Comments
Description
Transcript
関連資料(兵庫県情報セキュリティクラウドの運用開始)(PDF:435KB)
兵庫県情報セキュリティクラウドと 県システムの強靭性向上対策 平成29年3月24日 兵庫県電子自治体推進協議会 第4回電子自治体推進セミナー 兵庫県情報企画課システム管理室 津川誠司 @H29 Hyogo Prefecture Government. 目次 1.兵庫県セキュリティクラウド (1)総務省の自治体情報強靭性向上モデル (2)兵庫県セキュリティクラウドの全体構成図 (3)安定運用と災害時の事業継続性の確保 (4)コスト削減と安定運用の確保 (5)対策概要 (6)標的型攻撃対策の徹底 (7)安全なメール受配信システム (8)市町向け基本サービス (9)統合ログ解析 2.兵庫県システムの強靭性向上対策 (1)兵庫県システムのネットワーク分離構成 (2)仮想デスクトップの導入 (3)ファイル無害化 (4) Web閲覧の制御 3.全体スケジュール @H29 Hyogo Prefecture Government. 2 1.兵庫県情報セキュリティクラウド @H29 Hyogo Prefecture Government. 3 1.(1)総務省の自治体情報強靭性向上モデル 抜本的な対策として、自治体システムの強靭性の向上及び情報セキュリティクラウドの共同利用を推進 自治体情報セキュリティ クラウド 国等 各市町 LGWAN網 住基ネット 自治体情報システム 強靭性向上モデル(県と市町) 人事 給与 税 メール サー バ IPS/IDS 団体宛名 統合 既存 住基 高度な セキュリティ対策 庶務 事務 文書 管理 社会 保障 財務 会計 LG WAN メール 掲示 板等 ふるまい検知等 We b サー バ プロキ シ サー バ ●高度なセキュリティ対策 情 報 ハ イ ウ ェ イ 個人番号利用事務系 LGWAN接続系 インターネット接続系 個人番号利用事務系 LGWAN接続系 インターネット接続系 情報 収集 個人番号利用事務系 ●端末からの情報持 ち出し不可設定 LGWAN接続系 ●強力なアクセス制御 (二要素認証) @H29 Hyogo Prefecture Government. インターネット メール ホームページ 作成 ●ファイル/メール無害化 インターネット接続系 4 1.(2) 兵庫県情報クラウドの全体構成図 @H29 Hyogo Prefecture Government. 5 1.(3) 安定運用と災害時の事業継続性の確保 複数のデータセンタに主要機器を分散配置し、安定したサービスの提供と災害時の事業継続性を確保 Internet ISPの分散 データセンタの分散 ISPの分散 兵庫県庁 NTT神戸データセンタ IIJ大阪データセンタ 代表MTA 代表MTA 県プロキシ(URLフィルタ) 市町プロキシ(URLフィルタ) 代表MTA 機器の 冗長/分散 県プロキシ(URLフィルタ) 市町プロキシ(URLフィルタ) 県スパムメール対策 市町スパムメール対策 県スパムメール対策 市町スパムメール対策 メール用サンドボックス 県Web用サンドボックス 市町Web用サンドボックス 通信ルートの分散 負荷分散装置(Netwiser) @H29 Hyogo Prefecture Government. メール用サンドボックス 兵庫情報ハイウェイ 各市町 6 1.(4)コスト削減と安定運用の確保 FlexPod FlexPodの導入 標準化された機器構成と検証実績により 高品質なシステムを短期間で導入可能 物理サーバ UCS-B/C UCS Manager 統合ネットワーク Nexus NetApp 統合ストレージ FASシリーズ KVM、オープンソースの採用 効率的なリソース活用とライセンス費用等の 低減を実現 兵庫情報ハイウェイ 浜坂 浜坂 豊岡 豊岡 村岡 村岡 八鹿 八鹿 支線化 和田山 和田山 柏原 柏原 篠山 篠山 兵庫情報ハイウェイの利用 佐用 佐用 山崎 山崎 西脇 西脇 上郡 上郡 福崎 龍野姫路 龍野 姫路 三田 三木 三木 加古川 高速で安定したネットワーク環境を 低コストで提供可能 三田 社 社 福崎 加古川 明石 明石 宝塚 宝塚 西宮 神戸 神戸 西神戸 西神戸 伊丹 伊丹 尼崎 西宮 尼崎 洲本 洲本 基幹網 支線網 アクセスポイント @H29 Hyogo Prefecture Government. 7 1.(5) 対策概要 ①インターネット接続の集約、高度監視運用等 総務省から提示された、実施すべき内容を踏まえた対策の実施 (1)FW(IDS/IPS) インターネットの入口・出口の基本的な対策 (2)サンドボックス(メール、Web) 未知のマルウェア・脆弱性攻撃等を検知・防御 (3)ウイルスチェック、スパムメール対策 既知マルウェア対策、不要なメールを遮断 (4)プロキシ(URLフィルタリング) 不要なWEBサイト閲覧への対策 (5)ログ分析システム 専門アナリスト・SIEMによる高度セキュリティ監視 ■高度監視運用(ログ分析) ①メール(ウイルスチェック、スパムメール対策、MTA) ②プロキシ(URLフィルタリング) ③FW(IDS/IPS) ④サンドボックス(メール、Web) @H29 Hyogo Prefecture Government. サーバ、FW、セキュリティ 機器の監視・ログ分析 多層防御による高度セキ⑃リテ対策の実現 ■インターネット接続(メール、Web)の集約/入口・出口対策 8 1.