UTM

UTM2.0
時代の次世代統合脅威管理を利用した
UTM2.0時代の次世代統合脅威管理を利用した
セキュリティ・リスク管理
～次世代
UTMを利用した、統合脅威管理環境の構築方法～
～次世代UTMを利用した、統合脅威管理環境の構築方法～
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
セキュリティの現状
• 攻撃手法の多様化と期間の短縮化
» 攻撃ツール、攻撃情報は「ググれば」誰でも手に入れられる
» 危険性の発見から攻撃までの期間が大幅に短縮化
» 対策を怠ったばかりにつまらないことで被害を受ける可能性が高まった
• 攻撃の凶悪化
» 組織犯罪の急増
» 金銭目的の攻撃が急増
» 愉快犯、イタズラではすまないレベルの
犯罪が急増
• 手口の巧妙化
» 複合型の脅威の激増
» スピア型攻撃
インターネットに接続している限り
常に国際規模の犯罪に遭う可能性が高い!!
Check Point Proprietary & Confidential Material
2
セキュリティ脅威の激増
Increasing connectivity
Number of web sites
…右肩上がりが続く
120
より多くのアプリの登場
すごい伸び…
100m
100
脆弱
脆弱
WiFi
脆弱
23,500
10k
80
脆弱
60
130
2,738
1993
1994
1995
セ
40
キ
da
mm
ag
e
06
05
04
03
02
01
00
99
Mo
re
20
20
20
20
20
20
20
97
96
95
94
98
19
19
19
19
19
93
性
性
金銭目的の
プロのハッカーの
台頭
1m
19
脆弱
プロの犯行
10m
19
VoIP
威
ィ脅
テ
リ
50m
ュ
20
0
性
3G
性
IM
P2P
性
Source: Netcraft Survey on 1 May and 1 December
3
Check Point Proprietary & Confidential Material
セキュリティ管理を困難にする要素
•
•
•
修正ファイルの開発・適用が、脆弱性の悪用
手段の出現速度に追い付いていない*
大規模な攻撃開始から15日以内に発生した
被害のうち、85%は自動化された攻撃によっ
て引き起こされている**
不正アクセスの99%は、既知の脆弱性や設
定ミスを悪用している
» 1事例あたりの直接被害：
6万9千ドル（約760万円）
*Qualys vulnerability analysis of 32M scans
» 1事例あたりの間接被害：
200万ドル（2億2千万円）
主に知財や収益の損害
**CERT,SANS, Carnegie University
Check Point Proprietary & Confidential Material
4
企業が直面する課題
• 進化する攻撃手法や厳格化するコンプライアンスに対応するため、
あらゆる規模の企業が多数のセキュリティ技術を導入
»
»
»
»
»
ファイアウォールやVPN
ウイルス対策
IDS/IPS
電子メール保護
報告/監査
• 新技術の導入には追加の予算や人員が必要
• 予算、時間、人員の慢性的な不足
» セキュリティ要件がますます厳しくなる一方、対応するためのリソースは削減ま
たは現状維持
• 導入するセキュリティ技術の数が増えるほど保守管理の複雑性が
増加（ソフトウェアの更新や可用性の確保など）
• セキュリティ要件に企業の大小は無関係
» 予算や人員が限られている中小企業も、大企業と同レベルの
セキュリティが求められる
5
Check Point Proprietary & Confidential Material
セキュリティ・スプロール
内部ネットワークでのワーム
内部ネットワークでのワーム
およびウイルスの撃退
およびウイルスの撃退
ネットワークの攻撃
ネットワークの攻撃
からの防御
安全なモバイル・デバイス
からの防御 安全なモバイル・デバイス
新しいアプリケーションや
新しいアプリケーションや
プロトコルの実装
プロトコルの実装
(VoIP、
(VoIP、 XMLなど)
XMLなど)
スパムの阻止
スパムの阻止
システムや
システムや
セキュリティ・イベントと
セキュリティ・イベントと
アプリケーションへの
定義したポリシーの分析
定義したポリシーの分析 アプリケーションへの
ユーザの認証
ユーザの認証
情報流出、漏洩の防止
情報流出、漏洩の防止
スピア型攻撃の
スピア型攻撃の
スパイウェアの
スパイウェアの
防御
防御
撃退
撃退
安全なリモート・アクセス
安全なリモート・アクセス
Webサービスに
Webサービスに
向けたセキュリティの
向けたセキュリティの
脆弱性への対応
提供
脆弱性への対応
提供
