...

関連資料(兵庫県情報セキュリティクラウドの運用開始)(PDF:435KB)

by user

on
Category: Documents
221

views

Report

Comments

Transcript

関連資料(兵庫県情報セキュリティクラウドの運用開始)(PDF:435KB)
兵庫県情報セキュリティクラウドと
県システムの強靭性向上対策
平成29年3月24日
兵庫県電子自治体推進協議会
第4回電子自治体推進セミナー
兵庫県情報企画課システム管理室 津川誠司
@H29 Hyogo Prefecture Government.
目次
1.兵庫県セキュリティクラウド
(1)総務省の自治体情報強靭性向上モデル
(2)兵庫県セキュリティクラウドの全体構成図
(3)安定運用と災害時の事業継続性の確保
(4)コスト削減と安定運用の確保
(5)対策概要
(6)標的型攻撃対策の徹底
(7)安全なメール受配信システム
(8)市町向け基本サービス
(9)統合ログ解析
2.兵庫県システムの強靭性向上対策
(1)兵庫県システムのネットワーク分離構成
(2)仮想デスクトップの導入
(3)ファイル無害化
(4) Web閲覧の制御
3.全体スケジュール
@H29 Hyogo Prefecture Government.
2
1.兵庫県情報セキュリティクラウド
@H29 Hyogo Prefecture Government.
3
1.(1)総務省の自治体情報強靭性向上モデル
抜本的な対策として、自治体システムの強靭性の向上及び情報セキュリティクラウドの共同利用を推進
自治体情報セキュリティ
クラウド
国等
各市町
LGWAN網
住基ネット
自治体情報システム
強靭性向上モデル(県と市町)
人事
給与
税
メール
サー
バ
IPS/IDS
団体宛名
統合
既存
住基
高度な
セキュリティ対策
庶務
事務
文書
管理
社会
保障
財務
会計
LG
WAN
メール
掲示
板等
ふるまい検知等
We
b
サー
バ
プロキ
シ
サー
バ
●高度なセキュリティ対策
情
報
ハ
イ
ウ
ェ
イ
個人番号利用事務系
LGWAN接続系
インターネット接続系
個人番号利用事務系
LGWAN接続系
インターネット接続系
情報
収集
個人番号利用事務系
●端末からの情報持
ち出し不可設定
LGWAN接続系
●強力なアクセス制御
(二要素認証)
@H29 Hyogo Prefecture Government.
インターネット
メール
ホームページ
作成
●ファイル/メール無害化
インターネット接続系
4
1.(2) 兵庫県情報クラウドの全体構成図
@H29 Hyogo Prefecture Government.
5
1.(3) 安定運用と災害時の事業継続性の確保
複数のデータセンタに主要機器を分散配置し、安定したサービスの提供と災害時の事業継続性を確保
Internet
ISPの分散
データセンタの分散
ISPの分散
兵庫県庁
NTT神戸データセンタ
IIJ大阪データセンタ
代表MTA
代表MTA
県プロキシ(URLフィルタ)
市町プロキシ(URLフィルタ)
代表MTA
機器の
冗長/分散
県プロキシ(URLフィルタ)
市町プロキシ(URLフィルタ)
県スパムメール対策
市町スパムメール対策
県スパムメール対策
市町スパムメール対策
メール用サンドボックス
県Web用サンドボックス
市町Web用サンドボックス
通信ルートの分散
負荷分散装置(Netwiser)
@H29 Hyogo Prefecture Government.
メール用サンドボックス
兵庫情報ハイウェイ
各市町
6
1.(4)コスト削減と安定運用の確保
FlexPod
 FlexPodの導入
標準化された機器構成と検証実績により
高品質なシステムを短期間で導入可能
物理サーバ
UCS-B/C
UCS Manager
統合ネットワーク
Nexus
NetApp
統合ストレージ
FASシリーズ
 KVM、オープンソースの採用
効率的なリソース活用とライセンス費用等の
低減を実現
兵庫情報ハイウェイ
浜坂
浜坂
豊岡
豊岡
村岡
村岡
八鹿
八鹿
支線化
和田山
和田山
柏原
柏原
篠山
篠山
 兵庫情報ハイウェイの利用
佐用
佐用
山崎
山崎
西脇
西脇
上郡
上郡
福崎
龍野姫路
龍野
姫路
三田
三木
三木
加古川
高速で安定したネットワーク環境を
低コストで提供可能
三田
社
社
福崎
加古川
明石
明石
宝塚
宝塚
西宮
神戸
神戸
西神戸
西神戸
伊丹
伊丹
尼崎
西宮 尼崎
洲本
洲本
基幹網
支線網
アクセスポイント
@H29 Hyogo Prefecture Government.
