セキュアネットワーク構築の最後のキーディバイス。満を持して登場！～最新クラウド型サンドボックス、Juniper Sky ATPと、次世代FWに必要な機能・可視化を飛躍的に向上させた最新セキュリティ管理ツール、Juniper Security Director～

ジュニパーネットワークス株式会社

2016年6月

Interop Tokyo 2016

Legal Disclaimer

本資料に記載されている機能や構成、ロードマップ情報などは、資料作成時点におけるジュニパーネットワークスの仕様や予定を示したものであり、事前の通告無しに内容が変更されることがあります。

本資料は技術情報の提供を目的としたものであり、機器、機器の機能、サービスなどに関して保証を行うものではありませんので、ご注意ください。

ジュニパーネットワークスの概要

設立 1996年2月

本社所在地 アメリカ合衆国カリフォルニア州サニーベール市

CEO ラミ・ラヒム

事業概要 ネットワーク機器（ルータ、スイッチ、ファイアウォール等）の製造・販売

従業員数 8,800名以上

売上高 46億ドル (2014年度)

ジュニパーネットワークス株式会社

• 設立 1999年3月

• 所在地 東京都新宿区西新宿3-20-2オペラシティタワー45F

• 代表取締役社長 古屋知弘（ふるや ともひろ）

• 従業員数 130名

ジュニパー製品の最大の特長~全ての機器を1つのOSで

MXシリーズイーサネットルーター

SRXシリーズサービスゲートウェイ

QFXシリーズデータセンター

ファブリックスイッチ

EXシリーズイーサネットスイッチ

One OS

1Q12

12.1

4Q11

11.4

3Q11

11.3

One Release

Module X A

PI

One Architecture

多機能と安定性の実現

高い可用性

アップグレード工数削減

モジュラー型OS

容易な導入時検証

運用管理の容易さ

キャリアネットワークでの豊富な実績と高い信頼性

広範囲なセキュリティサービスを提供するSRXセキュリティソリューション群

SRX 基本サービス

次世代ファイアウォールサービス

ファイアウォール アドレス変換（NAT） VPN ルーティング

アプリケーションの可視化と制御

ユーザベースファイアウォール

Unified Threat Management (既知の脅威に対する対策)

アンチウィルス

不正侵入防御（IPS)ウェブ/コンテンツフィルタリング

アンチスパム

脅威インテリジェンスプラットフォーム

ボットネット/C&C

GEO-IP

独自のリスト, APT

マネージメント レポーティング 分析自動化

（オートメーション）

高度な脅威防御(ゼロデイ)

サンドボックス

Evasive Malware

豊富なレポーティングと分析機能

100G

共通のJUNOSオペレーティング・システム

業界トップクラスのスケーラビリティールーティング、スイッチング、セキュリティを１台に集約

1G

10G

SRX3400

ブランチ

1T

2T

Capacity

エッジ データセンター データセンターコア

SRX3600

SRX5600

SRX5800

SRX5400

vSRX 2.0(Virtual SRX)

最大2Tbpsファイアウォールスループットを実現1億同時セッション・サポート

SRX300SRX320

SRX340

SRX550

SRX345

SRX1500

SRX 製品ラインアップ

エンタープライズ向けSRXサービスゲートウェイSRX300 – 550HM

ルーティング、スイッチング、セキュリティを包括したオールインワン・ディバイス

アプリケーション・セキュリティ、IPSec、MAC-secなど様々なレイヤーに対応したセキュリティを提供

エンドユーザ・アプリケーション・エクスペリエンスとオペレーションの効率化を実現

• 12 x 1GE (Cu) + 4 x 1GE (SFP)

• 4 x 10GE (SFP+)

• 2x PIM slots (将来対応予定)

• 冗長用コントロール専用ポート (SFP)

• 管理専用ポート (1GE)

• 16G eSATA + 120G SSD

• 冗長電源供給 (AC / DC)

• 平均電力: 150W

• サイズ: 1 RU

• 前面⇒背面エアフロー

• Firewall (IMIX) : 5 Gbps

• VPN (IMIX): 1 Gbps

• IPS (recommended policy) : 3 Gbps

• NGFW : 1.5 Gbps

パフォーマンスモジュラータイプのインタフェース

ストレージ & 電力サイズ

エンタープライズ向け高速FW 上位モデルSRX1500

• 大規模キャンパス、大きな支社や支店向け

• ソフトウェア・セキュリティ・サービス• AppSecure（アプリ識別） / IPS

• アンチウィルス、ウェブフィルタリング

• 脅威インテリジェンス

• Spotlight Secure

• Sky Advanced Threat Prevention – ゼロデイ脅威防御

• 用途• 大型のセキュアルータ

• VPNコンセントレータ

• 小規模データセンター

• 次世代ファイアウォール

機能 SRX1500

オンボード Ethernet ポート16 x GE (12Cu +4SFP) 4 x

10GE (SFP+)

