狠狠撸

Deep Security on IBM Bluemix IaaS
によるセキュリティ対策について
2017/06/21
トレンドマイクロ株式会社
パートナーSE課シニアエンジニア山本貴之
takayuki_yamamoto@trendmicro.co.jp
Bluemix 大勉強会 - The Developer Focus -

2 Copyright ? 2017 Trend Micro Incorporated. All rights reserved.
本日のスピーカーについて

目次
? Bluemix IaaS Public Cloudについて
? Bluemix IaaSに最適なセキュリティ対策について
? デモ仮想パッチ
? 本日のまとめ

Copyright ? 2017 Trend Micro Incorporated. All rights reserved.4
Bluemix IaaS Public Cloudについて

物理
環境
クラウドへの道筋は
お客様により異なりますパブリック
クラウド
仮想化
環境
VDI環境
ハイブリッド
環境

選択肢も
増えています

ハイブリッドクラウド時代における
セキュリティ対策の考え方は？
目指すべきセキュリティのゴールは変わらない、
オンプレ今と同じレベルのセキュリティ対策を実装すること。
シンプルにクラウドのメリットを阻害しない、
“効果的”かつ“運用可能な”セキュリティ対策が必要。

IBM様が提供する
Bluemix IaaSの考え方と提供するセキュリティ対策

Bluemix IaaS上でのセキュリティ対策検討ポイント
サービスの迅速な立ち上げや利用状況に応じた柔軟なサーバの増減、クラウドに高パフォー
マンスが要求される等を背景に、IBM Bluemix IaaSの活発な利用が進んでおります。
そこでは、オンプレミスと同様、OSレイヤー以上はユーザ様ご自身で、セキュリティ対策の
実装や運用管理が必要になります。
そこで、Bluemix IaaS上でのセキュリティ対策の検討ポイントを以下に記載します。
Bluemixで提供されるIaaS(仮想環境)とベアメタル(物理環境)両方の
セキュリティ対策を統合管理できること。
Bluemix IaaS環境においてインスタンスがスケールアウトした際にも、
適切なセキュリティポリシーが適用できること。
クラウド上のセキュリティの責任は分担(Shared Responsibility)
Bluemix IaaSで提供されるセキュリティ対策に加えて、
ユーザ側でも対策が必要。

セキュリティ管理策の全体図
IPA「情報セキュリティマネジメントとPDCAサイクル」を参考に一部改変
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
（検疫?駆除）
改ざん
書き換え
盗聴情報漏洩サービス妨害
人
的
組
織
的
セキュリティ
全般
情報セキュリティポリシー（リスク分析?セキュリティ基本方針?対策基準?実施手順）
対策ベンチマーク/情報セキュリティマネジメントシステム（ISMS)の導入/情報漏洩防止強化対策
セキュリティ診断/侵入テスト/監査（内部?外部）/教育
技
術
的
ネットワー
ク?セキュリ
ティ
侵入検知システム(IDS)/侵入防止システム（IPS) 通信暗号化
(IPSec/IP-VPN)
DoS/DDoS対
応（フィルタリン
グ）
ファイアウォール（パケット?フィルタリング）
デジタル署名アクセス制御/デバイス認証無線LAN（認証?暗号化） Fake AP
サーバー?セ
キュリティ
ユーザ認証アクセス制御/権限管理バックアップ負荷分散
OS Firewall
セキュリティ?パッチ（適用?逐次更新）?セキュアーなWeb開発ログ管理メール?MSGス
キャン
DoS/DDoS対
応（NDS、パ
ケット制限）
Trusted OS/Secure OS ウィルス駆除改ざん検知?防
止
DBMS暗号化?
ファイル暗号化
物
理
的
環
境
的
セキュアな
環境?施
設?オフィス
セキュア?ゾーニング、セキュア?オフィス?施設?設備?什器
（入退出管理、監視カメラ、バイオメトリクス認証/盗難?紛失防止備品）