7
1.(5) 対策概要
①インターネット接続の集約、高度監視運用等
総務省から提示された、実施すべき内容を踏まえた対策の実施
(1)FW(IDS/IPS)
インターネットの入口・出口の基本的な対策
(2)サンドボックス(メール、Web)
未知のマルウェア・脆弱性攻撃等を検知・防御
(3)ウイルスチェック、スパムメール対策
既知マルウェア対策、不要なメールを遮断
(4)プロキシ(URLフィルタリング)
不要なWEBサイト閲覧への対策
(5)ログ分析システム
専門アナリスト・SIEMによる高度セキュリティ監視
■高度監視運用(ログ分析)
①メール(ウイルスチェック、スパムメール対策、MTA)
②プロキシ(URLフィルタリング)
③FW(IDS/IPS)
④サンドボックス(メール、Web)
@H29 Hyogo Prefecture Government.
サーバ、FW、セキュリティ
機器の監視・ログ分析
多層防御による高度セキ⑃リテ␽対策の実現
■インターネット接続(メール、Web)の集約/入口・出口対策
8
1.(5) 対策概要
通信区分
②実施項目
セキュリティ対策項目
ウイルスチェック
メール受信
(SMTP)
スパムメール対策
県
・代表MTA
(IMSVA: InterScan Messaging Security
Virtual Appliance)
・代表MTA
(IMSVA: InterScan Messaging Security
Virtual Appliance)
・スパムメール対策装置
(MatrixScan APEXⅢ)
市
町
・代表MTA
(IMSVA: InterScan Messaging Security
Virtual Appliance)
・代表MTA
(IMSVA: InterScan Messaging Security
Virtual Appliance)
・スパムメール対策装置
(MatrixScan APEXⅢ)
■ユーザ権限運用
県職員によるポリシー運用(AD連携)
■管理者権限運用(基本)
市町管理者によるポリシー運用(AD連
携)
HTMLメール振舞検知
添付ファイル振舞検知
メール用サンドボックス
(FierEye-EX5400)
メール用サンドボックス
(FierEye-EX5400)
DLファイル振舞検知
Web用サンドボックス
(FierEye-NX7400)
Web用サンドボックス
(FortiSandbox 3000D)
+FortiGate UTM フルバンドル版
URLフィルタリング
SSLコンテンツフィル
タリング
県Proxy (i-filter)
市町配布設備
■管理者権限運用
Local-Proxy (i-filter)
Webコンテンツ改竄検知
Web改ざん検知
Web閲覧
(HTTP/S)
Web公開
(HTTP/S)
実 施 内 容
@H29 Hyogo Prefecture Government.
導入運用
Web改ざん検知
9
1.(6) 標的型攻撃対策の徹底
①Web閲覧対策(プロキシ等)
市町Proxy負荷分散装置で安定した通信を提供し、市町ProxyサーバとUTMにより強固なセキュリティ環境を実現
Internet
IIJ大阪データセンタ
ISP-2
NTT神戸データセンタ
ISP-5
ISP-6
ISP-4
ISP-3
市町サンドボックス
FortiSandbox
各ISPへ負荷分散
SandBox連携
各市町
市町Proxy負荷分散装置
Netwiser
兵庫情報ハイウェイ
@H29 Hyogo Prefecture Government.
市町UTM
(ウイルス対策)
FortiGate
市町Proxyサーバ
(URLフィルタ)
i-Filter
10
1.(6) 標的型攻撃対策の徹底
②UTMとサンドボックスによる検査
FortiGate(+UTM)とFortiSandboxにより不審コンテンツを検疫
(1) FortiGate(+UTM)によるNW検査
インターネット
■既知のウイルスを検知
アラート画面を表示しダウンロードを
停止する。
(2)FortiSandboxによるファイル検査
■未知のウイルスを検出
» FortiGateで不審なコンテンツを発見す
ると、 FortiSandboxへコピーを送信
» FortiSandboxでウイルスと判定した場
合、各管理者へアラートを配信
» 1つのFortiSandboxで、複数の市町の
FortiGateと連携が可能
FortiSandbox
不審
コンテンツ
緊急シグネチャ
通常シグネチャ
情報ハイウェイ
FortiGate
市町A
@H29 Hyogo Prefecture Government.
FortiManager
FortiGate
市町B
FortiGate
市町C
11
1.(6) 標的型攻撃対策の徹底
③メール対策
メールチェック用Sandbox
Internet
兵庫県庁
FW、IPSによるNWセキュリティ対策
代表MTA
IMSVA
・ウイルス対策
・簡易Email Reputation
・第三者不正中継対策
・セキュリティ制限
・ドメイン名の書き換え
(@pref.hyogo.jp→ @pref.hyogo.lg.jp
マルウェア・スパム対策
Matrixscan
・個別ホワイトリスト(市町毎に設定)
・スパムメール対策
メール中継 SandBox
・振る舞い検知(FierEye-EX5400)
メール中継
MTA
@H29 Hyogo Prefecture Government.
・県、市町とのメール中継サービス
12
1.(7) 安全なメール受配信システム
・各データセンタへの主要機器の分散配置及び複数メールルートの確保により、安定したメールサービスを提供
・市町の規模により2つにグループ化し負荷分散
IIJ大阪データセンタ
兵庫県庁
代表MTA
代表MTA
IMSVA
スパムメール対策(市町)
Matrixscan
メール中継
MTA
@H29 Hyogo Prefecture Government.
