公共市場向け情報
公共市場向け情報":"公共市場向けの情報発信ページ
32 Posts- 限定コンテンツへのアクセス
- 他ユーザーとのつながり
- あなたの体験を共有
- サポート情報の発見
サインインで完全なコミュニティ体験を!
ディスカッションでの活動
イントラネット/内部ネットからクラウドアクセスまで一貫した「ゼロトラスト」の実現
ネットワークのセキュリティ対策として「ゼロトラスト」という言葉が広く使われています。お客様からも「ゼロトラスト化したい」というご要望をいただくことが非常に増えています。しかし、「ゼロトラスト」はセキュリティモデルにおける概念であり、昨今のパブリッククラウドの利活用や働き方改革/DXの一環でのテレワークなどにより、内部リソースがインターネット上に存在するようになり、「守るべきもの」がインターネット上に存在するなどITインフラが複雑になり従来のセキュリティモデルである「境界面セキュリティ」では対応が...
GlobalProtectの設計と脆弱性防御のプロファイル適応についての考察
パロアルトネットワークス次世代ファイアウォールにはGlobalProtectというVPN機能が利用可能です。WindowsおよびMacOSにてVPN接続の基本機能だけであれば追加ライセンスなく、標準機能として設定すればご利用いただけます。 スマートデバイスからのVPN接続、DNSドメインベースのスプリットトンネル、HIP機能、IPv6などの基本機能以外を利用する場合にはGlobalProtectの追加ライセンスが必要です。詳細は下記のサイトをご覧ください。 https://docs.paloal...
次世代ファイアウォールの最大同時セッション数についての考察
皆さんもよくご存じの通り市場で販売されている次世代ファイアウォール製品はほぼすべてがステートフルファイアウォールであり、TCP/UDPのセッションを識別し、内部でセッションテーブルが管理され、生成されたセッションの戻りパケットを自動的に通過させる仕組みで動作します。そのため、次世代ファイアウォールの製品選定するときに必ず確認すべきは「同時最大セッション数」です。同時最大セッション数とは、セッションテーブルの大きさであり、同時に処理できる最大セッション数であり、同時最大セッション数を超えると通信が...
SASE/PrismaAccessはVPN型のサービスなのか?
パロアルトネットワークス社では「ゼロトラスト」化をクラウドベースで行うソリューションとしてSASE/PrismaAccessを提供しています。PrismaAccessの基本的な利用/接続形態は大きくは以下の2通りです。 ■データセンターや拠点のIPsec接続(固定接続) 国際標準規格に基づいたIPsecトンネルにてセキュアに拠点とPrismaAccessを接続します。 もしくはZTNAコネクターにて特定のアプリケーションサーバーとの接続する接続の利用が可能です。 ■端末からのVPN接続(モバイル...
ガバメントクラウドの利用を検討されている地方公共団体の方へ
ガバメントクラウドとセキュリティについて ●デジタル庁により推進されている政府共通のクラウドサービス環境である「ガバメントクラウド」を活用し、地方公共団体で現在オンプレミス環境で稼働しているマイナンバー系のシステムをガバメントクラウドに「アップ」が推進されています。ガバメントクラウドの活用により、最新のクラウド技術を活用し、世の中の状況の変化に応じて情報システムを柔軟に変更でき、インフラコストの削減も期待されています。 ●ガバメントクラウドは、Amazon Web Service(AWS)、Go...
テレワーク環境での端末セキュリティ対策で考えるべきこと
テレワーク環境のためにVPNやSWG、SASEやIAPなどのソリューションの検討が増加しています。これらの多くの検討ポイントは、CASB機能と内部アクセスであることが多いですが、テレワーク環境=自宅などでのインターネット環境に端末を接続してネットワークを利用しますので、そもそもCASBだけではなく、端末をマルウェア感染や不正アクセスを受けない状態を維持することが重要です。 もしテレワーク環境で端末に潜伏型マルウェアが感染した場合、VPN経由での内部への不正アクセスや、その端末を社内や内部ネットワ...
RDPサーバーへのBruteForce攻撃の検知および防御の方法について
インターネットからのリモートアクセス環境において、VPN接続後にRDPを利用して画面転送にて内部アクセスを許可させる方法が一般的です。この方式により外部からVPN経由でも直接内部ネットワークへはアクセスできなくすることで内部ネットワークへの不正アクセスやマルウェア攻撃を困難にすることが可能です。しかし、昨今のランサムウェアの攻撃でRDPサーバーへのブルートフォース攻撃も増加しています。VPN接続後のRDP接続であり、比較的安易なパスワードの利用や、パスワードを使いまわしてしまうことで、ブルートフ...
