LoginSignup
5
4

More than 3 years have passed since last update.

Linkbal(リンクバル)Advent Calendar 2020Day 25linkbal
@mk_linkbal(m k)in株式会社リンクバル

DeepSecurityのサーバ多層防御について

Last updated at Posted at 2020-12-24

今年もPayPayの不正アクセスなどの、セキュリティインシデントがありました。今年の年末年始も安心して過ごせるようセキュリティネタで行かせていただきます。AWS MarketPlaceで提供されているTrend Micro Cloud One Workload Security(C1WS)(旧Trend Minro DeepSecurity as a Service(DSaaS))について調べたのでまとめました。本記事ではDeepSecurityの名称で記載させていただきます。

DeepSecurityとは

  • DeepSecurityはTrendMicroが提供してる、サーバで多層防御を実現するセキュリティ製品

DeepSecurityの構成

DeepSecurity-DSの構成 (1).png

  • DeepSecurityAgent(DSA)をサーバにインストールする
  • DSAがAWS MarketPlaceで提供されているDeepSecurityManager(DSM)と通信して管理対象として認識される
  • 保護するために必要な情報は、TrendMicroが提供する最新の脅威インテリジェンスである、Smart Protection Network(SPN)からDSMに同期され、DSMからDSAに設定したタイミングで同期される

DeepSecurityの保護機能

DeepSecurityには次の7つの保護機能があり、これらの機能によりサーバ内で多層防御を実現している

1.不正プログラム対策

DeepSecurity-不正プログラム対策.png

  • 不正プログラム対策は、ファイルベースからの脅威(ウィルス・トロイの木馬・スパイウェアなど)からサーバを保護する機能(ウィルスバスターのようなもの)
  • 定期的にアップデートされる脅威データベースとファイルを照合し、そのファイルが脅威であるかどうかを判定する
  • 検出された不正ファイルは、設定に基づいて駆除・削除・隔離し、検出された脅威に関するプロセスの終了、システムオブジェクトの削除などを行う

2.Webレピュテーション

DeepSecurity-Webレピュテーション.png

  • Webレピュテーションは、脅威の出どころである不正URLへのリクエストをプロックする保護機能(URLフィルタリング)
  • Webサイト応答時に応答を保留して、接続したWebサイトの信頼性スコアをSPNに問い合わせて判定する
  • Webレピュテーションに設定されているセキュリティレベルに基づいて、信頼性スコアに問題なければWebページ表示、信頼性スコアがNGならプロックページを表示する
  • TrendMicroが提供している、Webサイトの安全性を確認するサイト

3.ファイアウォール

DeepSecurity-ファイアウォール (2).png

  • ファイアウォールは、NDIS(Network Driver Interface Specification)ベースのファイアウォール
  • 通信の個々のパケット内の制御情報(ヘッダ)を検査する
  • DSMで割り当てられたファイアーウォールポリシーに基づき、不正なパケットをブロックまたは正常なパケットを許可などの制御を行う
  • NICのNDISドライバに組み込まれるため、トラフィックがコンピュータに到達した瞬間からセキュリティ保護が適用される

4.侵入防御

DeepSecurity-侵入防御.png

  • 侵入防御は、IPS / IDS / WAFの保護機能
    • OSやアプリケーションに対する既知の脆弱性攻撃
    • ゼロディ脆弱性攻撃
    • SQLインジェクション攻撃
    • クロスサイトスクリプティング(XSS)
    • Webアプリケーション脆弱性など
  • 通信の個々のパケット内のペイロードを検査する
  • DSMで割り当てられた侵入防御ポリシーに基づき、検出されたパケットについて、防御または検出などの制御を行う

5.変更監視

DeepSecurity-変更監視.png

  • 変更監視は、HIDS(ホスト型侵入検知)でサーバのシステムファイル・設定ファイルなどを保護する機能
  • 変更監視開始時に作成するベースラインからの変更を監視する
  • DSMで割り当てられた変更監視ポリシーに基づき、サーバ内のシステムファイル、設定ファイルなどの変更点を検出する

6.セキュリティログ監視

DeepSecurity-セキュリティログ監視.png

  • セキュリティログ監視は、HIDS(ホスト型侵入検知)でサーバ内の不審な動作からサーバを保護する機能
    • さまざまなOSとアプリケーションを含む異種環境でイベントを収集し、一元管理が可能
    • エラーなどのイベントや情報イベントを表示する(ディスクがいっぱいである、サービスの開始/停止など)
    • 管理者のアクティビティの監査証跡を作成して維持する(管理者のログイン/ログアウト、アカウントのロックアウト、ポリシーの変更など)
  • セキュリティログ監視開始時からのシステムイベントなどを監視する
  • DSMで割り当てられたセキュリティログ監視ポリシーに基づき、サーバ内のシステムログファイル・アプリケーションログファイルなどから不審な動作を検出する

7.アプリケーションコントロール

DeepSecurity-アプリケーションコントロール.png

  • アプリケーションコントロールは、新規または変更されたソフトウェアの追跡と管理を行う機能
  • アプリケーションコントロール開始時に作成するベースラインからのパッケージ・ソフトウェアの変更を監視する
  • 割り当てられたアプリケーションコントロールポリシーに基づき、パッケージ・ソフトウェアの新規インストール・更新の許可・禁止を制御する

まとめ

  • DeepSecurityはサーバで多層防御を実現するセキュリティ製品
  • 7つの保護機能でサーバの多層防御を実現
  • TrendMicroSPNの最新の脅威インテリジェンスをベースに保護

さいごに

ちなみにDeepSecurityのおすすめ機能は仮想パッチ。たとえばサーバにインストールしているパッケージでゼロディ脆弱性があった場合、対応したパッケージが提供されるまで、その脆弱性を抱えたままサーバを運用することになるのですが、そのパッケージが提供されるまで、DeepSecurityの侵入防御の保護機能でその脆弱性に対応したルールによって保護するといった機能で、仮想的にパッチが適用されている状態を維持します。

5
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
4