unisys stealth...特長 利用例 unisys stealth 構成要素 仕組み...
TRANSCRIPT
-
Unisys Stealth®
ソフトウエアによるネットワーク仮想分割で情報資産を強力に保護
010011010110110010110010100101011010
110100010101011011101011100101010001
011110001011010100010011010110110010
010011010110110010010011010110110010
110010100101011010110010100101011010110100010101011011101011100101010001011110001011010100010011010110110010110010100101011010110100010101011011101011100101010001101011100101010001
101011100101010001
101011100101010001
011110001011010100010011010110110010
-
特長
利用例
Unisys Stealth 構成要素
仕組み
見えないものはハッキングできない。安全を確保する最善の方法、それは見せないこと。この単純な概念を念頭に設計されたUnisys Stealthは従来とは異なる独自のテクノロジーによって、あらゆるネットワークで、いつでも、どこでも、データ、アプリケーション、そしてユーザーをハッカーから隠すことができます。また、Unisys Stealthは、この独自の技術によって、より高い安全性を確保しながら、現在の複雑な運用管理を簡素化することができます。さらに、高い柔軟性によって、LAN、WAN、無線、3G、4G、衛星通信のプライベートネットワークやパブリックネットワークなど、保護領域を拡大することができます。
1. 既存のネットワークをソフトウエアで仮想分割既存のネットワークをソフトウエアで仮想分割することで、ネットワーク内のアクセス制御を実現します。 またソフトウエアで仮想分割するため、複雑なネットワーク構成を整理削減でき、機器コストおよびネットワーク運用コストを大幅に抑制できます。
2. ユーザー認証により、場所に依存しないマイクロセグメンテーションを実現ユーザーに紐づいたネットワークアクセス制御と集中管理により、 データーセンター、 パブリッククラウド、 モバイルなどの機器※や仮想環境に依存しない、自由度の高いマイクロセグメンテーションを構築できます。 また、ネットワーク内でのユーザーの移動やネットワーク構成の設定変更が容易なため、 障害や災害時でもレジリエンスの高いセキュリティーを提供します。 ※パブリッククラウド、モバイルについては、順次対応予定です。
3. 認証してから通信を開始Webサーバーやファイル共有のように「通信してから認証」するのではなく、低レイヤーで「認証してから通信を開始」するコンセプトに基づき、ハードウエアに近い部分で機器を保護します。 低レイヤーで認証されなかった通信は破棄されるため、 Webサーバーやファイル共有などの上位レイヤーでのセキュリティー対策を簡素化できます。
4. エンドツーエンドで透過的に通信を暗号化ネットワーク内に流れる通信をネットワーク機器間ではなく、 エンドツーエンドで透過的に暗号化するため、全ての経路を流れる全てのデータを確実に守ります。
5. セキュリティー認証が容易PCI DSSなどの国際的なセキュリティー認証の取得に必要な要件の多くは、Unisys Stealthを導入することで対応が可能です。
暗号サービスモジュール
FIPS 140-2で認証されたAES-256暗号を使用
プロトコルスタックの低いレイヤで実行
攻撃からデバイスを防御。アプリケーションの変更を要求しない
仮想のCommunities of Interest(COI)
COIメンバー以外から、ユーザー、データおよびサーバーを隠蔽
Unisys Stealthは、ネットワーク上のPCまたはサーバーをグループ単位 (COI)で分離し、同一グループ以外のアクセスを完全にシャットアウトします。守るべきリソースの存在自体を隠蔽する高度なセキュリティソリューションで、企業の秘密を守ります。
Unisys Stealth Solution
1. Unisys Stealthによる通信は全て暗号化 されます。
2. COIのメンバー毎に専用の論理トンネルを作り ます。ネットワーク上には同じCOIのメンバー しかいないかのように見えます。