(5) 対策概要 通信区分 ②実施項目 セキュリティ対策項目 ウイルスチェック メール受信 (SMTP) スパムメール対策 県 ・代表MTA (IMSVA: InterScan Messaging Security Virtual Appliance) ・代表MTA (IMSVA: InterScan Messaging Security Virtual Appliance) ・スパムメール対策装置 (MatrixScan APEXⅢ) 市 町 ・代表MTA (IMSVA: InterScan Messaging Security Virtual Appliance) ・代表MTA (IMSVA: InterScan Messaging Security Virtual Appliance) ・スパムメール対策装置 (MatrixScan APEXⅢ) ■ユーザ権限運用 県職員によるポリシー運用(AD連携) ■管理者権限運用(基本) 市町管理者によるポリシー運用(AD連 携) HTMLメール振舞検知 添付ファイル振舞検知 メール用サンドボックス (FierEye-EX5400) メール用サンドボックス (FierEye-EX5400) DLファイル振舞検知 Web用サンドボックス (FierEye-NX7400) Web用サンドボックス (FortiSandbox 3000D) +FortiGate UTM フルバンドル版 URLフィルタリング SSLコンテンツフィル タリング 県Proxy (i-filter) 市町配布設備 ■管理者権限運用 Local-Proxy (i-filter) Webコンテンツ改竄検知 Web改ざん検知 Web閲覧 (HTTP/S) Web公開 (HTTP/S) 実 施 内 容 @H29 Hyogo Prefecture Government. 導入運用 Web改ざん検知 9 1.(6) 標的型攻撃対策の徹底 ①Web閲覧対策(プロキシ等) 市町Proxy負荷分散装置で安定した通信を提供し、市町ProxyサーバとUTMにより強固なセキュリティ環境を実現 Internet IIJ大阪データセンタ ISP-2 NTT神戸データセンタ ISP-5 ISP-6 ISP-4 ISP-3 市町サンドボックス FortiSandbox 各ISPへ負荷分散 SandBox連携 各市町 市町Proxy負荷分散装置 Netwiser 兵庫情報ハイウェイ @H29 Hyogo Prefecture Government. 市町UTM (ウイルス対策) FortiGate 市町Proxyサーバ (URLフィルタ) i-Filter 10 1.(6) 標的型攻撃対策の徹底 ②UTMとサンドボックスによる検査 FortiGate(+UTM)とFortiSandboxにより不審コンテンツを検疫 (1) FortiGate(+UTM)によるNW検査 インターネット ■既知のウイルスを検知 アラート画面を表示しダウンロードを 停止する。 (2)FortiSandboxによるファイル検査 ■未知のウイルスを検出 » FortiGateで不審なコンテンツを発見す ると、 FortiSandboxへコピーを送信 » FortiSandboxでウイルスと判定した場 合、各管理者へアラートを配信 » 1つのFortiSandboxで、複数の市町の FortiGateと連携が可能 FortiSandbox 不審 コンテンツ 緊急シグネチャ 通常シグネチャ 情報ハイウェイ FortiGate 市町A @H29 Hyogo Prefecture Government. FortiManager FortiGate 市町B FortiGate 市町C 11 1.(6) 標的型攻撃対策の徹底 ③メール対策 メールチェック用Sandbox Internet 兵庫県庁 FW、IPSによるNWセキュリティ対策 代表MTA IMSVA ・ウイルス対策 ・簡易Email Reputation ・第三者不正中継対策 ・セキュリティ制限 ・ドメイン名の書き換え (@pref.hyogo.jp→ @pref.hyogo.lg.jp マルウェア・スパム対策 Matrixscan ・個別ホワイトリスト(市町毎に設定) ・スパムメール対策 メール中継 SandBox ・振る舞い検知(FierEye-EX5400) メール中継 MTA @H29 Hyogo Prefecture Government. ・県、市町とのメール中継サービス 12 1.(7) 安全なメール受配信システム ・各データセンタへの主要機器の分散配置及び複数メールルートの確保により、安定したメールサービスを提供 ・市町の規模により2つにグループ化し負荷分散 IIJ大阪データセンタ 兵庫県庁 代表MTA 代表MTA IMSVA スパムメール対策(市町) Matrixscan メール中継 MTA @H29 Hyogo Prefecture Government. IMSVA スパムメール対策(県) NTT神戸データセンタ 代表MTA 市町 IMSVA スパムメール対策(県,市町) Matrixscan Matrixscan メール中継 SandBox メール中継 SandBox メール中継 メール中継 MTA 県 MTA 13 1.