HIPとは何ですか？ゼロトラストネットワークアクセスとは？Airwallとは？

セキュアなプロトコル Host Identity Protocol/HIPを利用した ゼロトラストネットワークアクセス（ZTNA）とは? 脱VPN脆弱性・IoTセキュリティ・セキュアリモートアクセス Takuma Miki

は安全でしょうか？ 社内・工場ネットワークは でしょうか？ 御社の VPN環境は安全 でしょうか？ 2020年 増加したテレワーク・現地訪問NG・海外拠点、、 「 リモート接続 」 から していますでしょうか？ 2

２０１９年・２０２０年 VPNを狙った攻撃が増加 コロナによるリモートアクセス増加も関連か!? インターネットに接続しているさまざまな機器を検索できる Webサービス ↓ 攻撃者は・・・・ ・公開されている脆弱性情報 や Shodan等で、脆弱性のシステムを探し出す。 ⇒次ページ参照 ・攻撃ツールは、インターネットで入手することも可能。 各メーカとも、早急に対策可能なパッチをリリース。 対応には問題無し！！！ ただ、導入側のユーザ企業が怠ると・・・ 機器の脆弱性を悪用されVPNの接続に 用いられる認証情報が漏洩 VPNの脆弱性 脆弱性情報 Fortinetの脆弱性 （CVE-2018-13379） Pulse Secure/VPNサーバの脆弱性 （CVE-2019-11510） Citrix/VPNアプライアンスの脆弱性 （CVE-2019-19781） F5 BIG-IPの脆弱性 （CVE-2020-5902） Microsoft Exchange Serverの脆弱性 （CVE-2020-0688） 3

間違っていけないのは・・・ 正しい運用のVPNは安全です！ VPNメーカは対策を実施しています！！ ただ・・・しかし、、、 は狙われてる・悪用されてます！！！ 4

※VPNの脆弱性を悪用した攻撃手順 攻撃の原因は・・・・・管理者？ ＜VPNサーバのパッチ運用しているのか？＞ Internet VPN装置 ・脆弱性機器を把握できているのか？ ・VPNサーバにパッチ運用行っているのか？ 1. インターネットをスキャンしてパッチが適用されていない リモートアクセス ＆ VPNサーバを調査 2. 「 脆弱性 」を突いて内部ネットワークへ侵入 3. ログやキャッシュなどからアカウントデータを取得 ・きっちりパッチ管理している？ 「人手が足りない」「 後回し 」「運用が回らない」 結果：変更・バージョンしたがらない・・・・ ＜リモートアクセスの意味を理解しているか？＞ 4. ドメイン管理者のアカウント情報を取得 従業員・ベンダーにインターネット/VPN経由で 5. ネットワークを横方向へ移動 リモートアクセスの許可をしている。 ：リモートで業務/作業などを許可するのは、 6. ランサムウェアをネットワークシステムへ拡散 7. ランサムウェア攻撃などを実施 インターネット経由のスキャン対象になる ＝攻撃者もサーチ（探索）可能になる

インターネットVPNは、便利であり、 「 つなぐ 」 為に 「 境界（入口）で認証」 ＆ 「暗号化 」は、 COVID-19でリモート必要・狙われるネットワーク 行われていた ただし、、、 製造業/DX化・IoTの活用・テレワーク・・・ 通過すれば、、すり抜ければ・・・・ 常に危険で、どこからでも・さまざま「つながる時代」へ そしてあなたのそばで、、、 ↓ 脆弱性が狙われている、いつも ・・・ セキュリティを考慮し、利便性を高めるには・・・

ゼロトラストネットワーク

ゼロトラストネットワークアクセス（ZTNA） ここにきて、 働き方改革/ テレワーク コロナ禍以前から唱えらえていた！ セキュリティ が注目されている理由 • 境界型の終焉 信頼済みのリスク • VPNの脆弱性 • ラテラルムーブメント • 標的型攻撃対策 ※IPA情報セキュリティ10大脅威 第1位 2019/2020 ハイブリット/ マルチクラウド セグメンテーション の重要性 • 業務アプリ/サーバはクラウドへ • 様々な環境にある社内プラットフォーム

ゼロトラストネットワークを実現する容易なネットワークセキュリティ Tempered 「Airwall」 1. ：ゼロトラストネットワークアクセス（ZTNA） 2. ：マイクロセグメンテーション 3. ：セキュアリモートアクセス 4. ：管理者の許可のもと信頼された相手とだけ繋ぐ 5. ：HIP（Host Identity Protocol） 6. ：デバイス認証・暗号化・デバイスクローキング 9