3. プロトコルスタックの低レベルの層で動作 するため、通常の通信では存在が見えず、既存 アプリケーションの変更も必要ありません。
COI 2
COI 1
・損害情報・個人情報
システム管理者
ハッカー
一般社員
010001011010001011
010001011010001011
①重要資産の保護 企業活動に重要な資産をサイバー攻撃から保護する 対象:知的資産、個人情報、マイナンバー、営業上の秘密など
企業ネットワーク内の重要資産保護の課題・内部の詳細なセグメント化とFW運用は高負荷・暗号化徹底は困難で、盗聴・改ざんが可能・権限がないユーザーからのアクセス(攻撃)が可能・侵入に成功したマルウエアが自由に活動・アクセス制御の実施は、企業内ネットワーク広範に影響
Unisys Stealthによる解決策・Stealthのアクセス制御によりアクセス範囲を最小化・すべての通信を暗号化 (盗聴・改ざん防止)・正当な権限のあるユーザー同士のみが通信可能・マルウエア感染防止、情報漏えい防止・ネットワーク機器やStealth以外の端末には無影響
②制御系ネットワーク保護 制御系ネットワークをサイバー攻撃から保護する 対象:電力設備、製油所、工場など
制御系ネットワーク保護の課題・クローズドネットワークの前提、セキュリティの考慮が少ない・リモート接続など利便性も必要だが、アクセス制限が重要・IPアドレスやスイッチのポートへの依存は、障害・災害時などに問題・ネットワーク機器技術の採用は、導入に期間がかかる・破壊活動を目的とした攻撃が多く、感染予防がより重要
Unisys Stealthによる解決策・制御系ネットワークへの安全なアクセスを提供・仮想的な境界で不正なアクセスから保護・ネットワークの変更や障害時にも同じアクセス制御を提供・既存のネットワーク・機器にアクセス制御を付加・制御系ネットワークへの感染を予防
インターネット上のサービス
インターネット上のサービス
ネットワーク境界防御
ネットワーク境界防御
企業内ネットワーク
企業内ネットワーク
制御系ネットワーク
リモートデスクトップ接続
LANや専用線
FW
DMZ
踏み台管理者 HMI DCS/PLC
Webやメールを利用する一般の端末には無影響
内部に侵入したマルウエアは仮想的な境界によって感染拡大できない
Stealthによる仮想的な境界
既存ネットワーク上に、仮想的に分離されたネットワークを構築
感染
ネットワーク境界防御
データセンタ
AWS/Azure 企業内ネットワーク
Stealth未導入端末には無影響
③インターネット分離 Webやメールを利用しながら重要資産も安全に利用する 対象:個人情報など
インターネット分離における課題・Webやメールを利用しながら、重要資産にもアクセスが必要・2台のPCを使い分けるのは、運用負荷が高い・マルウエアの感染拡大や情報収集を予防したい
Unisys Stealthと仮想環境を組み合わせた解決策・Webやメールと重要資産へのアクセスを論理的に分離・仮想環境によって、1台に統合・重要資産と接続端末をStealthで保護
Stealthによる仮想的な境界
Stealthに保護されたリモート接続
踏み台を経由して制御系ネットワークへアクセス
クラウドのリソースを安全に利用
企業内ネットワーク
重要資産接続端末
重要資産接続端末
インターネット接続端末
ホストOS
インターネット接続端末
ゲストOS
Hyper-V
④セキュアなパブリッククラウド利用 基幹システムで安全にパブリッククラウドを利用 対象:基幹システムなど
既存技術では、環境によってアクセス制御技術が変わる・企業内ネットワーク:次世代FWなど・データセンタ:特定の機器や仮想環境に依存・パブリッククラウド:事業者独自のアクセス制御
Unisys Stealthによるアクセス制御の統合・ネットワーク機器や仮想環境に依存しない 統合されたアクセス制御・事業者からの通信の保護
企業内ネットワーク、データセンタと同じアクセス制御
1 2 3
-
Unisys Stealthで保護されるネットワーク
Enterprise Manager Server
Authorization Server
Active Directory®
Windows® Serverエンドポイント
Windows® 7/8エンドポイント
Unisys Stealth認証サーバー
Unisys Stealth管理サーバー
セキュアリモートアクセスゲートウェイ
Windows® XP/2003 複合機
バーチャルゲートウェイ
Windows®7/8
VPNルータMAM
Linux®エンドポイント
サーバー
業務セグメント
管理セグメント
暗号
復号
サポート対象外機器はゲートウェイ経由でアクセス