Bluemix上のセキュリティの考え方
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
（検疫?駆除）
改ざん
書き換え
人
的
組
織
的
セキュリティ
全般
技
術
的
ネットワー
ク?セキュリ
ティ
(IPSec/IP-VPN)
DoS/DDoS対
応（フィルタリン
グ）
サーバー?セ
キュリティ
OS Firewall
キャン
DoS/DDoS対
応（NDS、パケッ
ト制限）
Trusted OS/Secure OS ウィルス駆除改ざん検知?防止 DBMS暗号化?
物
理
的
環
境
的
セキュアな環
境?施設?オ
フィス
iptables / Firewalld
カスタマーポータルの権限設定
Private NW/SSL VPN / PPTP VPN
Cisco Guard
Arbor Peakflow
SSH秘密鍵認証/パスワード定期変更
OS権限設定, sudo, PAM構成
OSの各種アクセス
ログ、監査ログ
iptables, Firewalld
SE Linux
不要なサービスの停止
Private NW内にあるパッチサーバー
SOC2などの各種
第三者認証
物理サーバー、
仮想専有サー
バー、仮想サー
バー
サーバー削除時
のデータ消去
Tier3以上のデー
タセンター設備
NIST 800-53
frameworkを基準
としたセキュリ
ティ運用ルール
日本国内データ
センター
生態認証、監視
カメラ、入退室
管理
Bluemixで無償実装可能

トレンドマイクロがお手伝いできる範囲
Bluemixで無償実装可能
Bluemixで購入可能（一部制限あり）
トレンドマイクロ製品で対応
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
（検疫?駆除）
改ざん
書き換え
人
的
組
織
的
セキュリ
ティ全般
技
術
的
ネットワー
ク?セキュ
リティ
(IPSec/IP-VPN)
DoS/DDoS対応
（フィルタリン
グ）
サーバー?
セキュリ
ティ
OS Firewall
キャン
DoS/DDoS対応
（NDS、パケッ
ト制限）
Trusted OS/Secure OS ウィルス駆除改ざん検知?防
止
DBMS暗号化?
物
理
的
環
境
的
セキュアな
環境?施
設?オフィ
ス
iptables / Firewalld
カスタマーポータルの権限設定
Fortigate Appliance
Hardware Firewall/Fortigagte /Vyatta
SL証明書 VLAN / Vyattaによるゾーニング
Private NW/SSL VPN / PPTP VPN Cisco Guard
Arbor Peakflow
NetScaler
Platinum Edition
IPSec VPN / Direct Link
Bluemixデータセンター内では
無線LANは使用していないので対象外
SSH秘密鍵認証
パスワード定期変更 OS権限設定, sudo, PAM構成 eVault / Idera
Local LB
NetScaler
Intel TXTMcAfee
OSの各種アクセス
ログ、監査ログ
iptables, Firewalld
McAfee
SE Linux
不要なサービスの停止
Private NW内にあるパッチサーバー
SOC2などの各種
第三者認証
物理サーバー、
仮想専有サー
バー、仮想サー
バー
サーバー削除時
のデータ消去
Tier3以上のデー
タセンター設備
NIST 800-53
frameworkを基準
としたセキュリ
ティ運用ルール
日本国内データ
センター
生態認証、監視
カメラ、入退室
管理
トレンドマイクロ
トレンドマイクロトレンドマイクロ

IaaSとベアメタルの両方に対応
リソースの移動?増減に対応
責任範囲を明確に、最新の脅威に対応
セキュリティ検討ポイント

Bluemixに最適なセキュリティ対策について

クラウドセキュリティにおけるゲートウェイ型 vs ホスト型
GW
FW/
IDS/IPS
Web
Server
App
Server
DB
Server
LB Web
ServerWeb
Server
App
Server
DB
Server
Security
Server
Log
Server
System
Server
1. スケールアウトを考慮した設計が必要
2. 単一障害点となりうる
3. “2”の対策?インスタンス増?費用がかさむ
4. 共有環境のため、ハードウェアは設置できない…等々
ゲートウェイ型の場合???

Web
Server
App
Server
DB
Server
LB Web
Server
App
Server
DB
Server
Security
Server
Log
Server
System
Server
1. インスタンスの増減に対して考慮が不要
2. 障害時の影響もインスタンス単位である
3. 必要な時に必要なだけ = クラウド向き…等々
Web
Server
クラウド上での
セキュリティ対策は
ホスト型が最適!!
ホスト型の場合???
クラウドセキュリティにおけるゲートウェイ型 vs ホスト型

サーバを取り巻く最新の脅威
サーバを取り巻く脅威は不正プログラム（ウイルス）だけではありません。攻撃者は様々な手
法でサーバにあるデータを狙います。大切なサーバを守るにはサーバの要塞化（多層防
御）が必要です。
Webサイトの脆弱性を
突く攻撃
侵入防御
（脆弱性対策）
セキュリティ
ログ監視
公開Webサイトの改ざん
攻撃対象サーバーの調査
ログの改竄（証拠隠滅）
ファイア
ウォール
不正プログラムの侵入
システムの脆弱性を突き管
理者権限を奪取
不正プログラム
対策
変更監視