(8) 市町向け基本サービス ①接続構成 市町ごとにUTM、サーバ等の機器を設置することで個別ポリシーの設定を可能 Internet 兵庫県情報セキュリティクラウド 兵庫情報ハイウェイ 公開DMZセグメント 市町配布設備 市町仮想サーバ ③ Proxy 市町 UTM ③ ④ Log WSUS VirusPtn URLフィルタ ⑤ ⑥ 公開Web LGWANセグメント その他公開サーバ 内部管理セグメント 内部メールBOX 公開WebCMSサーバ @H29 Hyogo Prefecture Government. 14 1.(8) 市町向け基本サービス ③基本サービス内容(1/2) ■基本サービス 区 分 基 本 サ ー ビ ス DNS系 電子メール系 ※MTA、Proxy、ログ機能は、市町の他、県側にも用意 機 能 ネームサーバ機能 ■対象ドメイン .LG.JPドメイン HYOGO.JPドメイン MTA機能 インターネットとの電子メー ルの送受信機能と簡易スパ ム対策機能提供 ■対象メールドメイン LG.JP HYOGO.JP等 ※学校系のサブドメイン は対象外 スパムメール対策 電子メールドメイン毎にスパ ムメール対策機能を提供 サンドボックス機能 添付ファイルのサンドボック ス検査機能を提供 サンドボックス機能 ロギング機能 Log系 提供条件 管理ゾーン情報の維持管理 機能を提供 Proxy機能 Proxy系 概要 分析用LGWAN−FWロ グ一時保存機能 @H29 Hyogo Prefecture Government. http/s‐Proxy機能を提供 カスタマイズ 対応項目 市町管理者 インタフェー ス ・添付ファイル最大サ イズ 有 i‐Filter ver9必須 有 ダウンロードファイルのサン ドボックス検査機能を提供 MTA,Proxyアクセスログ蓄積 機能を提供 有 15 1.(8) 市町向け基本サービス ④基本サービス内容(2/2) ■LGWAN接続系セキュリティアップデート・サーバ サービス 機能 WSUS配信 LGWAN接 続系 セキュrティ アップデート・ サーバ VirusPTN配信 概要 提供条件 Microsoft社が提供する更 新プログラム適用機能 Microsoft Updateサーバよりダウ ンロードした更新プログラムを WSUSサーバ内に保管、配布 インターネット接続環境・LGWAN接続環境 Symantec社、Trend Micro 社のVirus更新パターンファ イルを適用する機能 Symantec社、Trend Microよりダ ウンロードしたパターンファイル をサーバ内に保管、配布 インターネット接続環境・LGWAN接続環境 ■公開サーバ環境 提供サービス サーバ実装形態 市町管理者 インタフェース 提供条件 Webホスティング クラウド共有Webサーバ Webサーバ機能の提供 対応コンテンチは静的HTMLファイルのみ ssh sftp 公開サーバセグメント 市町資産(オンプレミス) ・広報Web ・図書館ライブラリ ・施設予約 ・議会中継 等 割当のグローバルセグメントにサーバを接続して利 用 FWにて必要通信セッションのみ許可 (FW運用はセキュリティクラウド側で対応) オンプレミス実装による @H29 Hyogo Prefecture Government. 16 1.(8) 市町向け基本サービス ⑤WSUS配信 LGWANへのセキュリティパッチ配信は、LGWAN接続系とインターネット接続系を分離して情報を管理 分離されたWSUSサーバ間で情報を受け渡す方法として、中間サーバ(CIFSストレージ)を設置します。 インターネット 1G ベストエフォート 市町 Proxy 市町 Proxy <実現方法> セキュリティクラウド (センター側) ① WSUS(データ収集用)から、市町Proxyを 経由し、マイクロソフト社からデータを収集 兵庫情報ハイウェイ ① 市町配布設備 U T M 市町 Proxy サーバ WSUS (データ収集 用) WSUS CIFS ストレージ ② (データ配信 用) ③ 市町配布サーバ セキュリティクラウド網 ④ ② 運用管理者がWSUS(データ収集用)から更新プロ グラムをエクスポートし、CIFSストレージに格納 ③ 運用管理者がWSUS(データ配信用)から、 CIFS ストレージに格納されているデータファイルをイン ポート ④ WSUS (データ配信用)が、市町LGWAN接続系の 端末へ、配信 LGWAN接続系網 インポート時は②のNICを切断し③のNICに接続 ↓ 媒体渡しの欠点(媒体の紛失、手作業)を改善 サーバ インターネット接続系 @H29 Hyogo Prefecture Government. LGWAN接続系 サーバ 17 1.(8) 市町向け基本サービス ⑥ウイルスパターン更新 LGWANへのVirus更新パターンファイルは、市町様の運用性を考慮して、県側にシマンテック用(Live update administrator)サーバ、 トレンドマイクロ用(Trend Micro Control Maneger)サーバを設置して市町設置 Virus配信サーバ(Sep Maneger ・Corp サーバ)へ配信します。 