IMSVA
スパムメール対策(県)
NTT神戸データセンタ
代表MTA
市町
IMSVA
スパムメール対策(県,市町)
Matrixscan
Matrixscan
メール中継 SandBox
メール中継 SandBox
メール中継
メール中継
MTA
県
MTA
13
1.(8) 市町向け基本サービス
①接続構成
市町ごとにUTM、サーバ等の機器を設置することで個別ポリシーの設定を可能
Internet
兵庫県情報セキュリティクラウド
兵庫情報ハイウェイ
公開DMZセグメント
市町配布設備
市町仮想サーバ
③
Proxy
市町
UTM
③
④
Log
WSUS
VirusPtn
URLフィルタ
⑤
⑥
公開Web
LGWANセグメント
その他公開サーバ
内部管理セグメント
内部メールBOX
公開WebCMSサーバ
@H29 Hyogo Prefecture Government.
14
1.(8) 市町向け基本サービス
③基本サービス内容(1/2)
■基本サービス
区 分
基 本 サ ー ビ ス
DNS系
電子メール系
※MTA、Proxy、ログ機能は、市町の他、県側にも用意
機 能
ネームサーバ機能
■対象ドメイン
.LG.JPドメイン
HYOGO.JPドメイン
MTA機能
インターネットとの電子メー
ルの送受信機能と簡易スパ
ム対策機能提供
■対象メールドメイン
LG.JP HYOGO.JP等
※学校系のサブドメイン
は対象外
スパムメール対策
電子メールドメイン毎にスパ
ムメール対策機能を提供
サンドボックス機能
添付ファイルのサンドボック
ス検査機能を提供
サンドボックス機能
ロギング機能
Log系
提供条件
管理ゾーン情報の維持管理
機能を提供
Proxy機能
Proxy系
概要
分析用LGWAN−FWロ
グ一時保存機能
@H29 Hyogo Prefecture Government.
http/s‐Proxy機能を提供
カスタマイズ
対応項目
市町管理者
インタフェー
ス
・添付ファイル最大サ
イズ
有
i‐Filter ver9必須
有
ダウンロードファイルのサン
ドボックス検査機能を提供
MTA,Proxyアクセスログ蓄積
機能を提供
有
15
1.(8) 市町向け基本サービス
④基本サービス内容(2/2)
■LGWAN接続系セキュリティアップデート・サーバ
サービス
機能
WSUS配信
LGWAN接
続系
セキュrティ
アップデート・
サーバ
VirusPTN配信
概要
提供条件
Microsoft社が提供する更
新プログラム適用機能
Microsoft Updateサーバよりダウ
ンロードした更新プログラムを
WSUSサーバ内に保管、配布
インターネット接続環境・LGWAN接続環境
Symantec社、Trend Micro
社のVirus更新パターンファ
イルを適用する機能
Symantec社、Trend Microよりダ
ウンロードしたパターンファイル
をサーバ内に保管、配布
インターネット接続環境・LGWAN接続環境
■公開サーバ環境
提供サービス
サーバ実装形態
市町管理者
インタフェース
提供条件
Webホスティング
クラウド共有Webサーバ
Webサーバ機能の提供
対応コンテンチは静的HTMLファイルのみ
ssh
sftp
公開サーバセグメント
市町資産(オンプレミス)
・広報Web
・図書館ライブラリ
・施設予約
・議会中継 等
割当のグローバルセグメントにサーバを接続して利
用
FWにて必要通信セッションのみ許可
(FW運用はセキュリティクラウド側で対応)
オンプレミス実装による
@H29 Hyogo Prefecture Government.
16
1.(8) 市町向け基本サービス
⑤WSUS配信
LGWANへのセキュリティパッチ配信は、LGWAN接続系とインターネット接続系を分離して情報を管理
分離されたWSUSサーバ間で情報を受け渡す方法として、中間サーバ(CIFSストレージ)を設置します。
インターネット
1G
ベストエフォート
市町
Proxy
市町
Proxy
<実現方法>
セキュリティクラウド
(センター側)
① WSUS(データ収集用)から、市町Proxyを
経由し、マイクロソフト社からデータを収集
兵庫情報ハイウェイ
①
市町配布設備
U
T
M
市町
Proxy
サーバ
WSUS
(データ収集
用)
WSUS
CIFS
ストレージ
②
(データ配信
用)
③
市町配布サーバ
セキュリティクラウド網
④
② 運用管理者がWSUS(データ収集用)から更新プロ
グラムをエクスポートし、CIFSストレージに格納
③ 運用管理者がWSUS(データ配信用)から、 CIFS
ストレージに格納されているデータファイルをイン
ポート
④ WSUS (データ配信用)が、市町LGWAN接続系の
端末へ、配信
LGWAN接続系網
インポート時は②のNICを切断し③のNICに接続
↓
媒体渡しの欠点(媒体の紛失、手作業)を改善
サーバ
インターネット接続系
@H29 Hyogo Prefecture Government.
