SaaS型で提供する新しいWebセキュリティの形 - …expo.nikkeibp.co.jp › secu-ex ›...

Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社ネットワーク事業部 Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社ネットワーク事業部

SaaS型で提供する新しいWebセキュリティの形

平成21年9月2日

Security Solution 2009

ノックス株式会社

ネットワーク事業部

Copyright (C) 2009 NOX Co., Ltd. All Rights Reserved.ノックス株式会社ネットワーク事業部

近年のWebセキュリティの課題

• コンテンツ技術の急速な進化

– Web2.0アプリケーションの普及によるサイトの増加

– SNSサイトや動画サイトなど不特定多数利用者参加型サイトの増加

• 未熟なセキュリティ対策、攻撃の巧妙化

– 動画サイトにて閲覧のためのクリックでマルウェアに感染

– アンチウィルスソフトを装ったマルウェアのダウンロード

– SNSサイトによるマルウェアの配信

＜2009年02月16日＞ＣＮＥＴニュース

1


Strong inbound security

（強固なインバウンドセキュリティ）

Weak Outbound Security（脆弱なアウトバウンドセキュリティ）

モバイルユーザー

本社

IPS

HTTP/HTTPS

リモートオフィス

Port 80 & 443

ゾンビ/ボット

アクティブコンテンツ:

Flash, Javascript

•ソーシャルネットワーク

•ブログ

•Webメール

•動画配信/ストリーミング

•Web会議システム

•インスタントメッセージ（チャット）

•CRM (顧客管理)システムなど

• 80%以上のセキュリティ予算をインバウンドセキュリティに投資• アウトバウンドに対するセキュリティは軽視• Web 2.0 が生み出す最新の脅威に対してはウイルス対策ソフトだけでは不十分