インターネット ① 市町 Proxy 市町 Proxy セキュリティクラウド (センター側) ・SEP Live update administrator ① インターネット上からパターンファイルを自動 ダウンロード ・Trend Micro Control Maneger 兵庫情報ハイウェイ ③ ② U T M 市町配布設備 市町 Proxy サーバ WSUS (データ収集用) <実現方法> 中間サーバ WSUS ②インターネット接続系 :市町設置 配信サーバへ自動配信 ③LG−WAN接続系 :市町設置 配信サーバへ自動配信 (データ配信用) 市町配布サーバ セキュリティクラウド網 LGWAN接続系網 ・Sep Maneger ・CORPサーバ インターネット接続系 @H29 Hyogo Prefecture Government. LGWAN接続系 ・Sep Maneger ・CORPサーバ 18 1.(9) 統合ログ解析 ①SIEMの導入 兵庫県情報セキュリティクラウド網のサーバーやファイアウォールのログをSIEMで統合管理 デバイス間の跨いだ時系列分析を行い、高度標的型攻撃の早期発見 AD Proxy ウィルス・ スパム対策 IDS/IPS 外部F/W SC接続F/W IDS/IPS SandBox セキュリティクラウド ログ ログ 各市町 ログ収集サーバ 相関分析 SIEM アラート通知 (初報) 高度分析 アラート通知 リアルタイム監視 Tier2 アナリスト @H29 Hyogo Prefecture Government. エスカレーション NTT高度SOC Tier1 アナリスト 分析結果報告 (1時間以内) 市町管理者 19 1.(9) 統合ログ解析 ②SIEMによる相関分析 各機器ごとでは認識できない攻撃でも、横断的な視点により攻撃と判断できる検知が可能 ①複数のデバイスの組み合わせ ②単一のデバイス内の複数のイベントキーの組み合わせからインシデントを分析 高度標的型攻撃の検知例 攻撃の段階 偵察 武器化 デリバリ エクスプロイト インストール C&C 目的の実行 概要 対象組織の 情報を取得 マルウェア等を作 成 なりすましメー ルを送付 マルウェアを実行 させる マルウェアに感染 する C&Cサーバと通 知させ遠隔操作等 探し出した内部情 報を持ち出す ファイアウォール BLOCK BLOCK IPS BLOCK メールサンドボックス BLOCK メールサーバ BLOCK Webサンドボックス 条件① 11:53攻撃検知 Webプロキシ 条件② 11:54不審通信 12:10不審通信 12:15不審通信 AD、OS 相関分析① − 対応 対応 対応 − 相関分析② 対応 対応 対応 対応 対応 ①縦串にイベントを紐づけ、攻撃 成功の可能性が高いと判断され たものをSIEMで警報 @H29 Hyogo Prefecture Government. ②横串にイベントを紐づけ、攻撃 成功の可能性が高いと判断され たものをSIEMで警報 20 1.(9) 統合ログ解析 ③相関分析ルール ロッキード・マーティン社が提唱した、サイバーキルチェーンモデル(段階的に進行するサイバー攻撃モデル)に基 づき、攻撃の段階にあわせて対策装置を導入。 検知ログから統合ログ解析にて早期発見ができるよう、以下の相関分析ルール(一部)で監視 兵庫県における攻撃防御・検知装置例と相関ルール FireEyeEX、FortiSandbox、IMSVAなど マルウェアが添付され、危険度が高いと判定されたが転送され たメールイベント FireEyeNX、FortiSandbox、FortiGate、i-FILTER セキュリティ装置を通過した脆弱性を突いた攻撃の捕捉(攻撃と 推測される通信があるが、影響があるかは要調査) FireEyeNX、FortiSandbox、i-FILTER マルウェア感染により、追加のマルウェアダウンロード FortiGate、FireEyeNX、FortiSandbox、i-FILTER、AD 不審な接続先への定期的なアクセス i-FILTER (不審なアドレスへ、)大きなサイズのファイルアップロード 統合ログ解析で早期発見する攻撃の段階 出典:一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC.「高度サイバー攻撃への対処におけるログの活用と分析方法」1.1版 @H29 Hyogo Prefecture Government. 21 1.(9) 統合ログ解析 ④外部脅威に対するイベントの確認ポイント サイバーキルチェーンモデル、年金機構事例等のセキュリティインシデントの教訓、SIEMに集約されるログ内容等 から監視強化するにあたっての外部脅威に対するイベントの確認ポイントを示す。 分類 1 2 イベントの確認ポイント 防御・検知装置 From フィールドの表示名偽装を手掛り IMSVA 実行ファイルが添付されたメールを手掛り FireEye EX FortiSandbox 組織内から組織外への拒否通信を手掛り 各種Firewall 異なるセグメントに収容された PC 間の不正な通信を手掛り (Firewall) 不審な送信先への通信を抽出 i-FILTER、各種Firewall メールサーバ Firewall CONNECT メソッドで 80、443 以外ポートへの通信を抽出 3 Web プロキシサーバ 標準利用以外の User Agent によるアクセスを抽出 定期的に発生する HTTP 通信を抽出 i-FILTER 業務時間外に発生する HTTP 通信を抽出 大量の HTTP 通信を抽出するログ分析 管理者が通常使用するIPアドレスと異なるIPアドレスからの管理者権限要求 4 認証サーバ 通常の運用では発生しない特殊な操作要求 県AD 出典:一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC.