ネットワークセキュリティ

アドバンスドエンドポイントプロテクション

アプリケーションフレームワーク & ロギングサービス

クラウド提供型セキュリティサービス

クラウドセキュリティ

SaaSのセキュリティ対策

クラウドサービス（SaaS）の保護

クラウドサービスの利用推移

出典:http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf

実際に利用ユーザーは増加している


クラウドサービスがシャドーIT化

出典 : https://www.cloudsecurityalliance.jp/newblog/2018/04/10/casbwgリレーコラム（第4回）「アンケート調査で明ら/


総務省の「通信利用動向調査」より

• 1位: 必要がない (39.5%)

• 2位: 情報漏洩などセキュリティに不安がある (38.1%)

一方で、クラウドサービスを導入しない理由


出典:http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf

パブリック・クラウド利用社のセキュリティ被害実態

17.3社が実際にセキュリティ被害を受けている

• 標的型攻撃

• アカウント情報の流出

• 機密漏えい


クラウドサービスへのセキュリティ対策が必要

CASB製品の導入を検討

出典 : https://prtimes.jp/main/html/rd/p/000000014.000009999.html

CASBとは？

• Cloud Access Security Broker• 一般的には複数のクラウドサービスに対して、共通のセキュリティポリシーの適用や、ア

クセスログの解析、アクセス・操作制限を行う仕組み

• CASBでできること


可視化コンプライアンス

データセキュリティ

脅威防御

アクセス許可・未許可問わず、すべてのクラウドサービスに関するアクセスログを解析し、各ユーザーのクラウドサービスの利用状況を可視化

各クラウドサービスのリスク評価ができるため、リスクの高いクラウドサービスを利用できないようにするなど、クラウドサービスを利用する上でのリスクを低減することが可能



パロアルトネットワークスのCASBソリューション

CASB提案2本柱

次世代ファイアウォール APERTURE

可視化SaaS アプリの

利用量および統計

アクセス制御SaaS アプリ単位のアクセス制御

データガバナンスDLPおよび脅威防御

CASB


Apertureとは

• パロアルトネットワークスが提供するSaaS環境向けセキュリティ強化サービス

• SaaS側のAPIを利用することでSaaS環境へ直接アクセス

• ネットワーク構成の変更なし

• 導入前と利用者の操作方法は変わらない


APERTURE

WILDFIRE

NEXT GEN FIREWALL

API

ポリシーに基づく自動的なデータ公開制御


検疫

共有の制限

通知

ログ

APERTURE

ポリシーベースタスク

ファイルが保存されると、中身をスキャンしポリシーの条件に一致したファイルに対して自動的に処理を行う。

ファイル

クラウドアプリ

Apertureの基本機能

情報漏えい対策マルウェア

対策

ポリシーに基づくデータ公開の制御

機械学習によるファイルの分類

マルウェアの検出＆除去

コンテンツ検査と可視化


Apertureの特徴

• 簡易で負担の少ない導入• 顧客のSaaSアプリケーションにAPIを介して接続

• 特定の機器などは不要で、利用環境に依存しない

• APIを使ったSaaS間でのコミュニケーション• 脅威、データ、出現頻度に基づくリスクの計算と可

視化

• SaaS上のファイルのハッシュ/ .exeファイルを脅威インテリジェンスクラウド(WildFire)へ送信

• 機械学習によるカスタムデータ分類が可能で、キーワード、正規表現、業界標準のデータ分類子(PCI、PIIなど)に基づいた詳細なコンテンツ検査

• ユーザー、コラボレータ、アクセス情報の抽出

• 管理者がエンドユーザー通知、検疫などの処置を行うことでリスクを軽減


脅威インテリジェンスクラウド：WildFire

仮想サンドボックス環境でファイルの振る舞いを分析し、マルウェアを検知・シグネチャを生成

100以上の振る舞いを検査

マルウェア本体とC&C通信に対する防御

定期アップデートとシグネチャをすべてのファイアウォールへ配信

スケーラビリティが高いクラウドベースのアプローチによって幅広い環境からの”未知”の通信を分析

高度にカスタマイズされた“サンドボックス”により未知ファイルを分析

最新の脅威に対応できるよう常に分析や検知ロジックを更新

WildFireTM

WF-500

アンチウィルスシグネチャ

マルウェア DNS 通信

マルウェア URL データベース

アンチスパイウェア（C2）シグネチャ

検査サイト, シンクホール, サードパーティからの情報

WildFire 利用ユーザー

グローバルで21,500社以上が利用

検査されるファイル数：約600万 /日

発見されるマルウェア：約15万 /日


• 自己責任として放置せず、シャドーITを可視化・統制しセキュリティリスクを管理

• 未知の脅威への対策をネットワークとSaaSサービス両方へ配備し、自動防御

• ポリシーに基いたデータ公開制御による情報漏えい対策

• API利用によりネットワークの構成変更なく、利用者の操作性も変わらず導入が容易

まとめ

パロアルトネットワークスによるCASBソリューションぜひ弊社までご相談を！


クラウドセキュリティ の護り方講座 ·...

Documents

クラウドセキュリティの護り方講座 ·...