LGWAN接続系
サーバ
17
1.(8) 市町向け基本サービス
⑥ウイルスパターン更新
LGWANへのVirus更新パターンファイルは、市町様の運用性を考慮して、県側にシマンテック用(Live update
administrator)サーバ、 トレンドマイクロ用(Trend Micro Control Maneger)サーバを設置して市町設置
Virus配信サーバ(Sep Maneger ・Corp サーバ)へ配信します。
インターネット
①
市町
Proxy
市町
Proxy
セキュリティクラウド
(センター側)
・SEP Live update administrator ① インターネット上からパターンファイルを自動
ダウンロード
・Trend Micro Control Maneger
兵庫情報ハイウェイ
③
②
U
T
M
市町配布設備
市町
Proxy
サーバ
WSUS
(データ収集用)
<実現方法>
中間サーバ
WSUS
②インターネット接続系
:市町設置 配信サーバへ自動配信
③LG−WAN接続系
:市町設置 配信サーバへ自動配信
(データ配信用)
市町配布サーバ
セキュリティクラウド網
LGWAN接続系網
・Sep Maneger
・CORPサーバ
インターネット接続系
@H29 Hyogo Prefecture Government.
LGWAN接続系
・Sep Maneger
・CORPサーバ
18
1.(9) 統合ログ解析
①SIEMの導入
兵庫県情報セキュリティクラウド網のサーバーやファイアウォールのログをSIEMで統合管理
デバイス間の跨いだ時系列分析を行い、高度標的型攻撃の早期発見
AD
Proxy
ウィルス・
スパム対策
IDS/IPS
外部F/W
SC接続F/W
IDS/IPS
SandBox
セキュリティクラウド
ログ
ログ
各市町
ログ収集サーバ
相関分析
SIEM
アラート通知
(初報)
高度分析
アラート通知
リアルタイム監視
Tier2
アナリスト
@H29 Hyogo Prefecture Government.
エスカレーション
NTT高度SOC
Tier1
アナリスト
分析結果報告
(1時間以内)
市町管理者
19
1.(9) 統合ログ解析
②SIEMによる相関分析
各機器ごとでは認識できない攻撃でも、横断的な視点により攻撃と判断できる検知が可能
①複数のデバイスの組み合わせ ②単一のデバイス内の複数のイベントキーの組み合わせからインシデントを分析
高度標的型攻撃の検知例
攻撃の段階
偵察
武器化
デリバリ
エクスプロイト
インストール
C&C
目的の実行
概要
対象組織の
情報を取得
マルウェア等を作
成
なりすましメー
ルを送付
マルウェアを実行
させる
マルウェアに感染
する
C&Cサーバと通
知させ遠隔操作等
探し出した内部情
報を持ち出す
ファイアウォール
BLOCK
BLOCK
IPS
BLOCK
メールサンドボックス
BLOCK
メールサーバ
BLOCK
Webサンドボックス
条件①
11:53攻撃検知
Webプロキシ
条件②
11:54不審通信
12:10不審通信
12:15不審通信
AD、OS
相関分析①
−
対応
対応
対応
−
相関分析②
対応
対応
対応
対応
対応
①縦串にイベントを紐づけ、攻撃
成功の可能性が高いと判断され
たものをSIEMで警報
@H29 Hyogo Prefecture Government.
②横串にイベントを紐づけ、攻撃
成功の可能性が高いと判断され
たものをSIEMで警報
20
1.(9) 統合ログ解析
③相関分析ルール
ロッキード・マーティン社が提唱した、サイバーキルチェーンモデル(段階的に進行するサイバー攻撃モデル)に基
づき、攻撃の段階にあわせて対策装置を導入。
検知ログから統合ログ解析にて早期発見ができるよう、以下の相関分析ルール(一部)で監視
兵庫県における攻撃防御・検知装置例と相関ルール
FireEyeEX、FortiSandbox、IMSVAなど
マルウェアが添付され、危険度が高いと判定されたが転送され
たメールイベント
FireEyeNX、FortiSandbox、FortiGate、i-FILTER
セキュリティ装置を通過した脆弱性を突いた攻撃の捕捉(攻撃と
推測される通信があるが、影響があるかは要調査)
FireEyeNX、FortiSandbox、i-FILTER
マルウェア感染により、追加のマルウェアダウンロード
FortiGate、FireEyeNX、FortiSandbox、i-FILTER、AD
不審な接続先への定期的なアクセス
i-FILTER
(不審なアドレスへ、)大きなサイズのファイルアップロード
統合ログ解析で早期発見する攻撃の段階
出典:一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC.「高度サイバー攻撃への対処におけるログの活用と分析方法」1.1版
@H29 Hyogo Prefecture Government.