ゼロトラストネットワークを実現する容易なネットワークセキュリティ Tempered 「Airwall」 1. ：ゼロトラストネットワークアクセス（ZTNA） ちょっとまった！ これ何？ 3. ：セキュアリモートアクセス 2. ：マイクロセグメンテーション 4. ：管理者の許可のもと信頼された相手とだけ繋ぐ 5. ：HIP（Host Identity Protocol） 6. ：デバイス認証・暗号化・デバイスクローキング 10

ヒップ？ エイチアイピー？ HIPというプロトコル 知っていますか？ 独自プロトコル？

これです！ ｜ ｜ 出典: フリー百科事典『ウィキペディア（Wikipedia）』：プロトコル番号一覧

簡単に言うと・・・ Q:HIPとは？？？

A:セキュリティを考慮して 作られたプロトコル えっ！TCP/IPは？ TCP/IPは安全でない？？

HIP （Host Identity Protocol）とは・・・・ コンセプト： ID /ロケータの分離 ！ ：IDとLocatorを同時に持つIPアドレスには限界がある！！！ ⇒IDベースの通信へ ：識別子を2048bit の RSA 公開鍵を使って強力に暗号化して、ユニークなIDとして識別 ：IDを識別子、認証し、ホワイトリストに登録されたIDの相手のみと通信を実施 ：ネットワークとして、拒否（DoS）攻撃や中間者攻撃にも耐性あり！ ・HIPでセッションを張った後は、IPsec同等の暗号化（AES-256）で暗号化通信

TCPは繋げるを優先・・・ HIPはセキュリティを優先！ Internet 3.0 – Internet 2.0 – “Network everything” “Network ONLY CRYPTO-IDENTIFIED things” アプリケーション (L5-L7) IP Address: Port トランスポート (L4) IP Address: Port セキュアに、 信頼されたNWに、 つなぐ！ ネットワーク (L2-L3) 物理リンク (L1) IP Address MAC address UNTRUSTED “まずは繋ぐ, ⇒ そして認証＆許可！” アプリケーション（L5-L7） トランスポート（L4） Host Identity（L3.5） ネットワーク（L2-L3） 物理リンク（L1） Host Identity Tag: Port Host Identity Tag: Port Host Identity Protocol (HIP) IP Address MAC address TRUSTED “まずは認証＆許可 ⇒ そして暗号化 ⇒ 繋ぐ”

HIPは 4-Way Handshake ！ 端末認証・暗号化・ホワイトリスト Authentication, Authorization, Accountability (AAA) Initiator Receiver I1: HIT(i), HIT (r) R1: HIT(r), HIT(i), puzzle DH(r) K(r) sig I2: HIT(i), HIT(r), solution DH(i) K(i) sig R2: HIT(r), HIT(i), sig HIP Service HIP Service Airwall 150 Airwall 150 認証: Base Exchange は、TCP セッションの確立前に呼び出され、2 回のラウンドトリップ時間で 4 つのメッセージで構成され、DiffieHellman キーを配布してホストを認証します。

HIPは 4-Way Handshake ！ 端末認証・暗号化・ホワイトリスト Authentication, Authorization, Accountability (AAA) Initiator Receiver Peer-to-Peer ESP Protected Tunnel HIP Service HIP Service Airwall 150 Airwall 150 信頼できる通信: Base Exchange の後、相互に認証および承認された HIP サービスは、対称キーを使用して、証明書ベースのカプセル化セキュリティ ペ イロード (ESP) で保護されたトンネルを相互に形成します。

では、このセキュアな HIPを 使っている仕組みは？

Temperd 5 つ の ポ イ ン ト ！ “Airwall” ① HIP による オーバレイNW＆ネットワーク分離 & 暗号化通信 ② 簡単にセキュアネットワークを！※既存NW構成OK/IP重複OK! ③ オーケストレーション＝センター集中の一元管理 ④ 容易なマイクロセグメントを実現 ～守りたい重要な個所を～ ⑤ VLAN/ACL/IPアドレス設計からの脱却 ⇒IDを指定するだけ！

製品コンセプト:ソリューション背景    1999年：米国海軍が”HIP”を考案 2002/3年：IETF標準化団体でHIPを検討 2004年：IETF内でHIPのWorking Group組織 ◦ ボーイングR&DのDavid Mattesも参加    2005年：ボーイングプロジェクト開始。その後導入 2012年4月：Asguard社設立。商用版リリース 2014年10月：Tempered Networks設立 21