「高度サイバー攻撃への対処におけるログの活用と分析方法」1.1版 @H29 Hyogo Prefecture Government. 22 1.(9) 統合ログ解析 ⑤内部脅威に対するイベントの確認ポイント 重要情報の漏えいは外部の脅威だけでなく、セキュリティポリシに違反した内部のユーザによっても発生する。 SIEMの内部脅威に対するイベントの確認ポイント(一部)を示す。 分類 イベントの確認ポイント 検知装置 フリーアドレス(gmail.com/yahoo.co.jp/など)や、 プライベートアドレスへのメール転送 1 IMSVA メールサーバ 明らかに業務利用されないメールアドレスへの転送 業務時間における違反カテゴリへのアクセス (ギャンブル、掲示板、アダルトなど) 2 Web プロキシサーバ オンラインストレージなど、外部サーバへのデータアップロード i-FILTER ポリシ違反に該当するアプリケーション利用 @H29 Hyogo Prefecture Government. 23 1.(9) 統合ログ解析 ⑥追跡調査事例 SIEMエンジン(RSA Security Analytics)を活用し、膨大なログからデータを絞込み(ドリルダウン)追跡調査 迅速に追跡調査を行うことでインシデントを早期発見・対処 ユーザー(端末)による各種ログの串刺し分析 追跡調査例:C&Cサーバへのコールバック通信が発生 情報漏えいの疑い!? ログ収集/蓄積 Sandbox Proxy Feb 05 10:10:11 callback detect アナリスト調査 ユーザーA マルウェアコールバック通信 Feb 03 15:47:28 allow ユーザーA 不審なURL(ブラックリスト)との通信 Feb 04 13:24:11 allow ユーザーA 30MBのデータアップロード Feb 01 12:20:10 ユーザーA(端末) 根本原因のファイル Feb 01 12:20:08 detect ユーザーA 送信元偽装メール受信 PC ウィルス対策 SIEMエンジン @H29 Hyogo Prefecture Government. プロキシログ 調査 端末ログ調査 メール受信ロ グ調査 同一ユーザー(端末)に よる一連の不審な活動 24 1.(9) 統合ログ解析 ⑦マルチモーダル分析 SIEMに統合されたイベントに加え、様々な情報を組み合わせて新たな情報を導出する分析を行う イベント内容のみでは得られないインシデント管理に必要となる情報を発見・提供 不正URL 不正IPアドレス情報 添付ファイル名やメールタイトル が利用される攻撃キャンペーン情 報を過去・現在進行形の攻撃で同 様の攻撃(手口)がないか調査 メール情報 関連する攻撃キャンペーンやマルウェア情報を調査・ 分析 マルウェアハッシュ値 (ファイルハッシュ値) メールヘッダ情報 メールタイトル 添付ファイル名/形式 添付ファイルハッシュ値 メール内容[抜粋]) MD5、SHA1ハッシュ値 マルウェアハッシュ値から公開され ているマルウェア情報等を調査し、 どのようなマルウェアであるか分析 マルチモーダル 分析 アンチウイルスアラートやFWア ラート、SOCオペレータの分析結 果を他の分析と突合し、分析結果 を高める SOC情報 SOCオペレータ分析結果 アンチウイルスアラート FWアラート 各種イベントアラート マルウェア本体 (ファイル本体) SOCの解析環境を用いて動的解析 外部情報 マルウェア情報、 攻撃キャンペーン情報、 不正URL/不正IP 外部サイトから得られる断片的な脅威情報を他の分析 脅威情報 結果と突合することで情報を高める @H29 Hyogo Prefecture Government. 25 1.(9) 統合ログ解析 ⑧インシデントレベルに応じた対応 情報セキュリティインシデントのレベルによる的確な初動対応を実現 インシデント のレベル 定義 Information(警告) Warning(情報) Critical(重要) Emergency(緊急) • 安全と判断される情報セ キュリティイベント • 放置すれば情報漏えいの可 能性があるインシデント • 重大かつ情報漏えい確定の インシデント • 実害を狙ったが、攻撃の失 敗(端末にて対策済みも含 む)が確認できる場合 • 攻撃が成功した可能性が非 常に高い(定期的な不審な 通信)、あるいはパケット 解析を要する • 明らかに攻撃が成功してお り、端末からの異常な通信、 Webサイトの改ざん等が 確認された場合 • 月次レポートで通知 • メールで通知 • メールと電話で通知 通知方法 @H29 Hyogo Prefecture Government. 件名 :【8】端末所属市町セキュリティアラート通知[#【1】アラート識別番号#] ---------------------------------------------------------兵庫県CSIRT様 件名 :【8】端末所属市町セキュリティアラート通知[#【1】アラート識別番号#] ---------------------------------------------------------兵庫県CSIRT様 お世話になっております。 *セキュリティオペレーションセンターです。 お世話になっております。 *セキュリティオペレーションセンターです。 