Ⅰ-② 延命セキュリティ 延命セキュリティ 二つの対策方法 ▐ 対策① ホワイトリスト型 l 概要: 動作させてもよいアプリケーションのみ許可し、それ以外の全ての動作 をブロックすることで、不正な動作を防止します。 l 特長: 特定用途やスタンドアロンのPCの延命に効果的です。 アプリケーション 起動制御 不許可アプリケーショ ンは防止 リストに登録されたアプリ ケーションのみ許可 ▐ 対策② 仮想パッチ型 l 概要: OS、アプリケーションの脆弱性を狙った通信をブロックし、正規パッチを 当てた場合と同等のセキュリティを提供します。 l 特長: PCへの影響が小さいため、最小限の評価で適用可能です。 クラッカー 攻撃 ボット Page 92 © NEC Corporation 2014 仮想パッチ Ⅰ-② 延命セキュリティ 延命セキュリティ製品 製品名 ホワイトリスト型 お客様の想定 対象OS McAfee Embedded Control 特定の業務で利用する 物理PC・仮想PCや、 Windows Server 2003 Windows XP、 Windows Server 2003 Trend Micro Safe Lock 特定の業務で利用する スタンドアロンPC Windows XP Trend Micro ウイルスバスター コーポレートエディション 脆弱性対策オプション ネットワーク接続がある 物理PC Windows XP Trend Micro Deep Security Virtual Appliance VMware上で動作するVPC、 同、Windows Server 2003 Windows XP、 Windows Server 2003 仮想パッチ型 Page 93 © NEC Corporation 2014 Ⅰ-② 延命セキュリティ ホワイトリスト型セキュリティ McAfee Embedded Control n概要/導入メリット •予め登録した実行ファイルやスクリプトのみを動作させるホワイトリスト型セキュリティ •登録したファイルの改ざんも防止することで、なりすましやシステムの破壊も防止 •メモリ保護機能を実装し、バッファオーバフロー攻撃やDLLを悪用する攻撃など脆弱性を利 用した攻撃からもシステムを保護 •定義ファイルの定期更新が不要なため、インターネットへの接続が不要 ◎動作イメージ クラッカー 攻撃 Windows Windows マシン内を検索し Server アプリケーションを XP 2003 登録 リストに登録外の アプリケーションは動作不可 ボット メモリ保護機能 ◎運用イメージ ホワイトリストの 作成 Windows Windows Server XP 2003 Page 94 © NEC Corporation 2014 システム保護 アプリケーションの 追加・更新 (ホワイトリストは自動更新) Ⅰ-② 延命セキュリティ McAfee Embedded Controlの特長 McAfee Embedded Control は「ホワイトリスト方式」を採用しているので、 システム変更が少ない旧OS延命提案に最適なセキュリティ対策ソフトです。 ▌導入効果 OEM品の取り扱いは サーバベンダでは “NECのみ” 1. セキュリティパッチを適用しない状態で高いセキュリティを確保 l あらかじめ動作させるプログラムを登録(=ホワイトリスト) l 登録されていないプログラムの起動を検知し、強制的に停止 2. 未知のウイルスや脆弱性攻撃からもサーバを保護 l 未知のウイルスは未登録のプログラムとして扱い、動作を停止 l メモリ保護機能によりWindowsOSのバッファオーバーフロー脆弱性への攻撃 を無効化 3. サーバの処理性能への影響は軽微 l アンチウイルスのようなディスクスキャンはなく、メモリ消費は12MB程度 Page 95 © NEC Corporation 2014 Ⅰ-② 延命セキュリティ ホワイトリスト型セキュリティ Trend Micro Safe Lock n概要/導入メリット •予め許可リストに登録したアプリケーション以外をブロックするロックダウン型セキュリティ •定義ファイルの定期更新や構成変更が不要な制御系端末など特定用途やスタンドアロン のPC/サーバ延命に効果的 •不正侵入対策機能や外部デバイスの不正実行防止機能もあり、さらに安全に利用可能 ◎動作イメージ Windows Windows Server XP 2003 マシン内を検索し アプリケーションを登録 システムをロックダウン リストに登録外の アプリケーションは動作不可 ◎運用イメージ システムの ロックダウン 登録済み 許可リストの アプリケーションの 再作成 更新・変更 *ロックダウン型セキュリティ:ホワイトリスト型と同義 Page 96 © NEC Corporation 2014 Ⅰ-② 延命セキュリティ 仮想パッチ型セキュリティ Trend Micro ウイルスバスター コーポレートエディション脆弱性対策オプション n概要/導入メリット -クライアントOSに特化した仮想パッチで、正規パッチと同等のセキュリティを提供 -仮想パッチはOSの構成変更(インストール)は行わないため、システムへの影響が少なく、 最小限の評価で適用可能 -ウイルスバスター Corp.