安全な個人のコンピュータ
安全な個人のコンピュータ
企業および
企業および
業界標準ガバナンスへの適合
業界標準ガバナンスへの適合
Check Point Proprietary & Confidential Material
ベンダーA社のファイアウォールポリシー
ベンダーB社のファイアウォールポリシー
ベンダーC社の アンチウィルス
ベンダーD社のIPSec VPN ポリシー
ベンダーE社のSSL VPN Policy
ベンダーF社のIDS Policy
ベンダーG社のMonitoring Policy
その他・・・・・・
6
セキュリティ管理の複雑化に伴う
管理コストの上昇
• 更なる脅威
??????
• 更なる管理
…
• 更なるソリューション
• 更なる拡張
2010
アンチ・スパイウェア
SSL VPN
IPS
=
IDS
• 管理するための
より多くの人と時間
2000
アンチ・ウィルス
サイト間 VPNs
クライアントVPN
ファイアウォール
1990
7
Check Point Proprietary & Confidential Material
無計画セキュリティ対策の弊害
セキュリティ投資
の増加
セキュリティ
リスクの増加
管理者の負担増
ƒ 頻繁な追加投資
ƒ 一貫性を失ったポリシー
ƒ 管理ポイントの増加
ƒ セキュリティ管理の
人件費の増加
ƒ 最新でないセキュリティ
ƒ 把握すべき項目の増加
ƒ 安全性が実証されていな
い新技術
ƒ 異なる管理法
ƒ トレーニング費用の増加
ƒ 導入費用の増加
Check Point Proprietary & Confidential Material
ƒ 法規制への対応
ƒ レスポンスへの要求
8
UTM
とは？
UTMとは？
UTMとは?
• オールインワン型セキュリティ・ソリューションの登場
• IDCがオールインワン型セキュリティ・ソリューションを
UTM（Unified Threat Management： 統合型脅威管理）と命名
一般的なUTMの定義
ファイアウォール、ゲートウェイ・ウイルス対策、IDS/IPSを
1つのプラットフォームに集約したセキュリティ・ソリューション。
9 複合的な脅威に対する複数の保護機能をシンプルな形態で提供する。
9 IT担当者が少ない中小企業を想定して設計されている。
Check Point Proprietary & Confidential Material
10
オールインワン・ソリューションの需要増
中央管理セキュリティ製品への感心が高まる中、
中央管理セキュリティ製品への感心が高まる中、
オールインワン・ソリューションに移行する例が増加
オールインワン・ソリューションに移行する例が増加
• 2005年～2009年UTM市場の年間平均成長率：
47.9 %（IDC予測）
全世界のUTM市場の予想成長率
2500
2000
1500
1000
500
0
2004
2005
2006
2007
2008
2009
Source: IDCg
Check Point Proprietary & Confidential Material
11
UTMの最適な導入先
UTMのメリットは企業規模を問わずに享受可能
• 大企業：
» 支店、支社
» 在宅勤務
» 予算や人員の制限により、独立したセキュリティ対策の導入
が難しい拠点
• 中小企業：
» 本社、大きめの支店、支社、事務所など
ƒ 予算の制限により複数のセキュリティ製品を導入できない場合に最適
ƒ 中小企業であっても何らかのセキュリティ対策は必須
» 支社、分室
» 在宅勤務
Check Point Proprietary & Confidential Material
12
UTMのメリット
• 複雑性の軽減
» 各種のセキュリティ機能が単一の製品に集約されているため、
製品の選定、統合、保守管理が単純化
• 経費の削減
» 各種のセキュリティ機能が単一の製品に集約されているため、複数
のハードウェアを導入・運用する場合と比べて設備投資を軽減可能
» 複数のセキュリティ機能を単一のコンソールから集中管理できるた
め、既存の人的リソースで新しいセキュリティ機能を運用可能
• リモート・サイトに包括的なセキュリティを提供
» 複数のリモート・サイトに、妥当な費用で包括的なセキュリティ
機能を導入可能
• かんたんな導入
• 比較的安価
Check Point Proprietary & Confidential Material
13
UTMの問題点
• 元々はウィルス対策を主眼において開発された
» 本来のセキュリティ・ゲートウェイとしての機能要件を満たさないことが多い
• ベンダーによりUTMの解釈が若干異なる
• 個々のセキュリティ機能が中途半端
» 個々のセキュリティ技術のクオリティが十分でない製品も・・・
• 異なるアーキテクチャを組み合わせてみたものの、シナジーが得られない