物理/仮想/クラウド環境のサーバを守る
総合型セキュリティソリューション
IDS/IPS
Webアプリケーション保護
ファイア
ウォール
セキュリティ
ログ監視
ウイルス対策
OSやアプリケーションの
アプリケーションのホワイトリスト化で
ホワイトリスト型FWによるファイルやレジストリ等の
OSやミドルウェアのセ
キュリティイベントを
リアルタイムに
変更監視
物理サーバ仮想サーバクラウド上のサーバデスクトップの仮想化
アプリケーション
コントロール New!

そもそも仮想パッチとは？
? 脆弱性を狙う攻撃コードをネットワークレベルでブロックする機能
? 例えるならば、傷口に貼る絆創膏（バンソウコウ）
? Windows, Linux, Solaris等主要なサーバOSを始め、
Apache, BIND, Microsoft SQL, Oracle等100以上のア
プリケーションに対応

侵入防御：HIDS/HIPS機能
機能概要：
ネットワークを経由したOS?アプリケーションなどの脆弱性を狙った不正な通信からシステム
を保護するホスト型のIDS/IPS。
SQLiやXSS、XSRFなどのWebアプリの脆弱性を突いた攻撃から保護することも可能。
仮想パッチ:
OSやその上で動作するミドルウェア?アプリケーションの脆弱性に対する攻撃をシグネチャ及び、プロトコルの異常検
知ベースで検査を行い、システムの脆弱性を狙った攻撃から強力に保護します。
カーネルモードドライバ(Layer2/データリンク層にバインドされる)を利用してパケットの中身を確認し、プロトコル違
反?シグネチャベースによるマッチングを行います。
パターンにマッチングしたパケットを“脆弱性を狙った攻撃パケット”と判断し、検知?ブロックします。
ApplicationControl:
Network Layer7によるアプリケーション毎の通信を検知
WebAppの脆弱性保護:
SQL InjectionやXSSなどのWebアプリの脆弱性を狙った攻撃からブラックリスト方式
による保護を実施

WebApplication Protection
<,%3c,>,%3e:1
Character
Character in
UTF-8 encoding
Character
score

IDS/IPSの推奨スキャン機能
?管理者でサーバの脆弱性の有無の判断を行わなくても、適切な保護が可能
?無駄なシグネチャが適用されないことから、負荷を最小限に

ネットワークや
Appへの脅威
Trend Micro Deep Security

デモ仮想パッチ

本日のまとめ

Deep Securityの３つの優位性
IaaS/ベアメタルに対応
推奨設定による設定負荷の軽減
All–in-Oneセキュリティ
１
２
３

Deep Securityは物理環境だけでなく、仮想環境やクラウド環境に
またがってご利用いただける、統合型サーバセキュリティソリューションです。
IaaS/ベアメタル環境を統合管理
IaaS/ベアメタルに対応1
ベアメタル
(物理サーバ)
IaaS
(仮想サーバ)
Deep Security
Manager
物理サーバ(ベアメタル)と仮想サーバの
セキュリティを統合管理
Deep Security
Agent
Deep Security
Virtual Appliance
Deep Security
Agent

“推奨設定”機能とは？
推奨設定機能とは、Deep Securityエージェントが自動でサーバ内のシステム情報をスキャンし、サーバ上にある脆弱性の
穴を見つけます。そして、その脆弱性に対して必要なシグネチャー”仮想パッチ”を自動で適用します。
Deep Security
Manager
Webサーバ
データベースサーバDeep Securityエージェントが、サーバ上のOS上の
各種情報”起動サービス、インストールモジュール、
設定情報”などを取得。それら情報を基にサーバ
内にある脆弱性を見つけ、その情報を
Deep Security管理マネージャに送信します。
?サーバ管理者様は各サーバ内の脆弱性の有無の把握が
必要なく、仮想パッチの設定をDeep Securityの任せること
が可能です。
?これまでのIDS/IPSなどの製品では、管理者様自身でシ
グネチャーの適用を行っていましたが、その運用負荷から解放
されます。
?不要な仮想パッチが適用されることが無いため、最小限の
負荷で、最適な保護を受けることが可能。
解決可能なペインポイント
仮想パッチの推奨設定による設定負荷の軽減
管理マネージャはサーバ側で発見された脆弱性に対
するシグネチャー"仮想パッチ"のリストを
エージェントへ配信します。結果、サーバの脆弱性
は必要な仮想パッチを用いて必要な保護を
受けることができます。
CVE-2000-1205
CVE-2002-0081
CVE-2006-0265
CVE-2008-0107
推奨設定による設定負荷の軽減2