21
1.(9) 統合ログ解析
④外部脅威に対するイベントの確認ポイント
サイバーキルチェーンモデル、年金機構事例等のセキュリティインシデントの教訓、SIEMに集約されるログ内容等
から監視強化するにあたっての外部脅威に対するイベントの確認ポイントを示す。
分類
1
2
イベントの確認ポイント
防御・検知装置
From フィールドの表示名偽装を手掛り
IMSVA
実行ファイルが添付されたメールを手掛り
FireEye EX
FortiSandbox
組織内から組織外への拒否通信を手掛り
各種Firewall
異なるセグメントに収容された PC 間の不正な通信を手掛り
(Firewall)
不審な送信先への通信を抽出
i-FILTER、各種Firewall
メールサーバ
Firewall
CONNECT メソッドで 80、443 以外ポートへの通信を抽出
3
Web プロキシサーバ
標準利用以外の User Agent によるアクセスを抽出
定期的に発生する HTTP 通信を抽出
i-FILTER
業務時間外に発生する HTTP 通信を抽出
大量の HTTP 通信を抽出するログ分析
管理者が通常使用するIPアドレスと異なるIPアドレスからの管理者権限要求
4
認証サーバ
通常の運用では発生しない特殊な操作要求
県AD
出典:一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC.「高度サイバー攻撃への対処におけるログの活用と分析方法」1.1版
@H29 Hyogo Prefecture Government.
22
1.(9) 統合ログ解析
⑤内部脅威に対するイベントの確認ポイント
重要情報の漏えいは外部の脅威だけでなく、セキュリティポリシに違反した内部のユーザによっても発生する。
SIEMの内部脅威に対するイベントの確認ポイント(一部)を示す。
分類
イベントの確認ポイント
検知装置
フリーアドレス(gmail.com/yahoo.co.jp/など)や、
プライベートアドレスへのメール転送
1
IMSVA
メールサーバ
明らかに業務利用されないメールアドレスへの転送
業務時間における違反カテゴリへのアクセス
(ギャンブル、掲示板、アダルトなど)
2
Web プロキシサーバ
オンラインストレージなど、外部サーバへのデータアップロード
i-FILTER
ポリシ違反に該当するアプリケーション利用
@H29 Hyogo Prefecture Government.
23
1.(9) 統合ログ解析
⑥追跡調査事例
SIEMエンジン(RSA Security Analytics)を活用し、膨大なログからデータを絞込み(ドリルダウン)追跡調査
迅速に追跡調査を行うことでインシデントを早期発見・対処
ユーザー(端末)による各種ログの串刺し分析
追跡調査例:C&Cサーバへのコールバック通信が発生
情報漏えいの疑い!?
ログ収集/蓄積
Sandbox
Proxy
Feb 05 10:10:11
callback detect
アナリスト調査
ユーザーA
マルウェアコールバック通信
Feb 03 15:47:28
allow
ユーザーA
不審なURL(ブラックリスト)との通信
Feb 04 13:24:11
allow
ユーザーA
30MBのデータアップロード
Feb 01 12:20:10
ユーザーA(端末)
根本原因のファイル
Feb 01 12:20:08
detect
ユーザーA
送信元偽装メール受信
PC
ウィルス対策
SIEMエンジン
@H29 Hyogo Prefecture Government.
プロキシログ
調査
端末ログ調査
メール受信ロ
グ調査
同一ユーザー(端末)に
よる一連の不審な活動
24
1.(9) 統合ログ解析
⑦マルチモーダル分析
SIEMに統合されたイベントに加え、様々な情報を組み合わせて新たな情報を導出する分析を行う
イベント内容のみでは得られないインシデント管理に必要となる情報を発見・提供
不正URL
不正IPアドレス情報
添付ファイル名やメールタイトル
が利用される攻撃キャンペーン情
報を過去・現在進行形の攻撃で同
様の攻撃(手口)がないか調査
メール情報
関連する攻撃キャンペーンやマルウェア情報を調査・
分析
マルウェアハッシュ値
(ファイルハッシュ値)
メールヘッダ情報
メールタイトル
添付ファイル名/形式
添付ファイルハッシュ値
メール内容[抜粋])
MD5、SHA1ハッシュ値
マルウェアハッシュ値から公開され
ているマルウェア情報等を調査し、
どのようなマルウェアであるか分析
マルチモーダル
分析
アンチウイルスアラートやFWア
ラート、SOCオペレータの分析結
果を他の分析と突合し、分析結果
を高める
SOC情報
SOCオペレータ分析結果
アンチウイルスアラート
FWアラート
各種イベントアラート
マルウェア本体
(ファイル本体)
SOCの解析環境を用いて動的解析
外部情報
マルウェア情報、
攻撃キャンペーン情報、
不正URL/不正IP
外部サイトから得られる断片的な脅威情報を他の分析
脅威情報
結果と突合することで情報を高める
@H29 Hyogo Prefecture Government.
25
1.(9) 統合ログ解析
⑧インシデントレベルに応じた対応
情報セキュリティインシデントのレベルによる的確な初動対応を実現
インシデント
のレベル
定義
Information(警告)
Warning(情報)
Critical(重要)
Emergency(緊急)
• 安全と判断される情報セ
キュリティイベント
• 放置すれば情報漏えいの可
能性があるインシデント
• 重大かつ情報漏えい確定の
インシデント
• 実害を狙ったが、攻撃の失
敗(端末にて対策済みも含
む)が確認できる場合
• 攻撃が成功した可能性が非
常に高い(定期的な不審な
通信)、あるいはパケット
解析を要する
• 明らかに攻撃が成功してお
り、端末からの異常な通信、
Webサイトの改ざん等が
確認された場合
• 月次レポートで通知
• メールで通知
• メールと電話で通知
通知方法
@H29 Hyogo Prefecture Government.