HIPの歴史：別途ホワイトペーパーもご用意

Zero Trust Network Access （ZTNA） ～容易にセキュアネットワーク接続・ネットワークセグメンテーション・NW管理を実現～ ①Airwall Conductor オーケストレーションエンジン 設定・変更を一元的に ②Airwall Services ③Airwall relay Airwallデバイス ＆ Airwall IDルータ Airwallクライアントソフト 各デバイス/セグメントに配備 復号化せずにプライベートま たは非ルーティングエンドポ イント間のピアツーピア暗号 化接続を許可します

Airwall ～容易にセキュアネットワーク接続・ネットワークセグメンテーション・NW管理を実現～ Clients Hypervisors Servers Appliances HIPswitch 75 HIPswitch 150 HIPswitch 250 HIPswitch 500 Clouds

外部から安全に接続。OT/IoTデバイスをクローキング＝隠す。VPNの脆弱性克服 ・既存のネットワークからステルス化（デバイス見えなく）し攻撃を受けなく ・ACL・FWルール・VLAN設定でのNW設計が不要＝GUIでデバイス選択・登録のみ ・必要な時だけ・必要な端末だけ・管理者主導でつながせる 攻撃者からは見えない OT/IoTデバイス・サーバ・PC等 （見えない＝攻撃されない） Airwall Conductor ＝セキュアNWを一元管理・設定＝＝ 拠点 DC L3 DeviceA 管理者が、通信する端末をGUIで登録 ：変更の際は簡単に追加・削除可能 FW Host Identity Protocol（HIP）＆Eencryption [AES-256] Airwall Services [Airwall Gateway ] DeviceB 重要サーバ セキュアオーバレイNW（ID通信・暗号化通信・デバイス認証） 特定デバイス Airwall Services [ Airwall Gateway ] CONTROL PLANE DATA PLANE 必ず、登録されている相手とだけ通信 必ず、登録されている相手とだけ通信 （知らない端末からの通信には応答しない） （知らない端末からの通信には応答しない） Airwall Services [ Airwall Client ] TCP/IP 社内LAN・WAN・インターネット・LTE網ネットワーク 25

管理者が許可した相手とだけ通信＝それ以外の通信（＝攻撃）は無視 隠して守る＝許可された相手とだけ通信。それ以外は応答しない（HW版） HIP（ Host Identity Protocol ）を使い、セキュアアクセスを実現！ クローキングすることにより スキャンにさえ応答しない 脆弱性を狙う攻撃者から見つからない！ 26

現在の堅牢なネットワークは、設計は、構築は、、、 セキュリティを気にしながら作られるネットワークは、手間で設定が面倒である 人日工数 課題 頑張る VPNs FW RULES NAT ルータ＆ファイヤーウォールで頑張る IPSEC TUNNELS ACLs interface gigabitethernet 0/3 nameif dmz CELLULAR Different: security-level 50 NETWORKS ip address 192.168.2.1 255.255.255.0 • Users no shutdown • Access Points same-security-traffic permit inter-interface route outside 0 0 209.165.201.1 1 • Locations/Networks nat(dept1) 1 10.1.1.0 255.255.255.0 nat(dept2) 1 10.1.2.0 255.255.255.0 • Roaming router rip network 10.0.0.0 default information originate FW/VPNs version 2 ssh 209.165.200.225 255.255.255.255 outside logging trap 5 APNs FW/VPNs CGNAT VLAN職人によるコンフィグ作業 Different: • IP/DNS Namespaces CERTIFICATES • Security Controls CERTIFICATES MULTI-NAT SSH KEYS SEC GROUPS • Networking Context SSH KEYS IPSEC TUNNELS VPNs FW RULES ACLs • Workloads Router>enable Router>#configure terminal • Address-Defined Router(config)#hostname CORP ISP(config)#interface serial 0/0/0 CORP(config-if)#description link to ISP CORP(config-if)#ip address 192.31.7.6 255.255.255.252 CORP(config-if)#no shutdown Different: CORP(config)#interface fastethernet 0/1 CORP(config-if)#description link to 3560 Switch • VendorsCORP(config-if)#ip address 172.31.1.5 255.255.255.252 • SystemsCORP(config-if)#no shutdown 課題 課題 Internet Different: • IP/DNS Namespaces ON-PREMISES • Security Controls CGNAT CERTIFICATES IPSEC TUNNELS FW • Networking Context RULES • Networks VPNのルールをガリガリ・・・ •ACLs Internet VLANS MULTI-NAT VPNs WIRELESS • MPLS NETWORKS • WiFi 作業・作業・作業 • Cellular • Users / Time • Locations/Networks APNs 面倒 device(config)# ip access-list standard Net1 CERTIFICATES NAT deny host 10.157.22.26 device(config-std-nacl-Net1)# ACLs device(config-std-nacl-Net1)# deny 10.157.29.12 device(config-std-nacl-Net1)# deny host IPHost1 device(config-std-nacl-Net1)# permit any device(config-std-nacl-Net1)# exit device(config)# int eth 1/1 device(config-if-e10000-1/1)# ip access-group Net1 in FW RULES ACLs VENDORS REMOTE DEVICES VPNs VLANS FW RULES ACLを追加・変更・面倒・・ 課題 VPNs VLANS

