Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© Copyright Fortinet Inc. All rights reserved.
メール無害化ソリューション 導入ガイド
フォーティネットジャパン株式会社
2016年7月28日
FortiMailで実現する標的型攻撃メール対策
メール無害化ソリューション概要と要件、導入構成
3
メールセキュリティ強化が急務!!
背景・概要» ランサムウェアや標的型攻撃に対して、早急にセキュリティ強化施策が必要
» インターネット経由のメールで、脅威となっている標的型攻撃による情報搾取を防ぐために、メールを「無害化」してから受信者へ配送する。
メール無害化の要件① 添付ファイルを削除(メール無害化)
配送するメールから全ての添付ファイルを削除
② HTMLメールをテキスト化(メール無害化)配送するメールから全てのHTMLタグを削除
FortiMail で一括対策可能
4
フォーティネットの提案
メール無害化に特化したソリューションを提供» 宛先ドメインごとに、メールの添付ファイルを削除できる
» 宛先ドメインごとに、メールのHTMLタグを無効化できる
» URIを除去できる
» 添付ファイルやHTMLタグのついた無害化前の元メールを別途保管もできる
Webメールから閲覧することでリスクを低減できる
サンドボックス連携で強力なゼロデイ対策を提供» システムの自動連携で、管理者負担の少ない効率的な運用ができる
» サンドボックス検査で「無害性を確認したファイル」のみ配送することができる
» サンドボックス検査が終わるまでは配送を一時的に保留できる
5
適用ケース
エンタープライズ・メールセキュリティ» 標的型攻撃メール対策の一層の強化
地方自治体向けメール無害化ソリューション» 自治体情報システム強靭性向上モデルに沿ったメールセキュリティ強化
• セキュリティクラウドへの導入
• 地方自治体側への導入
メールによる情報流出リスクを低減
6
エンタープライズ向け導入イメージ
イントラネット DMZ
研究開発DB
セールス情報
FortiGate
インターネットメール/情報収集端末メール端末
FortiMail(Gatewayモード)
内部メールサーバ
危険なメールをブロック、添付ファイル削除、隔離、コンテンツの無害化
特定通信のみ許可
ファイアウォールIPSなど
FortiMail(Serverモード)
FortiGate
FortiSandbox
危険性の低いメールのみアーカイブ
企業のポリシーに合わせた柔軟な設定が可能!!
アンチウイルス+アンチスパム機能+メール無害化機能 ゼロデイ攻撃検出
FortiGate
New
7
自治体情報システム 強靭性向上モデルセキュリティクラウドへの導入
凡例:
LGWANセグメント
LGWANメールサーバ
外部メールサーバ
LDAP(User DB)
NAS(Mailbox)
個人番号業務等LAN インターネット接続LAN
インターネットセグメント
インターネット系メールサーバ
VDI/RDSサーバ
FortiMail(Gateway)
FortiMail(Server)FortiSandbox
・元メールの形式を維持してメールボックスへ保存・インターネットセグメントよりWebメールでアクセス
・添付ファイル及びHTMLタグを削除して宛先MTAへ配送・添付ファイル付きの元メールをWebメールサーバへ配送・アンチウイルス、アンチスパムおよびサンドボックス検査を実施元メール
無害化メール
メール配送経路
メール閲覧経路
情報セキュリティクラウド(都道府県)
自治体ネットワーク(市町村)業務端末
8
自治体情報システム 強靭性向上モデル地方自治体側への導入
凡例:
LGWANセグメント
LGWANメールサーバ
外部メールサーバ
インターネットセグメントVDI/RDSサーバ
MailGateway
・クラウド上のメールゲートウェイにより転送。・添付ファイル、HTMLタグについては対策なし。
元メール
無害化メール
メール配送経路
メール閲覧経路
情報セキュリティクラウド(都道府県)
自治体ネットワーク(市町村)
LDAP(User DB)
NAS(Mailbox)
FortiMail(Server)
・元メールの形式を維持してメールボックスへ保存・インターネットセグメントよりWebメールでアクセス
FortiMail(Gateway)
・添付ファイル及びHTMLタグを削除して宛先MTAへ配送・添付ファイル付きの元メールをWebメールサーバへ配送・アンチウイルス、アンチスパムおよびサンドボックス検査を実施