保護対象のホストにエンドポイントソフトウエアをインストール
エンドポイントソフトウエアをインストールしない既存の機器には影響がない。
安全なネットワークとシステムの構築と維持
カード会員データの保護
脆弱性管理プログラムの維持
強力なアクセス制御手法の導入
ネットワークの監視および定期的なテスト
情報セキュリティポリシーの維持
1.カード会員データを保護するために、ファイアウォールを設定し、維持する2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を 使用しない
12.すべての担当者の情報セキュリティに対応するポリシーを維持する
3.保存されるカード会員データを保護する4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
5.マルウエアからすべてのシステムを保護し、ウィルス対策ソフトウエアを定期的に更新する6.安全性の高いシステムとアプリケーションを開発し、保守する
7.カード会員データへのアクセスを、業務上必要な範囲に制限する8.システムコンポーネントへのアクセスを識別して認証する9.カード会員データへの物理アクセスを制限する
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する11.セキュリティシステムおよびプロセスを定期的にテストする
目的 要件
※赤字はUnisys Stealthの機能と特に関係が深い要件
※ Unisys StealthおよびSTEALTHロゴは、Unisys Corporationの登録商標です。※ Windows、Active Directoryは、米国Microsoft Corporationの米国およびその他の国における商標または登録商標です。※ Windowsの正式名称は、Microsoft Windows Operating Systemです。※ Linuxは、Linus Torvalds氏の米国およびその他の国における登録商標または商標です。※ Red Hatは、Red Hat,Inc.の米国およびその他の国における登録商標または商標です。※ その他記載の会社名および商品名は、各社の商標または登録商標です。
※各製品のバージョンについては、お問い合わせ下さい。※将来リリース計画中の要素も含みます。
必須構成要素 オプション構成要素 その他
・Unisys Stealth管理サーバー・Unisys Stealth認証サーバー・Unisys Stealthエンドポイント* *エンドポイントソフトウエア サポートプラットフォームWindows® 7以降、Windows® Server 2008R2以降Linux®: Red Hat® Enterprise Linux 6.x、7.x 以降その他:要相談
・バーチャル ゲートウェイ・セキュアリモートアクセスゲートウェイ・MAMソリューション
・Active Directory®・VPNルータ
Copyright©2016 Nihon Unisys, Ltd. All rights reserved.本リーフレットに掲載されている文章、写真、イラスト、画像およびこれらを組み合わせた編集物は著作権法による保護を受けており、これらの著作権は、日本ユニシス株式会社に帰属するほか、第三者の著作によるものである場合は当該第三者に帰属しています。改良のため予告なしに性能・仕様を変更することがあります。
本社 東京都江東区豊洲1-1-1 〒135-8560電話 03-5546-4111(大代表)http://www.unisys.co.jp/
http://www.unisys.co.jp/solution/tec/stealth/index.html
日本ユニシス株式会社
090001099-0 エ1609
コンポーネント全体構成
PCI DSS v3.2 取得容易化 PCI DSS v3.2 取得容易化 対象:カード会員データ
PCI DSS取得における課題ネットワークセグメントにカード会員データを扱うホストがあれば、そのセグメントは認証範囲(CDE)となる・認証範囲を限定するためにネットワークセグメント化の設計、 FWやVLANの構築・維持が必要・個々の要件を満たすための多くのソリューション・本番稼働中のシステムへの変更はリスクが高い
Unisys Stealthによるアクセス制御による解決策・認証範囲の最小化による取得・維持コスト削減・ネットワークとアクセス制御に関する複数の要件に対応・Stealth非導入ホストに影響を与えないため、柔軟に適用が可能・アプリケーション改修をせずに通信を暗号化