Airwall アジア諸国 ～管理者が定めたデバイスだけ いつでも、どこでも、容易に 守りたい 安全につなぎたい IoTデバイス つなぐ！～ The Condctor ～全ての設定を行う～ 欧州 アメリカ HIP Switch HIP Relay ～IDでルーティングを～ ～HIP装置～ 守りたい 安全につなぎたい ～クライアントソフト～ 端末 社内LAN・WAN・インターネット・LTE網 守りたい 安全につなぎたい PC HIP Client 日本

HIP × IDN こんな使い方どうでしょう 29

こんなシーンで簡単なセキュアネットワークのご利用！ ～NW分離・暗号化通信を必要～

実際の利用ケース① クラウドとつなぐ！ ◆マイクロセグメンテーションとHIPトンネルによるセキュアNW接続 お悩み • 自治体システムの運営を委託されているが、自治体側と自社 自治体 Proxy クラウド の異なるセキュリティポリシーを共存させる必要がある メリット • マイクロセグメンテーションとホワイトリスト設定による 通信端末の限定 ポイント • 既存NWを使用したまま、NW分離の実現 • AWS環境を利用したサーバレス構成 Internet

実際の利用ケース② IoTとつなぐ！＆隠して守る ◆ステルス化とLTE網によるガントリークレーンの制御と集中管理 お悩み • ガントリークレーンへの貨物データの配信や制御の為、個別 にUTM及びWifi網を設置していたが運用コストが高い上に個 別の設定ミスによる事故を心配 メリット • UTMからHIPスイッチへ置き換え • 通信先を限定へ ポイント • マイクロセグメンテーション化による安全性の向上と IDNによる集中管理による運用コスト低減と設定ミス防止 LTE網

実際の利用ケース③ ビルシステムを安全につなぐ！ ◆ビルディングオートメーション を セグメンテーション化！ お悩み • ビル内のネットワーク（空調/エレベータ/電気等）はL2フラッ トで構成されており、攻撃を受けた際にビル全体に被害が及ぶ危 空調 システム エレベータ システム 険性がある。 メリット • 既存NWのシステム前段にHIPSwitchを設置するだけで、各シス 電気 システム テムごとにマイクロセグメンテーション化。また、外部から各シ ステムへの攻撃もステルス化により抑制。 ポイント • NW上に挟むだけでマイクロセグメンテーションが可能許可した デバイス間の通信のみ疎通が可能なので、外部攻撃による内部探 索や感染拡大を抑制可能 管制室 エレベータ システム 空調 システム 電気 システム

私たちは、 最近こんなことやって みました！

国内拠点工場セキュリティ＆Secure Remote Access ～工場内へのリモートアクセス ＆ 工場セキュリティ/Nozomi Networksへセキュアリモートアクセス～ WAN越え・キャリア越えは クラウド上のHIP RelayでIDルーティング実施 本社 Conductors HIP HIP Relay 国内拠点 HitrianDB Non-Windows/ Non-Linux Servers SCADA/DCS HIP Internet 本社SOC ：Nozomiを監視 ：生産ラインを監視 Line インターネット 生産ラインシステム インターネット回線が無い工場 工場内NWに接続可能なポイントに モバイルSIM利用可能な Airwall GWを配備 稼働情報 Server ・スイッチからミラーポートでパケット取得 ・解析データについては、 Nozomi ⇒ Airwall GW ：マネージメントネットワーク経由 35

ハイブリット環境でセキュアなPeer to Peer！ 「オンプレDC と AWS と Azureをつなぐ！」 「NW設計意識せずにGUIでクリックするだけで」 Airwall Conductor Test stage/DevOps Production/DevOps Production/DevOps オンプレDC DevOps リモート接続/DevOps

諸外国とHIPを利用してPeer to Peer！ 端末認証・トンネル・エンドツーエンドで暗号化（ESPモード）

Fin. Zero Trust Network Access セキュアリモートアクセス IoTセキュリティ（隠して守る）