FortiSandbox
業務端末
FortiMailによるメール無害化設定ガイドFortiMail v5.3.4以降
10
メール無害化サンプル構成図
以下のメール環境における、メール無害化の設定例を示します
送信元メールサーバ
FortiSandbox
①元メールを ”変更せずに“配送(添付ファイル、HTML形式を維持)
FortiMail
② ”無害化”したメールを配送(添付ファイル、HTML無効化)
元メール保全用メールサーバ
宛先メールサーバ
172.16.10.23
172.16.10.22
保護ドメイン:example.com
メール環境
保護ドメイン example.com
元メール保全用メールサーバ 172.16.10.23
宛先メールサーバ(無害化メール配送先) 172.16.10.22
11
FortiMail 設定手順
① 保護ドメインの設定
② コンテンツプロファイルの設定(1) 添付ファイル削除用アクションプロファイルを定義
(2) HTML無効化用アクションプロファイルを定義
(3) ファイルフィルタを定義
(4) コンテンツプロファイル定義
③ 受信メール用ポリシーの設定
コンテンツプロファイルの適用
④ メール振り分け時の形式設定
メール保全用サーバへは “元メール維持”、宛先サーバへは “無害化”
12
①保護ドメインの設定
保護ドメイン宛の “無害化” したメールのリレー先を設定
保護ドメイン宛メールのリレー先サーバ
保護ドメイン
13
②コンテンツプロファイル設定(1) 添付ファイル削除用アクションプロファイルを作成
プロファイル > コンテンツ > アクション > 新規… を選択
①
②
③④
⑤
⑥
① プロファイル名を入力② 件名にタグ付けに☑、次の値:にタグ付けしたいワードを設定③ 別サーバーにリレーに☑、リレーするサーバーのIPアドレスを設定④ Deliver to original host に☑⑤ 置換に☑⑥ 作成ボタンをクリック
14
②コンテンツプロファイル設定(2) HTML無効化用アクションプロファイルを作成
プロファイル > コンテンツ > アクション > 新規… を選択
①
②
③④
⑤
① プロファイル名を入力② 件名にタグ付けに☑、次の値:にタグ付けしたいワードを設定③ 別サーバーにリレーに☑、リレーするサーバーのIPアドレスを設定④ Deliver to original host に☑⑤ 作成ボタンをクリック
15
②コンテンツプロファイル設定(3) ファイルフィルタを作成
コンテンツ > ファイルフィルタ > 新規… を選択
①
② ③
④
⑤
① プロファイル名を入力② ユーザー定義:に全ファイル指定の「*」を入力③ 右矢印をクリック④ 全ファイル指定「*」が選択済みに移動⑤ 作成ボタンをクリック
*は、すべてのメールが対象になります。
16
②コンテンツプロファイル設定(4) コンテンツプロファイル作成 -1
コンテンツ > コンテンツ > 新規… をクリック
①
②
③
① プロファイル名を入力② 添付ファイルのスキャンルールで新規をクリック③ 添付ファイルのスキャンルール作成
17
②コンテンツプロファイル設定(4) コンテンツプロファイル作成 -2
前ページの続き
⑤
④ Detect HTML contentに☑、アクションを選択(1) Convert HTML to text・HTMLタグをすべて削除・MIME Content-Typeをtext/plainに変更
(2) Sanitize HTML content・HTML形式を維持して、リンクを無効化
(共通オプション) Remove URIs・リンク無効化時にURIも削除
⑤ 作成ボタンをクリック
④
18
③受信用ポリシー設定
①
②
① 対象の保護ドメインを選択② 作成したコンテンツプロファイルを選択③ 作成ボタンをクリック
ポリシー > ポリシー > 受信者ポリシー > 新規…
②
19
④メール振り分け時の形式設定メール保全用サーバへは“元メール維持”、宛先サーバへは“無害化”
①
②
① Deliver to altemate host で“Unmodified copy”を☑(元メール維持)Deliver to original host で“Modified copy”を☑(無害化)
② 適用ボタンをクリック
メール設定 > 設定 > 設定
20
コンテンツプロファイル処理フロー
添付ファイルあり?YES
NO
無害化:・件名タグ付け [attachment]・添付ファイル削除
HTMLタグあり?