» 単にいくつかの機能が1つの箱に入っているだけでは、真のUTMとは言えない
• パフォーマンス不足
• 管理性は二の次
» ベスト・オブ・ブリードのセキュリティ技術を搭載しながら、全く統合化されてない
» セキュリティ機能ごとに個別の管理アプリケーションを購入しなければならない
• ログ、レポートの集約、統合管理機能の視点の欠落
• ベンダー自体の信頼性
Check Point Proprietary & Confidential Material
14
一般的なUTMの機能
基本的なUTM機能…
ファイアウォール
VPN
アンチウィルス
侵入防御
Application
Firewall
15
Check Point Proprietary & Confidential Material
セキュリティ対策のむずかしさ
• 課題
»
»
»
»
»
»
»
日々新たな脅威への対応
あらたなサービス、技術への対応
さまざまなアクセスのサポート
幅広いセキュリティ技術の必要性
管理の容易性
経営層の無理解
コスト、予算
• 忘れてはならない事
» セキュリティリスクに企業の大小は関係ない
» 必要なセキュリティ対策と会社の規模は無関係
Check Point Proprietary & Confidential Material
16
チェック・ポイント UTM-1を利用した
セキュリティ・リスク管理
発 表 !!!
Check Point Proprietary & Confidential Material
18
Check Point
中規模企業、および大企業のリモート・オフィスに最適な
オールインワン・セキュリティ・ソリューション
2.0
• チェック・ポイントの基幹製品と同等の高度なマルチ・レイヤ・セキュリティを、
導入・管理・保守が容易なアプライアンスに凝縮
• 各セキュリティ機能が緊密に統合された中規模市場で最も強力なソリューション
• 単一のコンソールからすべてのセキュリティ機能を掌握・制御可能
• 仕様が異なる複数のモデルが用意され、多様なニーズに対応
19
Check Point Proprietary & Confidential Material
ラインナップ
• 利用環境にあわせ3機種より選択が可能
UTM-1 450
UTM-1 1050
UTM-1 2050
4 GE
4 GE + 4 FE
4 GE + 4 FE
FWパフォーマンス
400 Mbps
1.0 Gbps
2.0 Gbps
VPNパフォーマンス
190 Mbps
250 Mbps
400 Mbps
最大セッション
50万
120万
200万
推奨ユーザ数
250ユーザ
500ユーザ
1,000ユーザ
1
2
2
インターフェース
USBポート
Check Point Proprietary & Confidential Material
20
の適合環境
HWプラットフォーム
中規模環境
中規模環境
Small
Small Office/
Office/
Home
Home Office
Office
エンタープライズ
エンタープライズ &
&
データ・センター
データ・センター
Branch
Branch Office
Office &&
Mid-Size
Mid-Size Business
Business
パフォーマンス
10 Gbps
TM ,
-1 U
VPN Power
-1
VPN
2.0
正しい
正しい
プラットフォーム
プラットフォーム
選択
選択
1 Gbps
,
ffice
@O ge
e
f
a
d
S
-1 E
VPN
100 Mbps
¥48,000
¥500,000
¥2,500,000
価格帯
21
Check Point Proprietary & Confidential Material
導入想定環境
支店・支社環境
本 社
支店・営業所環境
VPN-1 Power / VPN-1 UTM
または
Internet
1050 / 2050
営業所・事務所環境
在宅勤務
モバイル環境
SecureClient
Check Point Proprietary & Confidential Material
VPN-1 Edge
22
導入想定環境
• 大企業の場合
» 支店、支社環境
» ユーザ数：上限1000程度
ƒ 但し、利用する機能により異なる
» 導入拠点に管理者が不在だが高いセキュリティを導入したい
» 本社側のSmartCenterからの統合管理
» 複数拠点管理を行いたい
• 中小企業（中小規模環境）
» 本社、大きめの支店、支社、事務所など
» 予算の制限により複数のセキュリティ製品を導入できない場合に最適
» オールインワンで、リーズナブルに高いセキュリティを導入したい
• 共通の課題
»
»
»
»
単なるセキュリティの実施だけでなく、確実なセキュリティが必要