にオプションとして適用するので、既にウイルスバスター Corp.を ご利用のお客様であれば導入が容易 ◎動作イメージ クラッカー XP端末 攻撃 ボット 仮想パッチ ◎運用イメージ 脆弱性 仮想パッチ 情報公開 提供開始 ※一定期間テストモードで影響を確認。この期間も攻撃の監視は行われる ※ 推奨検索 検証※ ※緊急度に応じて0日~1か月で提供 Page 97 © NEC Corporation 2014 適用 セキュリティを確保 … Ⅰ-② 延命セキュリティ 仮想パッチ型セキュリティ Trend Micro Deep Security Virtual Appliance n概要/導入メリット -仮想アプライアンス型保護により、ハイパーバイザ上の仮想マシンをエージェントレスの 仮想パッチで一括保護。仮想化によるXP延命案件のセキュリティ保護に最適 -脆弱性保護の他にアンチウイルス、変更監視、ファイヤウォールなどでセキュリティリスクの 高いXPを多面的に防御 -仮想パッチはWindows Server 2003の延命にも拡張可 ◎動作イメージ DSVA クラッカー 攻撃 ボット 仮想パッチ 仮想マシン 仮想マシン AP AP XP XP ハイパーバイザ ◎運用イメージ 脆弱性 情報公開 仮想パッチ 提供開始 ※一定期間テストモードで影響を確認。この期間も攻撃の監視は行われる ※ 推奨検索 検証※ ※緊急度に応じて0日~1か月で提供 Page 98 © NEC Corporation 2014 適用 セキュリティを確保 … (参考) 旧OS遮断 InfoCage 不正接続防止 ~ NECのネットワークを10年間以上守り続けている不正接続防止製品 ~ <製品概要> セキュリティアプライアンス「InterSec/NQ30」が、外部から 持ち込まれる脅威からネットワークを守ります。 ü ü ü InfoCage 不正接続防止 マネージャ ネットワークに接続されている機器のIPアドレス、MACアドレスや OS種別を一覧表示し、ネットワークを可視化します。 登録外の持込みPCをネットワークから遮断し、不正アクセスや ウイルスの二次感染からネットワークを守ります。 エージェントが不要・既設ネットワーク機器の設定変更が不要な ため、簡単に導入できます。 <XP端末接続防止ソリューション> ü ü Webコンソール V4.0 NEW サポートの切れるXP端末の、ネットワークへの接続を防止します。 持込みPCの完全な排除の困難な、大学などの準オープンな ネットワーク環境におすすめです。 InterSec/NQ30c <PC管理製品連携ソリューション> 新規に接続してきたPCのWebブラウザに、資産管理ソフトウェ アや検疫エージェントなどのPC管理製品のインストール画面を 表示し、クライアントソフトウェアの導入の徹底と展開コストの 削減を行います。 ü 連携製品: LanScope Cat、SKYSEA ClientView、InfoCage PC検疫 2014年4月中旬 V4.0 リリース © NEC Corporation 2014 持込みPC 私有スマートフォン V4.0 NEW ü Page 99 正規PC NEC優位性 •10年間以上の販売実績と信頼性 •10万台規模での運用実績 •IPv6に業界で先行して対応 動作環境:Windows Server 2012 R2/2012/2008 R2/2008/2003 価格:48.8万円~ URL: https://www.intra.nec.co.jp/InfoCage_prevention/ (参考) 旧OS遮断 【活用例】 XP端末接続防止ソリューション ~ サポート切れOSからネットワークを守ります~ Windows XPのサポートは2014年4月で終了です。 対策は完了しましたでしょうか? A大学様の事例 サポート切れOSはネットワークに接続させたくない。 だけど、大学のネットワークは学生が利用するし、 端末の入れ替わりが多くてとても管理しきれない。 XP端末を自動的に検出し、ネットワークから遮断 InterSec/NQ30c Windows 7 Page 100 Windows XP © NEC Corporation 2014 状態 MACアドレス IPアドレス 機器種別 NG 00:00:00:00:00:01 192.168.0.1 Windows XP SP3 OK 00:00:00:00:00:02 192.168.0.2 Windows 7 SP1 OK 00:00:00:00:00:04 192.168.0.4 iOS OK 00:00:00:00:00:05 192.168.0.5 ネットワーク機器 OK 00:00:00:00:00:06 192.168.0.6 Linux サポート切れOSを ネットワークから遮断
© Copyright 2024