宛先へ配送
NO
インターネットメール受信
元メールのアーカイブ:・Webメールサーバへ配送
YES
元メールのアーカイブ:・Webメールサーバへ配送
無害化:・件名タグ付け [html]・HTMLの無効化
21
メール無害化のサンプル
・元メール ・ユーザーが受信するメール
添付ファイルが削除されたことを通知するメッセージに差し替え
テキストに変換
22
Webメールによる保全された元メールへのアクセス
元メール保全用メールサーバーがFortiMail(サーバーモード)のときのみ。それ以外の場合は配送先で保存メールを確認してください。
FortiMail サンドボックス連携設定手順
24
アンチウイルスとFortiSandbox
アンチウイルスシグネチャーはFDN経由で配信されます。
» FDNの通信ポート : UDP 53, 8888, 8889, 9443 / TCP 443
アンチウイルスエンジンによるウイルスの検知とFortiSandbox連携による未知のマルウエア検知がサポートされます。
設定は下記の順番でアンチウイルスプロファイルでおこないます。
» プロファイル設定
» アクション定義
» ポリシー作成
» プロファイル適用
» FortiSandbox連携設定
25
ウイルススキャン設定 - ①AVプロファイル
①配信されたシグネチャーDBで検査
(既知のマルウェア)
②ヒューリスティックエンジンで検査
(CPU-Intensive resource)
③ユーザ定義のシグネチャーで検査
(SHA-1 ファイルシグネチャー)
④グレーウェアスキャンを有効化
(mail bomb等を検知)
新規プロファイル生成
AVエンジン有効化
受信ドメイン名
プロファイル名
①②③④
アクション名
26
ウイルススキャン設定 – ②アクション
プロファイル名
受信ドメイン名
複数アクション選択可能
シングルアクション選択のみ
① ウイルスを取り除き差し替えメッセージを挿入(差し替えメッセージは日本語カスタマイズが可能)
②ウイルス検出時通知メール送信
(送信者、受信者、その他の受信者)
③ ウイルス検出時システム隔離
(ユーザ隔離は不可能)
①②
③
管理者権限で検体を取り出しは可能
27
ウイルススキャン設定 – ③適用ポリシー作成
IPポリシー» IPセグメント/ グルップ / プール単位でプロファイル適用
受信者ポリシー (一般的な設定)
» 受信メールドメイン単位でプロファイル適用
28
ウイルススキャン設定 – ④プロファイル適用
作成されたアンチウィルスのプロファイルを適用
29
FortiSandboxとの連携 – 接続設定
未レーティングのURIのみをスキャンします。
スキャンするファイル形式を指定します。
①
②
③
④
FortiSandboxのIPを設定
FortiSandbox接続テスト
① FortiSandboxからのレポートや通知メールを受けるメールアドレスを指定
② FortiSandbox 統計取得インターバル
③ Fortisandboxからの判定結果待ち時間
(タイムアウトされた場合はメールリレー)
④ 判定結果を維持する時間 – キャッシュ
(重複ファイルに効果的)
Submit and wait for result:ファイル送信 & 判定結果待ちSubmit Only:ファイル送信のみ
30
FortiSandboxとの連携 – スキャン条件設定
① スキャンするメール対象を定義② 未レーティングのURIのみをスキャン(例 : Fortiguard上でカテゴリーされなかったサイト)③ FortiGuardからレーティングの結果を得られなかった時 (例 : Fortiguardとの通信切断)④すべてのURIをスキャン
スキャン対象のファイル形式を指定
メール本文にあるURIをスキャン例 :マリシャス、フィッシングサイト
①ユーザ定義のファイルパターンを設定
② FortiSandboxに送信するファイルサイズを制限
①
②
①
AVプロファイル適用要
②③④
31
FortiSandboxとの連携 – AVプロファイル適用
アンチウイルスプロファイルから、「FortiSandbox」を有効化
サンドボックスのスキャン結果により、アクションを選択(例:強く疑わしい場合は破棄、やや疑わしい場合はタグ付け)
32
FortiSandbox Cloudとの連携
Fortisandbox Cloudを選択
FortiSandbox Cloudの特徴