従来型Webセキュリティの限界

2


なぜ、SaaS型Webセキュリティなのか

3


4

なぜ、SaaS型Webセキュリティなのか

• 数あるアプリケーションの中でも特にSaaSに最適なWebセキュリティ

– 一元管理

• 既存ソリューションでは異なるロケーションの端末に対して統一のルールを適用することが難しい。SaaS型にすることで一元管理が可能

従来型 SaaS型


5

なぜ、SaaS型Webセキュリティなのか～セキュリティ

• メンテナンス

– 運用管理作業をベンダーに一任

• HW、SWのメンテナンスがベンダー側で一元管理されるため、従来型であれば機器ごとに必要だった個別の運用管理が不要

• ファームウェアのバージョンアップや設定・ログの管理など日々の運用管理の手間がかからない


6

なぜ、SaaS型Webセキュリティなのか～セキュリティ

• メンテナンス

– セキュリティ水準の向上

• ベンダー側で常に最新、最高水準のセキュリティを確保しているため、セキュリティホールへの対策漏れやシグネチャ、パターンファイルの適用漏れの心配が不要

ゼロデイゼロアワー


7

なぜ、SaaS型Webセキュリティなのか～コスト

• 初期コスト

– 設備投資

• ライセンス購入のみでサービスを利用可能。HW/SWの購入が不要

– HW購入費用

• 一般的にIT予算の60%以上を占めるHW購入費用が不要

– ITスタッフ教育費用

• 個々の製品に対する教育費用が不要

• 製品知識を得るためにかかる費用を削減

– インストール作業費用

• HW設置費用、SWのインストールが不要

• ブラウザベースで設定するため、現地での作業が不要


8

なぜ、SaaS型Webセキュリティなのか～コスト

8

アプライアンス

SaaS

¥2,500 ¥5,000 ¥7,500 ¥10,000 ¥12,500

機器

人件費

ライセンス

＜ユーザーあたりの導入費用/年間＞

保守

弊社調べ


9

なぜ、SaaS型Webセキュリティなのか～導入期間

• 導入の容易さ

– 導入期間の短縮

• HWの納期がゼロ

• HWの設置、SWのインストールが不要

• 複数拠点にまたがるような環境では各拠点での面倒なオンサイト作業が不要。初期設定はどこからでも可能


10

なぜ、SaaS型Webセキュリティなのか～導入期間

アプライアンス

SaaS

1week 2weeks 3weeks 4weeks 5weeks

納期

設定作業

拠点への展開

＜導入期間の比較＞

弊社調べ


11

なぜ、SaaS型Webセキュリティなのか～拡張性

• サイジング

– 拡張に伴い、新たな設備投資が不要

• アプライアンス型のように、スケールが大きくなる場合にHWの買い直しが必要になることがない

• SaaS型のライセンス形態にすることで、HWのサイジングを気にせずにライセンスの増減が可能

• ライセンス管理

– 必要な機能を必要に応じて追加・削減が可能

• 必要な機能のライセンスのみを購入することが可能なため、不要な出費を抑えることが可能

• 高額なIT投資のように高リスクではなく、要件に満たない場合にはすぐにやめることが可能


12

なぜ、SaaS型Webセキュリティなのか～堅牢性

• セキュリティの堅牢性

– ユーザー･管理者のスキルに依存せず、最高水準のセキュリティ

• 面倒な設定、メンテナンスの必要なく、ベンダー側で常に最新且つ最高水準のセキュリティを用意し、ユーザーに提供することが可能

– ロケーションを問わずセキュリティレベルを維持

• 外出先や出張先でも、社内と同レベルの安全性を確保することが可能

– ユーザーアイデンティティとユーザーアクセスの把捉

• ユーザー認証により個々のWebアクセスの履歴を記録することが可能


13

なぜ、SaaS型Webセキュリティなのか～堅牢性

従来型 SaaS型


14

SaaS型Webセキュリティ Zscaler

The Leader in Cloud Security


15

Zscaler会社概要

• 2007年11月設立（日本法人は2009年5月設立）

• 本社はアメリカカリフォルニアサニーベール

• 10カ国15オフィスに展開

• 創設者：Jay Chaudhry（Air Defense、CipherTrustなどを設立）

• 多数の業界リーディングベンダー出身者（CipherTrust 、Juniper Networks、NetScalerなど）

• クラウドベースのWebセキュリティを提供

• 30以上の特許申請中


Zscalerの特長

• 高度な統合Webセキュリティソリューション

– Webセキュリティに必要とされる機能をSaaSモデルで統合的に提供

– Web 2.0アプリケーション（双方向性、利用者参加型）に対応した柔軟なセキュリティ機能を提供

– Webセキュリティに特化した機能がクラウドから提供されるため、ユーザーは高度なセキュリティスキルや知識の習得が不要

• TCOの削減

– ハードウェアやソフトウェアの購入を必要としないため、初期費用を大幅に削減可能

– 運用･管理の手間を大幅に簡略化できるため、固定費用を低減

16


Zscalerの特長

• 導入が容易

– 面倒な設置作業が不要で、簡単な設定のみで利用可能

• 拡張性と柔軟性

– 初期導入時には将来のサイジングを懸念する必要がなく、必要最小限の規模で開始が可能

– 規模の変動に伴って、ユーザー数の増減やライセンスを容易に変更可能

17


ログサーバ


ポリシーの適用が困難

本社


キャッシュURLフィルタ

ウイルス対策

情報漏洩対策

マルウェア対策

Web 2.0

制御帯域制御

冗長化アプライアンス

キャッシュURL

フィルタ

アクティブディレクトリ

ウイルス対策

情報漏洩対策


Web 2.0

制御帯域制御

アプライアンスの維持、管理に、膨大な管理コストが必要

•ソーシャルネットワーク

•ブログ

•Webメール

•動画配信/ストリーミング

•Web会議システム

•インスタントメッセージ（チャット）

•CRM(顧客管理)システムなど

（従来型）アプライアンス型によるセキュリティ対策

18


Zscaler Cloud

ログサーバ

本社


キャッシュURLフィルタ

ウイルス対策

情報漏洩対策


Web 2.0

制御帯域制御

冗長化アプライアンス

キャッシュURL

フィルタ

アクティブディレクトリ

ウイルス対策

情報漏洩対策


Web 2.0

制御帯域制御


インターネット

Zscalerで実現するセキュリティ対策

19


Zscalerのソリューション


本社


クリーントラフィック

Zscaler サービス

セキュリティ

コンプライアンス管理

解析

管理者

リターントラフィック

インターネット



アウトバウンドトラフィック





ポリシー設定

20


Zscalerの統合Webセキュリティソリューション

• セキュリティ広範なマルウェアの脅威からユーザーを保護

– アンチウィルス・アンチスパイウェア

• Webアクセス時のアンチスパイウェア、アンチウィルス機能を提供

– ブラウザコントロール

• ブラウザの種類、バージョンによるアクセスを制御可能

– 高度な脅威

• ボットネット通信の検知、ブロック、フィッシングサイトへのアクセスブロック、P2P通信の制御が可能

21



• 管理リソースを最適化するための制御機能を提供

– URLフィルタリング

• 階層化されたカテゴリでフィルタリングの設定が容易に実行可能

• リストのカスタマイズが可能

• リストに含まれないサイトについても動的に分析してカテゴリー化が可能

– Web 2.0コントロール

• Webメール、インスタントメッセージ、SNS、ストリーミングサイトに対して、詳細な制御が可能

– 帯域制御

• コンテンツに応じた帯域の制御が可能

22



• コンプライアンス情報漏えい対策を容易に行なうことが可能

– 辞書情報を利用したDLPポリシー

• 解析詳細なログ機能と豊富なレポーティング機能を提供

– ログ解析

• ユーザーレベルの詳細なログを出力可能

– リアルタイムレポート

23


24

Zscalerの機能一覧アンチウィルスシグネチャ、ヒューリスティック解析によるウィルスの検知およびブロックアンチスパイウェアトロイの木馬、ダイアラー、アドウェアなどの検知およびブロック