All-in-oneセキュリティで多層防御
All-in-oneセキュリティ３
情
報
?適用の遅れ
?ゼロデイ
?運用不備
?リスト型攻撃等
未遂
Firewall
IPS/IDS
(侵入防御)
対策
セキュリティ
ログ監視
変更監視
セキュリティ
ログ監視
対策
変更監視
IDS/IPS
(侵入防御)
ファイアウォール
Web
レピュテーション
httpリクエストを監視し、BOTの
感染などによる不正な通信を
監視、防御
ログエントリーから不審な
振舞いを検出し、管理者に通知
ホストベースでの
NWアイソレーションを実現
OS、ミドルウェア、Webアプリ
ケーション等の脆弱性を狙った
攻撃を検出?防御
OS内の不正な変更行為を検出
監視対象はディレクトリ、ファイル、
プロセス、サービス、レジストリなど
不正プログラムの侵入?配置
を検出し、隔離?削除
App Control
アプリケーションコントロールアプリケーションのホワイトリスト化により、
許可したもののみ実行権限を付与。

ご清聴ありがとうございました。
Bluemix IaaSのセキュリティに関するご相談が
ございましたら、ぜひお気軽にご連絡下さい。
トレンドマイクロ株式会社
営業：深谷将大 (shota_fukaya@trendmicro.co.jp)
技術：山本貴之

APPENDIX.
クラウド環境におけるDS公開導入事例

導入事例：ロータスビジネスコンサルティング株式会社様
【お客様の課題】
? Cloud One for SAP Business One
は、顧客の基幹業務を支えるサービスであ
りセキュリティの確保は重要な要件であった
【選定理由】
? 多様化?巧妙化する脅威に対し、多様な
セキュリティ機能で一元的に対応できたか
ら
【導入効果】
? 脆弱性を保護できない『空白の期間』のリ
スクを最小化できるようになった
? クラウドの拡張性を損なうことなく安全性を
強化できるようになった

導入事例一覧
会社名テーマ概要導入時期
集英社様 AWS
? 会員制ポータルサイトの個人情報を安全に保護するためのセキュリティ
強化
? 多様な機能が統合されており、限られた人員も効率的に運用可能な
点を評価
2014年2月
スクエアエニックス
様
Azure
? Azure上でのアプリケーション?レベルのセキュリティ強化
? １つの製品でサーバの多層防御を実現できる点や、オートスケール対
応を評価
2014年3月
コイニー様 PCI DSS
? PCI DSS認定の早期取得
? 実績、検証の手間、機能やツールがワン?パッケージで提供されている
点を評価
2012年12月
新日鉄興和不動
産様
セキュリティ強化
? セキュリティパッチの適用にまつわる負荷が増大
? 脆弱性を保護する仮想パッチを評価
? 複数のデータセンターのサーバを一元管理
2014年9月
千葉県
佐倉市様
サーバ
仮想化
? 住民情報システム用端末のVDI環境のセキュリティ確保
? 豊富な導入実績とエージェントレスならではのストレスのないレスポ
ンスを評価
2012年8月
NTTネオメイト様 VDI
? 従来型のセキュリティ製品でのパターンファイル更新時のストレージ
への負荷集中による性能低下
? 仮想PCを追加時の作業工数削減と高い拡張性を評価
2013年5月

その他関連リンク
? 価格表：http://www.trendmicro.co.jp/jp/business/products/tmds/index.html#price
? ソリューションサイト：
? サーバ仮想化?VDI
http://www.trendmicro.co.jp/jp/business/solutions/virtualization/index.html?cm_sp=GNa
v-_-Business-_-virtualization
? クラウド
http://www.trendmicro.co.jp/jp/business/solutions/publiccould/index.html?cm_sp=GNav
-_-Business-_-cloud
? 体験版ダウンロード：https://app.trendmicro.co.jp/trial/dl_trial.asp?productid=77&CID=0
? 導入事例集：http://www.trendmicro.co.jp/jp/business/products/tmds/index.html#case

狠狠撸

Deep Security on Bluemix IaaSによるセキュリティ対策について

More Related Content

Deep Security on Bluemix IaaSによるセキュリティ対策について