件名 :【8】端末所属市町セキュリティアラート通知[#【1】アラート識別番号#]
---------------------------------------------------------兵庫県CSIRT様
件名 :【8】端末所属市町セキュリティアラート通知[#【1】アラート識別番号#]
---------------------------------------------------------兵庫県CSIRT様
お世話になっております。
*セキュリティオペレーションセンターです。
お世話になっております。
*セキュリティオペレーションセンターです。
SIEMにてアラートを検知致しましたのでご報告いたします。
=================================
■イベント情報
1.イベント名
【2】相関ルールID
SIEMにてアラートを検知致しましたのでご報告いたします。
=================================
■イベント情報
1.イベント名
【2】相関ルールID
2.アラート時刻
【4】検知日時
2.アラート時刻
【4】検知日時
3.インシデント内容
【5】インシデント内容
3.インシデント内容
【5】インシデント内容
4.接続先情報
接続先URL:【6】接続先URL
※http→hxxpに置換しております。
※FQDNの.を●に置換しております。
4.接続先情報
接続先URL:【6】接続先URL
※http→hxxpに置換しております。
※FQDNの.を●に置換しております。
■対象情報
対象市町:【8】端末所属市町
IPアドレス:【7】端末IP
■対象情報
対象市町:【8】端末所属市町
IPアドレス:【7】端末IP
◆分析結果
1.初動対応案
【9】初動対応案
=================================
◆分析結果
1.初動対応案
【9】初動対応案
=================================
26
2.兵庫県システムの強靱性向上対策
@H29 Hyogo Prefecture Government.
27
2. (1)兵庫県システムのネットワーク分離構成
個人番号利用事務系
福祉
税
インターネット接続系
LGWAN接続系
インターネット
・・・
ファイルサーバ
物理端末認証
RSA SecurID
ファイル無害化
Votiro SDS
共通PC
SBC/XRDP接続
VDI接続
兵庫県情報セ
キュリティクラ
ウド
ファイル無害化
Votiro Update
専用端末等
RSA認証
RSAサーバ
仮想端末認証
PassLogic
ファイルサーバ
仮想デスクトップ
(VDI)
ファイル無害化
Votiro FlowServer
Windows Server SBC
Linux XRDP
AD認証
ADサーバ等
AD認証
仮想端末用サーバ
(XenDesktop)
ストレージ
(NetApp)
@H29 Hyogo Prefecture Government.
AD認証
ADサーバ等
仮想端末用サーバ
(XenApp)
仮想端末用サーバ
(XRDP)
ADサーバ等
ストレージ
(NetApp)
28
2. (2)仮想デスクトップの導入
個人番号利用事務
インターネット利用
①用途に応じて複数種類を導入
→ VDI
→ SBCとXRDP(分離の負荷分散、バックアップ機能を実現するため)
インターネット接続系
LGWAN接続系
インターネット
FW
兵庫県セキュリ
ティクラウド
職員A
(共通PC利用)
仮想デスクトップ環境
仮想デスクトップの比較
比較項目
サーバ台数
CPU性能
搭載メモリ
ローカルディスク/プロファイル容量
想定ユーザー数
仮想化ソフトウェア
仮想マシンのOS
仮想マシンのアプリ
オフィス
ブラウザ
@H29 Hyogo Prefecture Government.
VDI
SBC
XRDP
UCS(ブレード) 12+1台
UCS(ブレード) 25+1台
Dell PowerEdge 10台
2.3MHz(18Core×2)
2.3MHz(18Core×2)
448GB
256GB
300G(SAS)×2
300G(SAS)×2
/7500GB
/9000GB
1,500人
6,000人
Citrix XenDesktop
Citrix XenApp
Windows 2012R2
Microsoft Office
Internet Explorer
2.3MHz(18Core×2)
256GB
800G(SSD)×4(Raid5)
2,000人
XRDP、Docker 1.12.1
CentOS 7.2
Libre Office 4.3.7.2
Firefox 45.5.1
29
2. (2)仮想デスクトップの導入
②VDIの利用(共通PCから)
共通PCから個人番号利用事務系のシステムを起動する際には、VDI にログインする必要あり
PassLogicを利用したワンタイムパスワード認証とADのユーザ認証を行うことで二要素認証を実現
二要素認証
個人番号利用事務系
LGWAN接続系
ワンタイムパスワード
②ワンタイムパス
ワード認証
画面イメージ
③ADによるユーザ
(PW)認証
④仮想端末にログイン
ロードバランサ
①AD及びICカー
ドで認証
PassLogic
GWサーバ
仮想端末用サーバ
(XenDesktop)
PassLogic認証サーバ
個人番号利用事務系
ドメインコントローラ
共通PC
LGWAN接続系
ドメインコントローラ
ユーザ情報連携
@H29 Hyogo Prefecture Government.