ログ、レポートなどを管理や対策に活かしたい
将来の拡張性は必要
セキュリティ対策のアップグレード
23
Check Point Proprietary & Confidential Material
搭載機能
VPN
One-Click VPN
Application Firewall
Application
Intelligence
アンチウィルス
Integrated Engine
侵入防御
SmartDefense
アンチスパイウェア
SmartDefense
QoS
FloodGate-1
IM/P2Pの
コントロール
SmartDefense
Universal Update
SmartCenter
Web Application
Firewall
Web Intelligence
集中管理
SmartCenter
エンドポイント
セキュリティ
Integrity SecureClient
Advanced VoIP
Security
SmartDefense
SSL VPN
SSL Network
Extender
Host Checking
Integrity Clientless
Security
Stateful Firewall
基本的なUTM
機能…
先進のUTM
機能…
2.0
ステートフル
インスペクション
Check Point Proprietary & Confidential Material
24
の防御機能で実施可能なセキュリティ
さまざまな最新アプリケーションに対応可能な
高機能なファイアウォール
標準搭載
VoIP
SQL
E-mail
HTTP
FTP
P2P
IP v6
インスタント・メッセンジャー
標準搭載
VPN （サイト間、リモートアクセス）
サブスクリプション
アンチウイルス （ゲートウェイでの実施）
サブスクリプション
侵入防止
サブスクリプション
Web フィルタリング*
サブスクリプション
アンチ・スパイウェア
拡張機能
Web アプリケーション・ファイアウォール
拡張機能
SSL VPN
* End of Q1 2007
25
Check Point Proprietary & Confidential Material
の集中管理
全てのUTM-1のファイアウォール、VPN、
その他全てのセキュリティ機能、
ログなどを集約的に統合管理
本
支店・支社環境
社
支店・営業所環境
Internet
モバイル環境
営業所・事務所環境 / 在宅勤務
SecureClient
SecureClient for Mobile
Integrity SecureClient
Check Point Proprietary & Confidential Material
VPN-1 Edge
26
の集中管理でできること
• UTM-1アプライアンスの管理
• 複数台のUTM-1アプライアンスの管理
• 既存SmartCenterからVPN-1製品を含めた統合管理
• セキュリティ・ポリシーの設定
• VPN（IPSec/SSL）の設定
» ワン・クリックVPNでGUIベースのVPNゲートウェイ管理
• 侵入防御の設定
• アプリケーション・ファイアウォール/Webファイアウォールの設定
• 新しい脅威へ対応するためのバージョンアップの入手とアップデート
• アンチウィルス、エンドポイントセキュリティなどの機能の設定
• ログの管理
• ログのグラフ化、分析、レポート作成（要オプション）
27
Check Point Proprietary & Confidential Material
管理コンソールの例:アプライアンス管理
あらゆるセキュリティ
機能を一括して管理
あらゆる機能に対する
一貫した矛盾のない
GUI
単一の場所であらゆる
実施ポイントを把握
Check Point Proprietary & Confidential Material
28
アンチウイルス機能
29
Check Point Proprietary & Confidential Material
中央集中化、自動アップデート
アンチ・ウイルスおよび webフィ
ルタリング* についてローカル
(SmartCenter)またはチェック・
ポイントのサイトを利用して
アップデート
すべてのゲートウェイに
一つのボタン操作で
アップデート可能
* End of Q1 2007
Check Point Proprietary & Confidential Material
30
脅威の集中監視
例:
例: リアルタイムなトラフィックのサマリー
リアルタイムなトラフィックのサマリー
例:
例: リアルタイムなイベント・ログ
リアルタイムなイベント・ログ
31
Check Point Proprietary & Confidential Material
は既存UTMの問題点を解決!