SIEMにてアラートを検知致しましたのでご報告いたします。 ================================= ■イベント情報 1.イベント名 【2】相関ルールID SIEMにてアラートを検知致しましたのでご報告いたします。 ================================= ■イベント情報 1.イベント名 【2】相関ルールID 2.アラート時刻 【4】検知日時 2.アラート時刻 【4】検知日時 3.インシデント内容 【5】インシデント内容 3.インシデント内容 【5】インシデント内容 4.接続先情報 接続先URL:【6】接続先URL ※http→hxxpに置換しております。 ※FQDNの.を●に置換しております。 4.接続先情報 接続先URL:【6】接続先URL ※http→hxxpに置換しております。 ※FQDNの.を●に置換しております。 ■対象情報 対象市町:【8】端末所属市町 IPアドレス:【7】端末IP ■対象情報 対象市町:【8】端末所属市町 IPアドレス:【7】端末IP ◆分析結果 1.初動対応案 【9】初動対応案 ================================= ◆分析結果 1.初動対応案 【9】初動対応案 ================================= 26 2.兵庫県システムの強靱性向上対策 @H29 Hyogo Prefecture Government. 27 2. (1)兵庫県システムのネットワーク分離構成 個人番号利用事務系 福祉 税 インターネット接続系 LGWAN接続系 インターネット ・・・ ファイルサーバ 物理端末認証 RSA SecurID ファイル無害化 Votiro SDS 共通PC SBC/XRDP接続 VDI接続 兵庫県情報セ キュリティクラ ウド ファイル無害化 Votiro Update 専用端末等 RSA認証 RSAサーバ 仮想端末認証 PassLogic ファイルサーバ 仮想デスクトップ (VDI) ファイル無害化 Votiro FlowServer Windows Server SBC Linux XRDP AD認証 ADサーバ等 AD認証 仮想端末用サーバ (XenDesktop) ストレージ (NetApp) @H29 Hyogo Prefecture Government. AD認証 ADサーバ等 仮想端末用サーバ (XenApp) 仮想端末用サーバ (XRDP) ADサーバ等 ストレージ (NetApp) 28 2. (2)仮想デスクトップの導入 個人番号利用事務 インターネット利用 ①用途に応じて複数種類を導入 → VDI → SBCとXRDP(分離の負荷分散、バックアップ機能を実現するため) インターネット接続系 LGWAN接続系 インターネット FW 兵庫県セキュリ ティクラウド 職員A (共通PC利用) 仮想デスクトップ環境 仮想デスクトップの比較 比較項目 サーバ台数 CPU性能 搭載メモリ ローカルディスク/プロファイル容量 想定ユーザー数 仮想化ソフトウェア 仮想マシンのOS 仮想マシンのアプリ オフィス ブラウザ @H29 Hyogo Prefecture Government. VDI SBC XRDP UCS(ブレード) 12+1台 UCS(ブレード) 25+1台 Dell PowerEdge 10台 2.3MHz(18Core×2) 2.3MHz(18Core×2) 448GB 256GB 300G(SAS)×2 300G(SAS)×2 /7500GB /9000GB 1,500人 6,000人 Citrix XenDesktop Citrix XenApp Windows 2012R2 Microsoft Office Internet Explorer 2.3MHz(18Core×2) 256GB 800G(SSD)×4(Raid5) 2,000人 XRDP、Docker 1.12.1 CentOS 7.2 Libre Office 4.3.7.2 Firefox 45.5.1 29 2. (2)仮想デスクトップの導入 ②VDIの利用(共通PCから) 共通PCから個人番号利用事務系のシステムを起動する際には、VDI にログインする必要あり PassLogicを利用したワンタイムパスワード認証とADのユーザ認証を行うことで二要素認証を実現 二要素認証 個人番号利用事務系 LGWAN接続系 ワンタイムパスワード ②ワンタイムパス ワード認証 画面イメージ ③ADによるユーザ (PW)認証 ④仮想端末にログイン ロードバランサ ①AD及びICカー ドで認証 PassLogic GWサーバ 仮想端末用サーバ (XenDesktop) PassLogic認証サーバ 個人番号利用事務系 ドメインコントローラ 共通PC LGWAN接続系 ドメインコントローラ ユーザ情報連携 @H29 Hyogo Prefecture Government. 30 2. (2)仮想デスクトップの導入 ③VDIの利用(専用端末から) 所属導入の専用端末から個人番号利用事務系のシステムを起動する際には、 RSA SecurIDを利用したワンタイムパスワード認証とADのユーザ認証を行うことで二要素認証を実現 二要素認証 個人番号利用事務系 (1) ワンタイムパスワード認証 (2) ADによるユーザ・PW認証 専用端末を利用する 職員にトークンを配布 SecurID 専用端末 ①IDとトークン コードを入力 ②ADで ユーザIDを参照 個人番号利用事務系 ドメインコントローラ SecurID認証サーバ ③入札されたトークンコード と、サーバ側で計算したトー クンコードを比較して判定 @H29 Hyogo Prefecture Government. 