サポートJUNOSバージョン JUNOS 15.1X49

ファイアウォールスループット （ラージパケット） 10 Gbps

ファイアウォールスループット (IMIX) 5 Gbps

ファイアウォール(firewall + routing PPS 64byte)

2 Mpps

VPN パフォーマンス (IMIX)

(AES256+SHA-1, 3DES+SHA 1)1 Gbps

NGFW パフォーマンス (IPS, AppFW, logging) 1.5 Gbps

Intrusion Prevention System 3 Gbps

秒間新規セッション数 (CPS) 50 K

最大同時セッション数 2 M

冗長機能(専用冗長コントロールポート – SFP)

アクティブ/スタンバイまたはアクティブ/アクティブ

SRX1500

SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須

vSRX

仮想ﾌｧｲｱｳｫｰﾙ

SRX Series

物理ﾌｧｲｱｳｫｰﾙ

ネットワーク・インフラストラクチャー

ネットワーク境界のセキュリティ確保1

アプリケーションレベルのセキュリティサービス

AppSecure, IPS, AV, Web Filtering, AS, APT

アプリケーションレイヤーの可視化と保護2

Juniper Threat Defense & Intelligence（クラウド上）

Sky Advanced Threat

Prevention

Spotlight Secure Threat

Intelligence

侵入を試みる新しいマルウェア・脅威を防御3

ポリシー, アプリ可視化, 脅威マップ, イベント管理

Security Director による集中管理

SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須

vSRX/cSRX

仮想ﾌｧｲｱｳｫｰﾙ

SRX Series

物理ﾌｧｲｱｳｫｰﾙ

ネットワーク・インフラストラクチャー

ネットワーク境界のセキュリティ確保1

アプリケーションレベルのセキュリティサービス

AppSecure, IPS, AV, Web Filtering, AS, APT

アプリケーションレイヤーの可視化と保護2

Juniper Threat Defense & Intelligence（クラウド上）

Sky Advanced Threat

Prevention

Spotlight Secure Threat

Intelligence

侵入を試みる新しいマルウェア・脅威を防御3

ポリシー, アプリ可視化, 脅威マップ, イベント管理

Security Director による集中管理

標的型攻撃への対応

ジュニパーネットワークス株式会社

2016年4月

標的型攻撃事例 2016年5月現在

http://www.security-next.com/category/cat191/cat27

被害規模は、大小様々攻撃手法・手口も、様々

攻撃が絶えることはない

ボットネット・ハニーポットのリスト2016年4月現在

国内外で拡大中

標的型攻撃の手法• さまざまな攻撃手法を用いて対象を攻撃し、情報を強奪する

社内ネットワーク

C&Cサーバ指令サーバ

感染したシステム

Off NetworkWalk-in Threats

フィッシング攻撃ウィルス攻撃

エクスポロイト(ハッキング)

攻撃

文書埋め込み型エクスポロイ攻撃

標的型攻撃の一般的な防御手法• 標的型攻撃を防御するには、さまざまな防御手法を用いる必要がある

社内ネットワーク

C&Cサーバ指令サーバ

感染したシステム

Off NetworkWalk-in Threats

フィッシング攻撃ウィルス攻撃

エクスポロイト(ハッキング)

攻撃

文書埋め込み型エクスポロイ攻撃

アンチウィルスIPSIDS

IPSIDS

ブラックリスト

アンチウィルスサンドボックス

IPSIDS

サンドボックス

標的型攻撃とセキュリティテクノロジーの関係アプリケーション・

コントロールIPS/IDS アンチウィルス ブラックリスト サンドボックス

アプリケーションの可視化・制御

ネットワーク攻撃

不正アクセス

既知マルウェアシステムとC&C

サーバ

既知マルウェア

未知マルウェア

標的型攻撃には、多段のセキュリティ防衛システムでの対応が必須

SRXとセキュリティテクノロジーの関係アプリケーション・

コントロールAppSecure

IPS/IDSIDP

アンチウィルスAnti-Virus

ブラックリストSpotlight

Secure

サンドボックスSky ATP

アプリケーションの可視化・制御

ネットワーク攻撃

不正アクセス

既知マルウェアシステムとC&C

サーバ

既知マルウェア

未知マルウェア

SRX Solution

SRXは様々な脅威に対応することができる業界最高水準のセキュリティサービス・ゲートウェイ

Junos Space

その他のIPフィード

Security Director

Spotlight Secure Connector

GeoIP feed

すぐに利用可能な脅威インテリジェンス:

• Command and control threats

• GeoIP 地理情報

• オープン

• 拡張可能

• 高いキャパシティ

• 効果的

• 高い適応性

Command & control

Spotlight Secure Cloud

SRX

Spotlight Secure Threat Intelligence• 脅威防御のインテリジェンス

費用対効果の高い出口対策悪意ある攻撃者に情報を渡さない

ブラックリスト対策

Security Intelligence(Sec Intel)インテリジェントファイアウォールの必要性

1110

データフィード

カスタムインテリジェンスフィード

SpotlightConnector

SRXファイアウォール

111011101110

Spotlight Cloud

セキュリティ・インテリジェンスの重要性・ 攻撃能力が防御能力を上回っている・ 攻撃される企業も自らを積極的に守る対策が必要・ スタンドアロンからエコシステムへ・ 次世代FWに、セキュリティ脅威の検知、緩和能力を追加・ リアルタイムでダイナミックな脅威情報のフィード

インテリジェントファイアウォール連携

アタッカー・クラッカーのリスト

オープンソースフィード

サードパーティフィード

ジュニパーネットワークスセキュリティチームによる

フィードの検証- 誤検知のテスト

- フィード間の相関分析- 機械による自動学習- …

ブラックリスト対策

Sky Advanced Threat Prevention

1. SRXが悪意の可能性があるオブジェクトとファイルを抽出

2. SRXは、抽出したコンテンツをクラウド上のATPに転送

3. クラウド上のATPで、static及びdynamicな分析を実施

4. マルウェア検査の結果とC&CサーバのデータをSRXに配信

5. 既知となった悪意のあるファイルのダウンロードと外向けのC&Cサーバへの通信をSRXがブロック

01101010 01110101 01101110 01101001 01110000

SRX

Internet

キャッシュInline

Blocking

複数のアンチウイルス

エンジンによるチェック

サンドボックス

Static Analysis（ファイル構造等）

振舞い分析偽応答による表面化

機械学習

クラウド（AWS/ジュニパー）検査対象ファイル

お客様サイト

結果

アンチウィルス対策サンドボックス

Sky ATP GUI画面（Cloud上）

アンチウィルス対策サンドボックス

ジュニパー クラウド型サンドボックスSky Advanced Threat Prevention

アプリケーション・コントロールAppSecure

IPS/IDSIDP

アンチウィルスAnti-Virus

ブラックリストSpotlight

Secure

サンドボックスSky ATP

アプリケーションの可視化・制御

ネットワーク攻撃

不正アクセス

既知マルウェアシステムとC&C

サーバ

既知マルウェア

未知マルウェア

SRX Solution

SRXは様々な脅威に対応することができる業界最高水準のセキュリティサービス・ゲートウェイ

SRXを主軸にセキュアなネットワーク構築を• 脅威に対抗・対応するには、柔軟に適応できる境界FWの設置が必須

vSRX

仮想ﾌｧｲｱｳｫｰﾙ

SRX Series

物理ﾌｧｲｱｳｫｰﾙ

ネットワーク・インフラストラクチャー

ネットワーク境界のセキュリティ確保1

アプリケーションレベルのセキュリティサービス

AppSecure, IPS, AV, Web Filtering, AS, APT

アプリケーションレイヤーの可視化と保護2

Juniper Threat Defense & Intelligence（クラウド上）

Sky Advanced Threat

Prevention

Spotlight Secure Threat

Intelligence

侵入を試みる新しいマルウェア・脅威を防御3

ポリシー, アプリ可視化, 脅威マップ, イベント管理

Security Director による集中管理

Junos SpaceSecurity Director

お客様におけるネットワークセキュリティの課題

1

2

3

限られたITスタッフの人的リソース

利便性を損なわず、拡張性に優れたセキュリティ機能の提供

拡大し続けるネットワーク上の複数のセキュリティ機器やポリシーの管理

複数のセキュリティ機器に対応した効率的なセキュリティポリシー管理を実現

ビジネスの成長に追随可能な高い拡張性を持つ機器管理

問題解決のために拡張性に優れたアプローチによるネットワークセキュリティの管理を！

Junos Space Security Director

きめ細やかな保護を実現する包括的なセキュリティポリシー管理

Junos Space Security Director

SRXシリーズの一元管理

ワークフローによる管理: 審査/承認プロセスを伴うポリシー変更管理・運用

管理・コントロール

ファイアウォールの管理

セキュリティ サービス

UTM/統合脅威管理

IPsec VPN の管理

アドレス変換(NAT) 管理

アプリケーションレベルのポリシー管理

Intrusion prevention (IPS) 管理

階層化によるファイアウォール管理の簡素化

ダッシュボード

Security Director スクリーンショット

ファイアウォールポリシー

ダッシュボード

Security Director スクリーンショット

ファイアウォールポリシー

脅威マップ

ダッシュボード

Security Director スクリーンショット

ファイアウォールポリシー

脅威マップ

ダッシュボード

Security Director スクリーンショット

ファイアウォールポリシー

脅威マップ

イベントとログ

ダッシュボード

Security Director スクリーンショット

ファイアウォールポリシー

脅威マップ

イベントとログ

アプリケーション可視化

ダッシュボード

Security Director スクリーンショット

Security Directorのメリット

効率的なセキュリティポリシーの管理

セキュリティインシデントを把握しやすいインタフェース

ユーザフレンドリーな操作性

Thank you