指定したブラウザおよびバージョンの利用を制限ボットネット通信の検知およびブロック悪意のあるアクティブコンテンツの検知およびブロックフィッシングサイトへのアクセスのブロッククロスサイトスクリプト攻撃からの保護P２Pアプリケーションの制御URLデータベースによる判定キーワードおよびコンテンツからの自動判定によるリアルタイム解析カスタムURL登録各種Webメールサービスの利用許可および禁止各種Webメールサービスの添付ファイルの許可および禁止各種インスタントメッセンジャーのサービスの利用許可および禁止各種インスタントメッセンジャーのファイル転送機能の利用許可および禁止各種SNS、ブログサイト閲覧の許可および禁止各種SNS、ブログサイトへの投稿の許可および禁止各種ストリーミングサイトの利用許可および禁止各種ストリーミングサイトへのアップロードの許可および禁止トラフィックのクラスごとに最大帯域幅、保証帯域幅を設定大容量ファイル転送、ストリーミングなどトラフィッククラスのカスタム設定クレジットカード、ソースコードなどの辞書情報管理キーワードによるカスタム辞書登録辞書の内容によるコンプライアンスポリシーによる判定

解析条件設定によるアクセスログ検索利用状況をリアルタイムに表示

対象期間や対象とするトラフィックの設定

ドリルダウンによる詳細情報の確認管理者インターフェースからのユーザー登録CSVファイルインポートによる一括ユーザー登録

外部ディレクトリ Microsoft Active DirectoryおよびOpen LDAPとの連携管理者インターフェースを利用可能な管理者IDの登録管理者の権限レベルの設定グローバルIPアドレス登録による接続場所の識別

タイムゾーンおよび帯域の設定

暗号化されたSSLトラフィックの検査検査の対象外とするサイトの登録


セキュリティ

高度な脅威からの保護

ブラウザコントロール

コンプライアンス

URLフィルタ

Webメール

インスタントメッセージ

SNS、ブログ

ストリーミング

Web 2.0 コントロール

帯域制御

管理

辞書

DLPポリシー

セキュリティ、管理、コンプライアンスリアルタイムレポート

SSLトラフィックの検査

インターネットゲートウェイ

管理者登録

ローカルデータベースエンドユーザ認証

アドミニストレーション


Zscaler Webセキュリティサービスの利用

• ポリシー設定

25

システム管理者Zscaler

Central Authority

管理者GUIに接続https://admin.zscaler.net/



• Webトラフィックの転送設定

– ブラウザのProxy設定

– PACファイル

– Destination NAT（Firewall等）

– GREトンネル（ルータ等）

– Proxyの階層化（既存Proxyサーバ）

26

Internet

ユーザー



27

Production Coming Shortly

Tel Aviv

London

Paris

Mumbai

Moscow

Tokyo

Beijing

AdelaideJohannesburg

Hong Kong

Singapore

Brussels

Frankfurt

Dubai

Fremont

Atlanta

Mexico City

DC

Chicago

Toronto

Sao Paulo

Buenos Aires

Monterey

Bogota



28

Production Coming Shortly

ユーザー

Internet

ポリシーに応じたアクセス制御、セキュリティ対策の実施

アクセスログ

レポートの閲覧

システム管理者


Social Networks usedTop applications for: guest

Overall usage for Social NetworksWebmails sent and viewed

Webmail

Transaction level details of threats for user : Admin

Threats like Botnets and Malicious code

29

多彩なリアルタイムレポート

トランザクションの詳細

Internet usage by Location Top Internet Users

Usage trend by department

Web 2.0 アプリケーションの可視可

“信じられないほどシンプル！

本社・支店だけでなく外出先からのログまでリアルタイムで収集できるので、以前のように大変な時間と作業

をかけてログを集める必要がなくなりました。”CISO(情報セキュリティ管理責任者）金融サービス会社


30

Zscalerが実現するTCOの削減

• 初期コスト

– アプライアンスやソフトウェアの購入が不要

• アプライアンス障害時のコスト

– アプライアンス障害時にかかる人件費等が不要

• 導入コスト

– アプライアンスやソフトウェアのインストール、管理者のトレーニング費用を大幅に削減

• 運用・管理コスト

– バージョンアップ、パッチ適用、シグネチャ更新などにかかる管理者負荷を大幅に軽減


Zscalerまとめ

• 統合されたセキュリティ

– シンプルかつニーズに応えた統合型Webセキュリティ

– Web2.0から派生する様々な脅威からユーザーを防御

• 容易な導入、管理運用

– トラフィックをZscalerに転送するだけで簡単に導入が可能

– Zscalerが常に最新、最高水準のセキュリティを提供

31


Zscalerまとめ

• ユーザー規模の変化への柔軟な対応

– 大幅なユーザー数の増減に対しても、ライセンスの増減のみで自由自在

• コストの大幅な削減

– アプライアンスやソフトウェアに関わる費用が不要

– 運用、管理に関わる費用が激減

32


御清聴ありがとうございました

33

ご不明な点などございましたら、下記までお問い合わせ下さい。

ノックス株式会社

ネットワーク事業部営業部本社 TEL : 03-5731-5551

西日本支社 TEL : 06-4809-5544

E-Mail : [email protected]

SaaS型で提供する新しいWebセキュリティの形 - …expo.nikkeibp.co.jp › secu-ex ›...

Documents

Transcript of SaaS型で提供する新しいWebセキュリティの形 - …expo.nikkeibp.co.jp › secu-ex ›...