31 2. (2)仮想デスクトップの導入 ④SBCの利用(共通PCから) 共通PCから直接インターネットの閲覧の禁止 → インターネット接続環境を経由して閲覧 ADと連携し、シングルサインオン ※庁内システム(総務事務、文書管理、財務会計、人事給与、CMS等)は、 これまでどおり職員のPCのデスクトップからブラウザ経由で利用 @H29 Hyogo Prefecture Government. 32 2. (2)仮想デスクトップの導入 ⑤XRDPの利用 XRDPは、仮想基盤からアプリケーションまですべてOSSで構築し(低コストで安定したシステム) 機能、操作性において可能な限りユーザーの馴染みがあるWindowsに似せるようカスタマイズ XRDPのデスクトップ アプリケーションを アイコンで配置 XRDPの機能一覧 機能 WEB閲覧 WEBメールの利用 Microsoft Office相当 の アプリケーショ ファイル圧縮・解凍 印刷 無害化ソフト 備考 動画、音声も対応 受信専用 Microsoft Officeと 互換性あり Zip対応 共通プリンタに出力可 Votiroを利用 Votiroによる無害化 ADと連携し、シングルサインオンを実現 Dockerコンテナを利用した冗長構成 スタートメニューを画 面左下に表示 @H29 Hyogo Prefecture Government. 33 2. (2)仮想デスクトップの導入 ⑥SBCとXRDPの運用状況 障害時の補完 普段はSBCを利用し、障害時にはXRDPに切り替えることで事務が停止しない @H29 Hyogo Prefecture Government. 34 2. (3) ファイル無害化 ①Votiro SDSの導入 インターネットからダウンロードしたファイル及びメールの添付ファイルをIN用の個人フォルダに保存 SDS Stationで無害化した後で、OUT用の個人フォルダに保存 ウイルス感染などのリスクを未然に防止 インターネット接続系 LGWAN接続系 Votiro-OUT Votiro-IN 無害化済 ファイル A File インターネット 個人フォルダ 個人フォルダ 個人フォルダ 個人フォルダ B File File A 無害化前 ファイル C ・・・ B File LGWAN 接続系 ファイルサーバ File C File インターネット 接続系 ファイルサーバ 無害化処理 ③ ② ・・・ 兵庫県情報セキュ リティクラウド Votiro Update Server ④ ⑤ FW Mail 職員A (共通PC利用) Votiro FlowServer Web Votiro SDS Station SBC @H29 Hyogo Prefecture Government. 35 2. (3)ファイル無害化 ②Votiro SDSへの取込み手順 SBCとVotiroによる取り込み手順 → @H29 Hyogo Prefecture Government. 処理状況が分かるように取り込み用のアプリを作成 36 2. (3)ファイル無害化 ③インターネットメールの添付ファイルの確認 インターネット受信メールの添付ファイルは直接確認を禁止 → SBC、XRDPを経由してWebmailで確認 Webmail (OSSのSquirrelMailを改造) @H29 Hyogo Prefecture Government. 37 2. (3)ファイル無害化 ④Votiro SDSの利用状況 利用人数は1200人程度(全体の1割)→利用者数の低減による負荷分散 インターネットメールの添付ファイルをSBCの中のみでチェックする傾向 インターネットからのダウンロードも多くない(特定プロキシの効果もあり) 強靱化に一定の効果があったが、処理時間に問題がある。 日付 利用職員数 処理件数 計 0∼3分 ∼5分 ∼10分 10分以上 3月2日 3月3日 3月6日 3月7日 3月8日 3月9日 3月10日 3月13日 3月14日 3月15日 3月16日 1,309 1,066 1,307 1,393 1,269 1,322 1,252 1,267 1,331 1,261 1,180 5,068 4,090 5,265 5,712 5,095 4,801 4,847 6,242 5,245 5,711 4,019 4,378 3,475 4,683 5,147 4,283 4,728 4,516 4,601 5,131 5,121 3,734 433 299 372 253 241 66 289 587 111 420 146 248 94 210 195 213 6 41 498 2 96 108 9 222 0 117 358 1 1 556 1 74 31 3月17日 1,113 4,219 4,128 89 0 2 1200人程度の利用に抑制 MTAで利用した場合は全員が対象 @H29 Hyogo Prefecture Government. 遅延事例も多発 →利用者の不満 38 2. (3)ファイル無害化 ⑤Votiro SDSの問題点 運用上で次の問題点が判明 平均処理時間は3分程度とやや遅い。 