30
2. (2)仮想デスクトップの導入
③VDIの利用(専用端末から)
所属導入の専用端末から個人番号利用事務系のシステムを起動する際には、
RSA SecurIDを利用したワンタイムパスワード認証とADのユーザ認証を行うことで二要素認証を実現
二要素認証
個人番号利用事務系
(1) ワンタイムパスワード認証
(2) ADによるユーザ・PW認証
専用端末を利用する
職員にトークンを配布
SecurID
専用端末
①IDとトークン
コードを入力
②ADで
ユーザIDを参照
個人番号利用事務系
ドメインコントローラ
SecurID認証サーバ
③入札されたトークンコード
と、サーバ側で計算したトー
クンコードを比較して判定
@H29 Hyogo Prefecture Government.
31
2. (2)仮想デスクトップの導入
④SBCの利用(共通PCから)
共通PCから直接インターネットの閲覧の禁止 → インターネット接続環境を経由して閲覧
ADと連携し、シングルサインオン
※庁内システム(総務事務、文書管理、財務会計、人事給与、CMS等)は、
これまでどおり職員のPCのデスクトップからブラウザ経由で利用
@H29 Hyogo Prefecture Government.
32
2. (2)仮想デスクトップの導入
⑤XRDPの利用
XRDPは、仮想基盤からアプリケーションまですべてOSSで構築し(低コストで安定したシステム)
機能、操作性において可能な限りユーザーの馴染みがあるWindowsに似せるようカスタマイズ
XRDPのデスクトップ
アプリケーションを
アイコンで配置
XRDPの機能一覧
機能
WEB閲覧
WEBメールの利用
Microsoft Office相当 の
アプリケーショ
ファイル圧縮・解凍
印刷
無害化ソフト
備考
動画、音声も対応
受信専用
Microsoft Officeと
互換性あり
Zip対応
共通プリンタに出力可
Votiroを利用
Votiroによる無害化
ADと連携し、シングルサインオンを実現
Dockerコンテナを利用した冗長構成
スタートメニューを画
面左下に表示
@H29 Hyogo Prefecture Government.
33
2. (2)仮想デスクトップの導入
⑥SBCとXRDPの運用状況
障害時の補完
普段はSBCを利用し、障害時にはXRDPに切り替えることで事務が停止しない
@H29 Hyogo Prefecture Government.
34
2. (3) ファイル無害化
①Votiro SDSの導入
インターネットからダウンロードしたファイル及びメールの添付ファイルをIN用の個人フォルダに保存
SDS Stationで無害化した後で、OUT用の個人フォルダに保存
ウイルス感染などのリスクを未然に防止
インターネット接続系
LGWAN接続系
Votiro-OUT
Votiro-IN
無害化済
ファイル
A
File
インターネット
個人フォルダ
個人フォルダ
個人フォルダ
個人フォルダ
B
File
File
A
無害化前
ファイル
C
・・・
B
File
LGWAN
接続系
ファイルサーバ
File
C
File
インターネット
接続系
ファイルサーバ
無害化処理 ③
②
・・・
兵庫県情報セキュ
リティクラウド
Votiro Update
Server
④
⑤
FW
Mail
職員A
(共通PC利用)
Votiro FlowServer
Web
Votiro SDS
Station
SBC
@H29 Hyogo Prefecture Government.
35
2. (3)ファイル無害化
②Votiro SDSへの取込み手順
SBCとVotiroによる取り込み手順 →
@H29 Hyogo Prefecture Government.
処理状況が分かるように取り込み用のアプリを作成
36
2. (3)ファイル無害化
③インターネットメールの添付ファイルの確認
インターネット受信メールの添付ファイルは直接確認を禁止 → SBC、XRDPを経由してWebmailで確認
Webmail (OSSのSquirrelMailを改造)
@H29 Hyogo Prefecture Government.
37
2. (3)ファイル無害化
④Votiro SDSの利用状況
利用人数は1200人程度(全体の1割)→利用者数の低減による負荷分散
インターネットメールの添付ファイルをSBCの中のみでチェックする傾向
インターネットからのダウンロードも多くない(特定プロキシの効果もあり)
強靱化に一定の効果があったが、処理時間に問題がある。
日付
利用職員数
処理件数
計
0∼3分
∼5分
∼10分
10分以上
3月2日
3月3日
3月6日
3月7日
3月8日
3月9日
3月10日
3月13日
3月14日
3月15日
3月16日
1,309
1,066
1,307
1,393
1,269
1,322
1,252
1,267
1,331
1,261
1,180
5,068
4,090
5,265
5,712
5,095
4,801
4,847
6,242
5,245
5,711
4,019
4,378
3,475
4,683
5,147
4,283
4,728
4,516
4,601
5,131
5,121
3,734
433
299
372
253
241
66
289
587
111
420
146
248
94
210
195
213
6
41
498
2
96
108
9
222
0
117
358
1
1
556
1
74
31
3月17日
1,113
4,219
4,128
89
0
2
1200人程度の利用に抑制
MTAで利用した場合は全員が対象
@H29 Hyogo Prefecture Government.
遅延事例も多発
→利用者の不満
38
2. (3)ファイル無害化
⑤Votiro SDSの問題点
運用上で次の問題点が判明
平均処理時間は3分程度とやや遅い。
無害化の途中でハングした場合、後続のファイルの無害化も停止する → 1時間以上の停止が複数件発生
件数
時間
製品スペック及びサイジング上の問題点が発覚→改善を検討
@H29 Hyogo Prefecture Government.