小中規模(SMB)を対象としたソリューション
アプライアンスと同等の機能を提供
URIスキャンはサポートしていません
機器選定ガイドラインと推奨
34
大規模ネットワーク導入例 (~3,000 ユーザ)
ユーザー数:3,000名以下
FortiMail-1000Dゲートウェイモード
メールサーバ
FortiSandbox-3000D
35
中規模ネットワーク導入例 (~1,000 ユーザ)
ユーザー数:1000名以下
FortiMail-400Eゲートウェイモード
メールサーバ
FortiSandbox-1000D
36
小規模ネットワーク導入例 (~400 ユーザ)
ユーザー数:400名以下
FortiMail-200Eゲートウェイモード
メールサーバ
FortiSandbox-VMorFortiSandbox Cloud
37
FortiMail サイジング参考値
FortiMail-200E FortiMail-400E FortiMail-1000D FortiMail-3000D
メール・トランザクション数/時 80,000 157,000 680,000 1,500,000
アンチスパム 71,000 147,000 620,000 1,400,000
アンチスパム+アンチウイルス
61,000 126,000 500,000 1,300,000
推奨ユーザ数(ゲートウェイモード)
400人以下 1000人以下 3000人以下3000人以上
(お問い合わせください)
メールボックス数(サーバーモード)
150 400 1,500 3,000
メール無害化対応製品一覧
39
ソリューションコンポーネント
FortiMail:メールセキュリティ
» 機能
メール無害化に対応
» 添付ファイル削除
» HTMLタグ無効化
アンチスパムが標的型攻撃メールやランサムウェアをブロック(VB100テストでスコア100.00)
サンドボックス連携機能
» ユーザにメールが届く前に検査
メールサーバ機能
» Webメール機能提供
» ラインアップ
FortiMail 200E
FortiMail 400E
FortiMail 1000D
FortiMail 3000D
FortiMail VM
http://www.fortinet.co.jp/products/fortimail/
40
ソリューションコンポーネント
FortiSandbox:サンドボックス
» 機能
ゼロデイマルウェア検知
FortiMailとの連携による検査中のメールの配送保留
添付ファイルなどに脅威を検出すると管理者へアラートメール送信
ゼロデイ検出時にFortinet製品へローカルシグネチャ配信
» ラインアップ
FortiSandbox 1000D
FortiSandbox 3000D
FortiSandbox VM
http://www.fortinet.co.jp/products/fortisandbox/
41
ソリューションコンポーネント
FortiGate:次世代ファイアウォール
» 機能
ファイアウォール
VPN
IPS(不正侵入検知)
アプリケーション制御
Webフィルタリング
アンチマルウェア
アンチウィルス
DLP(情報漏えい防止)
Webプロキシ
» ラインアップ
デスクトップモデル
ミドルレンジモデル
ハイエンドモデル
仮想アプライアンス
http://www.fortinet.co.jp/products/fortigate/
42
ソリューションコンポーネント
FortiAnalyzer:ログ解析/セキュリティレポート
» 機能
セキュリティレポート
脅威の把握
» いつ、どこから、被害者は?
脅威への素早い対応
» ラインアップ
FortiAnalyzer 1000E
FortiAnalyzer 3000E
FortiAnalyzer 3500E
FortiAnalyzer VM
http://www.fortinet.co.jp/products/fortianalyzer/
43
ご参考資料
ソリューションブリーフ
» http://www.fortinet.co.jp/doc/SB_Todofuken.pdf
» http://www.fortinet.co.jp/doc/SB_SJSS.pdf
製品マニュアル
» http://docs.fortinet.com/fortimail/admin-guides
» http://docs.fortinet.com/fortisandbox/admin-guides