新しい価値基準のUTMアプライアンス
• UTM-1はセキュリティ専業ベンダーが開発した第2世代の
世代
統合脅威アプライアンス
• UTM-1は実績のあるFireWall-1と同じ技術を利用している
• ベスト・オブ・ブリードの組み合わせにより、各機能は確実に動作
• 完全に統合された脅威管理による、高いシナジー効果
» 単にいくつかの機能が1つの箱に入っているだけではではない
• 競合製品に比べ高いパフォーマンスと優れたTCOを実現
• 管理性を考慮したアーキテクチャ
• ログ、レポートの集約、統合管理機能も提供
• 消滅/買収の可能性が低い企業安定性
Check Point Proprietary & Confidential Material
32
次世代UTM UTM-1
参考資料
の価格
価格優位性はUTM-1 2050が最も高く
チェック・ポイントが注力するモデル
モデル
型番 （SKU）
FWパフォーマンス
定価
UTM-1 450
CPUTM-APP-M450-JPN
400 Mbps
¥1,300,000-
UTM-1 1050
CPUTM-APP-M1050-JPN
1 .0Gbps
¥2,200,000-
UTM-1 2050
CPUTM-APP-M2050-JPN
2 .0Gbps
¥2,700,000-
ポート追加、メモリ追加などはできません
Check Point Proprietary & Confidential Material
34
に含まれる機能と追加機能
UTM-1は既存ソフトウェアのVPN-1 UTMがベースとなっ
ているため、今まで同様にオプション・ライセンスを追加
することで機能の拡張が可能
UTMUTM-1
基本機能
Smart
Center
Firewall
Web
Intelligence
SSL VPN
ユーザ追加
VPN
Secure
XL
Smart
Defense
AntiVirus
FloodGate
（QoS）
QoS）
Secure
Client
SSL VPN
Cluster
XL
SmartCetenter
サイト数追加
SmartDefense
Service
URL
アンチ・
フィルタリング スパイウェア
＊将来バージョンのR65にて対応
SmartDefense and AntiVirus Serviceにより以下
がアップデートされます。
・SmartDefense
・Web Intelligence
・Anti-Virus
35
Check Point Proprietary & Confidential Material
に含まれるライセンス
UTM-1 ゲートウェイ・ライセンス
- Firewall
- VPN
- SmartDefense (IPS機能)
- アンチ・ウイルス機能
UTM-1 SmartCenterライセンス （1サイト管理）
- SmartDashboard
- SmartView Tracker
- SmartPortal
- SmartDirectory
- SmartView Monitor / Reporter (Express)
- SSL VPN ライセンス / SecureClient（5ユーザ分）
※SmartDefense、Anti-Virusの最新シグネチャをアップデートするにはSmartDefense and Antivirus Service（年間）に
別途加入する必要があります
※上記SSL VPNとSecureClientは、各機能の別途ユーザ数に応じた追加ライセンスを導入することで、それぞれの機能に
追加されたユーザ数が同時に利用できます。
Check Point Proprietary & Confidential Material
36
追加ライセンス、サービスの価格
ライセンス
SmartDefense and AntiVirus Service
- Check Point SmartDefense / Anti-Virus for UTM-1 Gateway (年間）
型番
CPUTM-SDAV-U
¥440,000-
CPVP-SNX-25
¥368,000-
CPMP-WIT-3
¥800,000-
CPUTM-QOS-1
¥240,000-
CPUTM-SXA-2
¥400,000-
CPUTM-SXA-20
¥960,000-
SSL VPN