39
2. (3)ファイル無害化
⑥Votiro SDSの改善検討
案1、2 1つのフォルダを複数のSDSソフトで無害化(2は開始ファイルをずらす)
案3、4 複数のフォルダを複数のSDSソフトで個々に無害化 (4は1台のみ共有)
構成案1、2
構成案3、4
【 フォルダ構成数「1」 】
※SDS1のみ4Core
※SDS1のみ4Core
SDS1
【 フォルダ構成数「4」 】
SDS2
SDS3
SDS4
SDS3
SDS4
・
・
・
・
・
・
@H29 Hyogo Prefecture Government.
SDS2
・
・
・
→ 案2は開始ファイルをずらす
・
・
・
・
・
・
長所:1台でも正常であれば運転可能
短所:毎回同じフォルダから処理開始さ
れるため後尾のフォルダが遅くなる。
SDS1
長所:各SDSの受持数が少ないため、処理が速い。
短所:1台故障すれば25%の職員が影響を受ける。
→ 案4は一台のみ共有
40
2. (3)ファイル無害化
⑦Votiro SDSの実証実験と改善方針の決定
処理ファイル数:300ファイル/分を15分間→75ファイル/分を105分間稼働で実験 ‒はロック数
結果、案1を採用して改善予定 (H29年3月中)
案1 【SDSごとに開始フォルダをずらしスキャン】
SDS4
SDS
3
SDS4
SDS
1
SDS2
1:36:00
1:36:00
1:24:00
1:24:00
1:12:00
1:12:00
1:00:00
1:00:00
0:48:00
0:48:00
0:36:00
0:36:00
0:24:00
0:24:00
0:12:00
0:12:00
0:00:00
0:00:00
サニタイズ(平均)
@H29 Hyogo Prefecture Government.
スキャン(平均)
サニタイズ(最大)
SDS3
SDS4
・・
・
SDS2
・
・
・
案1が理論的に最速
SDS3
・・
・
・
・
・
案1は案2より最大
処理時間が短い。
SDS2
・
・
・
SDS1
案4 【SDSごとに担当フォルダを分割し、1台のみ共有】
・
・・
SDS4
・
・
・
SDS3
SDS
1
・
・
・
SDS2
案3 【SDSごとに担当フォルダを分割】
・
・
・
SDS1
案2 【全てのSDSが同じ開始フォルダからスキャン】
案3、4は最大処
理時間が長い。
スキャン(最大)
41
2. (4)Web閲覧の制御 ①プロキシ構成
複数のProxy導入によりWeb閲覧の負荷分散、安定稼働を実現
インターネット
DMZ
XRDP Proxy
SBC Proxy
(2台)
(5台)
特定サイト
特定Proxy(2台)
通信可
通信不可
公開Web
LGWAN接続系
インターネット接続系
LGWANWeb
Proxy.pac
SBC
XRDP
プロキシ指定
@H29 Hyogo Prefecture Government.
WinHTTP
プロキシ
内部Web
42
2. (4)Web閲覧の制御
②特定プロキシについて
認証サイトや国・自治体系の特定サイトは特定プロキシを介してLGWAN接続系からアクセス可能
LGWAN接続系 特定通信用プロキシの対象例
区分
対象サイトの例
1
認証局系
Verisign,Symantec,LGPKI 等
2
Office365
Microsoft,PC起動時に通信するURL 等
3
ライセンス系
Adobe,java,一太郎,Autodesk 等
アップデート系
Windows Update,
TrendMicro,Symantec,Mcafee,F-Secure,
Kaspersky,Canon ESET等
5
業務アプリ
Firefox,Chrome,Mac,Skype for Business,
Google Earth,Google Map,証明書導入、
VPN接続アプリ 等
6
国、地方自治体
*.go.jp, *.lg.jp, *.hyogo.jp 等
7
県業務関係
県と県関係公社等が運用管理するサイト
(県がセキュリティチェック実施済)
8
その他
システム稼動で必要なもの 等
4
@H29 Hyogo Prefecture Government.
・強靱化済(予定)
・国等の資料のダウン
ロード需要が多い。
43
3. 全体スケジュール
・兵庫県は全国に先駆けてセキュリティクラウドシステムを構築し、平成28年10月にメールシステムを移行
・市町についても順次移行し、6月末には移行完了予定
・平成29年2月には県インターネット閲覧方法の変更が完了
平成28年度
スケジュール
セキュリティクラウド
1Q
▲
公告
全 体
セキュリティ
強靭化対策
2Q
▲
業者決定
▲
公告
▲
構築開始
▲
▲
業者決定 構築開始
平成29年度
3Q
4Q
1Q
2Q
▲SOC運用開始
▲10/8 サービス開始
▲
構築完了
▲2/16 NW分離完了
設計/構築/試験
セキュリティ
クラウド
メールシステム移行
(県庁)
システム順次移行
各市町ごとに順次移行
市町移行(順次)
県システム
の強靭化対
策
設計/構築/試験
NW分離
@H29 Hyogo Prefecture Government.
44
Fly UP