通信やファイルが検査できないことの危険性と対処方法について
ネットワークセキュリティ対策としての「ゼロトラスト」に対して理解が広がってきておりますが、具体的な実装方法についても理解はまだまだ十分であるとは言い難い状況です。ゼロトラストを実現するために次世代FWやSASE/PrismaAccessの導入を検討していただいているお客様も多いですが、技術的な理解に基づいて、適切な設定やポリシーを適応しないと、十分なネットワークセキュリティ対策ができているとは言えない状態になります。具体的な検査できない危険性とは何を意味しているのかについて以下に説明します。 S...
【教育委員会様向け】校務系システムのネットワークにはPrisma Accessが最適
2022年3月に教育情報セキュリティポリシーに関するガイドラインが改定され、「ネットワーク分離による対策」だけではなく「アクセス制御による対策」が追記されました。この改定により、セキュリティレベルを下げず、現場の利便性を高める校務システムの導入が可能となったといえると思います。また、文部科学省としても将来的にも「アクセス制御による対策」への移行を推奨しているようです。 改定前の教育情報セキュリティポリシーに関するガイドラインでは、当初は教員が利用するネットワークは「校務系」と「校務外部接続系」の...
昨今のDoS攻撃の傾向とPAシリーズのDoS防御機能の使い方
2021年後半に入り、DoS/DDoS攻撃が頻繁に発生しており、広帯域なインターネット回線や広大なグローバルIPアドレスを所有する大学などの一部のユーザでは被害が発生しています。昨今の傾向としては、数分程度でマイクロバースト的なDoS/DDoS攻撃が1日に数回という頻度で攻撃があり、また12時間程度で明らかに周期性があるようなDoS攻撃も目立ちます。また、無差別なDoS/DDoS攻撃のようにも見えますが、DNSサーバーなど公開サーバーに対してのudp/53に対するピンポイントの攻撃もあるので、単...
GIGAスクール:Youtubeのコンテンツ単位のアクセス制御とSSL復号に関しての考察
GIGAスクールのインフラ整備が推進されていますが、以前からの課題として、学習系にて、Youtube動画コンテンツの視聴に関して、最大の懸念点であるSSL復号処理に関しての参考情報をご説明いたします。 【従来および現状の課題】 Youtubeにて学習コンテンツがあり、Youtube動画を視聴させたいというニーズが高い。しかし、一般的にYoutubeなどの動画サイトはアクセス禁止となっている。 Youtubeの通信はSSLで暗号化されており、視聴している動画コンテンツが把握できず、コンテンツ単位で...
AutoTag機能で利用者(IPアドレス)単位でネットワークの利用時間を制限する方法
PAN-OS 9.0からAutoTag機能にタイマー機能が追加されていますが、AutoTagを使った利用例をご紹介します。 このAutoTag機能を利用することで、各端末(IPアドレス)単位でインターネット利用時間を制限する方法です。 具体的には以下のような制御を行うことが可能です。 利用者が利用し始めてから1日3時間だけインターネット利用が可能。3時間を経過するとその日はインターネット利用できなくなる。もしくは、 利用者のインターネット利用は最長1時間のみ。1時間経過すると利用不可となる。しか...
自宅学習環境も考慮したGIGAスクール構想の実現
2020年度、日本全国の教育委員会ではGIGAスクール構想に基づき、一人1台の端末整備および全生徒が快適にインターネット環境を用いて学習できる広帯域なネットワークインフラ整備が求められています。また、現在の日本では緊急事態宣言は解除されたものの、新型コロナウィルスの影響により小中高校および大学は長期間の休校を余儀なくされており、今後の学習環境において自宅学習にも対応可能なインフラ整備が急務となっています。 これらの要件を検討する上で大きな課題としては下記があると考えています。 必要なネットワーク...
内部ネットワークでもトラフィック可視化や感染防止対策が必要な理由
年金機構の情報漏洩をきっかけに国内では自治体を始めとして、教育委員会、病院などのITインフラではセキュリティ対策が進んでいます。これは非常に良いことですが、その対策の目玉として、ネットワーク分離やインターネット分離の手法が採用され多用されています。具体的には、以下の図にあるように、自治体での強靭化による個人番号利用事務系、LGWAN系とインターネット系の3層分離、教育委員会では校務系、校務外部接続系と学習系の3層分離などです。また、以前から医療機関では、HIS系と呼ばれる内部電子カルテなどを利用...
DHCP環境で端末のMACアドレスの可視化と制御を行うための手法(syslog Listenerを利用したUser-ID機能)
セキュリティ的な視点では各種セキュリティログやトラフィックログの送信元はIPアドレスが基本です。しかし、WiFiなど含めDHCPが普及しているため、長期間に渡る「特定の端末」としてログの調査は困難です。また、感染している可能性のある端末をネットワークに接続されても気づく事も困難です。 ここではDHCP環境でもクライアントのMACアドレスをキーにトラフィックの可視化やログ分析ができる仕組みをご紹介します。技術的なポイントはDHCPサーバーのIPアドレスの払い出しをトリガーにしてPAN-OSのユーザ...