- 25ユーザ分の “Check Point SSL Network Extender for Windows”を追加
Web Security
- 3 Web Server分の “Check Point Web Intelligence” を追加
QoS
- UTM-1 Gatewayに “Check Point FloodGate-1” を追加
Management Upgrade 2サイト追加
- SmartCenter UTMに 2サイト分の管理サイトを追加
Management Upgrade 20サイト追加
- SmartCenter UTMに 20サイト分の管理サイトを追加
定価
Management Upgrade -SmartUpdate
- SmartCenter UTMに “SmartUpdate” を追加
Management Upgrade – SmartMap
- SmartCenter UTMに ”SmartMap” を追加
CPUTM-SMUP
¥1,280,000-
CPUTM-SMMP
¥800,000-
※他追加ライセンス価格については別途弊社または販売代理店までお問い合わせください
37
Check Point Proprietary & Confidential Material
UTM-1 の各種資料
• お客様、パートナー様向け
» WEBコンテンツ
ƒ http://www.checkpoint.co.jp/products/utm-1/
» データシート（カタログ）
ƒ https://www.checkpoint.co.jp/form/promo/utm-1_ds.html
» 技術白書【日本語版近日完成予定】
ƒ http://www.checkpoint.co.jp/products/home_promo/utm-1_022007.html
• 販売店様向け
» FAQ
» 販売店様向けガイド
» 競合情報
» Webinar
チェック・ポイントへお問い合わせ下さい。
Check Point Proprietary & Confidential Material
2.0
38
SecurityCafe
• セキュリティ最新情報を随時掲載
• 掲載カテゴリ
QuickPoll のアーカイブ
境界セキュリティ
セキュリティ全般
内部セキュリティ
UTM（総合脅威管理）
Web セキュリティ
セキュリティ･イベント管理
セキュリティ集中管理
エンドポイント・セキュリティ
技術白書
http://www.checkpoint.co.jp/securitycafe/
Check Point Proprietary & Confidential Material
39
お客様向けニュース配信
• 月1回配信
• セキュリティ最新情報、チェック・ポイント製品情報、技術情報を提供
• お申し込みはこちらから
» http://www.checkpoint.co.jp/enews/index.html
Check Point Proprietary & Confidential Material
40
Security Clinic
•
Security Clinicを開設しました。
» お客様、リセラー様を対象
» http://www.checkpoint.co.jp/security/
•
愛称募集中：なまえがありません。
» お申し込みは
Webサイトからお申し込み下さい
ƒ
ƒ
https://www.checkpoint.co.jp/security/security_clinic.html
お問い合わせの種類を「その他」でお申し込み下さい。
なんと当選者には、豪華景品が当たる
締め切り：2007年3月16日
Check Point Proprietary & Confidential Material
41
Let’s get Secured !!!
Check Point Proprietary & Confidential Material
42
お問い合わせ
• チェック・ポイント・ソフトウェア・テクノロジーズ
» 販売に関するお問い合わせ
ƒ [email protected] 又は弊社営業担当まで
» その他ご質問
https://www.checkpoint.co.jp/info.html
Check Point Proprietary & Confidential Material
43