無害化の途中でハングした場合、後続のファイルの無害化も停止する → 1時間以上の停止が複数件発生 件数 時間 製品スペック及びサイジング上の問題点が発覚→改善を検討 @H29 Hyogo Prefecture Government. 39 2. (3)ファイル無害化 ⑥Votiro SDSの改善検討 案1、2 1つのフォルダを複数のSDSソフトで無害化(2は開始ファイルをずらす) 案3、4 複数のフォルダを複数のSDSソフトで個々に無害化 (4は1台のみ共有) 構成案1、2 構成案3、4 【 フォルダ構成数「1」 】 ※SDS1のみ4Core ※SDS1のみ4Core SDS1 【 フォルダ構成数「4」 】 SDS2 SDS3 SDS4 SDS3 SDS4 ・ ・ ・ ・ ・ ・ @H29 Hyogo Prefecture Government. SDS2 ・ ・ ・ → 案2は開始ファイルをずらす ・ ・ ・ ・ ・ ・ 長所:1台でも正常であれば運転可能 短所:毎回同じフォルダから処理開始さ れるため後尾のフォルダが遅くなる。 SDS1 長所:各SDSの受持数が少ないため、処理が速い。 短所:1台故障すれば25%の職員が影響を受ける。 → 案4は一台のみ共有 40 2. (3)ファイル無害化 ⑦Votiro SDSの実証実験と改善方針の決定 処理ファイル数:300ファイル/分を15分間→75ファイル/分を105分間稼働で実験 ‒はロック数 結果、案1を採用して改善予定 (H29年3月中) 案1 【SDSごとに開始フォルダをずらしスキャン】 SDS4 SDS 3 SDS4 SDS 1 SDS2 1:36:00 1:36:00 1:24:00 1:24:00 1:12:00 1:12:00 1:00:00 1:00:00 0:48:00 0:48:00 0:36:00 0:36:00 0:24:00 0:24:00 0:12:00 0:12:00 0:00:00 0:00:00 サニタイズ(平均) @H29 Hyogo Prefecture Government. スキャン(平均) サニタイズ(最大) SDS3 SDS4 ・・ ・ SDS2 ・ ・ ・ 案1が理論的に最速 SDS3 ・・ ・ ・ ・ ・ 案1は案2より最大 処理時間が短い。 SDS2 ・ ・ ・ SDS1 案4 【SDSごとに担当フォルダを分割し、1台のみ共有】 ・ ・・ SDS4 ・ ・ ・ SDS3 SDS 1 ・ ・ ・ SDS2 案3 【SDSごとに担当フォルダを分割】 ・ ・ ・ SDS1 案2 【全てのSDSが同じ開始フォルダからスキャン】 案3、4は最大処 理時間が長い。 スキャン(最大) 41 2. (4)Web閲覧の制御 ①プロキシ構成 複数のProxy導入によりWeb閲覧の負荷分散、安定稼働を実現 インターネット DMZ XRDP Proxy SBC Proxy (2台) (5台) 特定サイト 特定Proxy(2台) 通信可 通信不可 公開Web LGWAN接続系 インターネット接続系 LGWANWeb Proxy.pac SBC XRDP プロキシ指定 @H29 Hyogo Prefecture Government. WinHTTP プロキシ 内部Web 42 2. (4)Web閲覧の制御 ②特定プロキシについて 認証サイトや国・自治体系の特定サイトは特定プロキシを介してLGWAN接続系からアクセス可能 LGWAN接続系 特定通信用プロキシの対象例 区分 対象サイトの例 1 認証局系 Verisign,Symantec,LGPKI 等 2 Office365 Microsoft,PC起動時に通信するURL 等 3 ライセンス系 Adobe,java,一太郎,Autodesk 等 アップデート系 Windows Update, TrendMicro,Symantec,Mcafee,F-Secure, Kaspersky,Canon ESET等 5 業務アプリ Firefox,Chrome,Mac,Skype for Business, Google Earth,Google Map,証明書導入、 VPN接続アプリ 等 6 国、地方自治体 *.go.jp, *.lg.jp, *.hyogo.jp 等 7 県業務関係 県と県関係公社等が運用管理するサイト (県がセキュリティチェック実施済) 8 その他 システム稼動で必要なもの 等 4 @H29 Hyogo Prefecture Government. ・強靱化済(予定) ・国等の資料のダウン ロード需要が多い。 43 3. 全体スケジュール ・兵庫県は全国に先駆けてセキュリティクラウドシステムを構築し、平成28年10月にメールシステムを移行 ・市町についても順次移行し、6月末には移行完了予定 ・平成29年2月には県インターネット閲覧方法の変更が完了 平成28年度 スケジュール セキュリティクラウド 1Q ▲ 公告 全 体 セキュリティ 強靭化対策 2Q ▲ 業者決定 ▲ 公告 ▲ 構築開始 ▲ ▲ 業者決定 構築開始 平成29年度 3Q 4Q 1Q 2Q ▲SOC運用開始 ▲10/8 サービス開始 ▲ 構築完了 ▲2/16 NW分離完了 設計/構築/試験 セキュリティ クラウド メールシステム移行 (県庁) システム順次移行 各市町ごとに順次移行 市町移行(順次) 県システム の強靭化対 策 設計/構築/試験 NW分離 @H29 Hyogo Prefecture Government. 44