Wireless japan defender

©2019 Extreme Networks, Inc. All rights reserved
IoTデバイスの保護を容易に実現、Defender for IoTのご紹介
エキストリームネットワークス
韓斌(Han Bin)
ワイヤレスジャパン2019 | ワイヤレスIoT EXPO2019

アジェンダ
IoT デバイスのリスクおよび攻撃
Defender for IoT 紹介
ユーザ事例紹介
Defender for IoT サマリ
2
DefenderforIoT

IoT デバイスのリスクおよび攻撃

IoTの定義
マシンとマシン、マシンと人のコミュニケーションを行う
ためにプライベートクラウド、パブリッククラウド、また
はハイブリットクラウドに接続するデバイスまたは“モ
ノ”の集まり
IoTデバイスのカテゴリはインターネットに接続できる
▪ 有線および無線・WiFiデバイス
▪ 低エネルギーデバイス(例えば、Bluetooth
and Thread)
5
“Everything that can be connected to the Internet, will be – eventually”
（インターネットに接続することができるすべてのモノになります）
– Gartner
DefenderforIoT

業界を問わずIoTデバイスの利用は増加している一方で、
この成長にはリスクも伴う
6
IoT Devices
Connected Thru WiFi
Increase in #
of endpoints
from 2016-
2018
“Internet of Things (IoT) attacks
increased 600% between
2016 and 2017.
— Symantec, 2018
CAGR
Connected Healthcare
Internet of Things (IoT)攻撃
の報告数は, 2016年から 2017年
にかけて 600% も増加した
DefenderforIoT

IoTソリューションの導入が遅い最大の要因はセキュリティ
7
ラスベガスカジノ、
個人データの漏洩は
インターネット接続の
魚飼育用の水槽から
点滴システムの脆
弱性を見つけて、
点滴の投与量を
変更(IDF 2015）
超音波の機械に侵
入して患者ファイルを
ダウンロードと操作し、
さらにランサムウェアを
実行 (RSA 2019)
Financial and Reputation Risks
DefenderforIoT

日本ではIoT関連のセキュリティを法令
▪ 日経新聞により
8
DefenderforIoT

デモ：IoTセキュリティを実装するための課題
▪ 医療IoTデバイスはインターネットに接続
9
ECG Leads
SpO2 (Pulse
Oximetry probe)
Temperature sensor
(optional)
Wired
Ethernet
Network
infrastructure
心電図
心電図
動脈酸素量
DefenderforIoT

▪ ハッカーはインターネットを経由して医療デバイスをハッキング
11
ECG Leads
SpO2 (Pulse
Oximetry probe)
Temperature
sensor (optional)
Wired
Ethernet
Hacker or virus
Network
infrastructure
心電図
心電図
動脈酸素量
DefenderforIoT

▪ Defender for IoTアダプタのプラグインによりIoT医療デバイスを保護
12
Defender for IoT
Adapter(SA201)
ExtremeCloud
Appliance
Network
infrastructure
セキュリティプロファイル
を適用
心電図
心電図
動脈酸素量X
ECG Leads
SpO2 (Pulse
Oximetry probe)
Temperature
sensor (optional)
DefenderforIoT

IoTセキュリティを実装するための課題
▪ ほどんどのIoTデバイスでは、セキュリティ機能が内蔵されていない
– Windows95/98/2000など、サポートされていない古いオペレーティングシステム
が搭載され、修正プログラムを適用できない
– パーソナルファイアウォール、ウイルス対策ソフト、暗号化機能がない
– 多くの場合、有線ネットワークに接続しているデバイスはより無防備。具体的には、
ネットワークに存在する機能が古いエッジスイッチなどが問題
▪ ほどんどのIoTデバイスでは、フラットあるいはセグメント化されていないネット
ワーク上にデプロイ
– ハッカーは、IoTデバイスの侵害を達成できれば、ネットワークのセンシティブな領域
にまでアクセス
▪ 一部の業界では (医療業界など)、デバイスに変更を加えるときに (セキュリティ
パッチの適用など)、準拠性を維持するためにコストと時間がかかる再認定プ
ロセスを実施する必要
13
DefenderforIoT

ガートナー(Gartner)から3階層のIoTセキュリティのガイド
1. デバイスカタログ
最近のZKの調査では、ネットワーキングの専門家の61％が、自分たちのネットワークに接
続されているすべてのデバイスを知っていることに自信を持っていない
2. ネットワークセグメンテーション/安全領域
ガートナーの調査によれば、現在事実上セグメント化されているIoTデバイスはわずか５％
3. ネットワークトラフィックの分析と異常検出
ネットワークのデータフローを監査して異常なトラフィックバターンが発生した時、それを報告
15
DefenderforIoT
“Segmentation is a key weapon to ensure IoT vulnerabilities do not
translate into IT compromises.”
（セグメンテーションは、IoTの脆弱性によりITネットワーク侵害を招かないようにするための
重要な武器です）
– Gartner

Defender for IoT 紹介

Defender for IoT: 高いセキュリティリスクのIoTデバイスを保護
▪ 古い、ミッションクリティカルな有線・無
線デバイスの安全を確保
▪ 企業の既存セキュリティインフラストラク
チャを補完
▪ テクニカルスタッフでなくでも安全にIoT
デバイスのオンボーディングを実施
▪ ネットワークを変更することなく、あらゆ
るネットワークのインフラストラクチャ上
にデプロイ
セキュリティがシンプルになる
18
Defender
Application
Defender
Adapters
3912 Wall
Jack AP
ExtremeCloud Appliance
DefenderforIoT

Defender for IoT ソリューションのコンポーネント
19
ExtremeCloud
Appliance
Defender
Application
✓ 有線、無線およびIoTデバ
イスのオーケストレーション
✓ 物理アプライアンスまたは
仮想マシンのオプション
✓ セキュリティプロファイルの
作成
✓ 非テクニカルスタッフを使
用するため、使いやすい
インターフェース
✓ 資産追跡と可視化した
一元管理
Defender Adapter
Hardware
✓ トラフィックの監視
✓ L2-L7からのセキュリティ
プロファイルを実施
✓ 有線、無線、と低エネル
ギーBluetooth、
Threadなどのオプション
DefenderforIoT

セグメント化を対応するため、柔軟なデプロイのアーキテクチャ
▪ Defender for IoT は隔離された安全領域にIoTデバイスを配置
– 安全領域を作ることで、攻撃領域が狭くなり、ネットワークの機密領域に対する悪意
ある横方向の移動が難しくなる
▪ 安全領域を作成するには、３つのデプロイオプション
– 中央アタッチメント
▪ アプライアンスでのIPSec オーバーレイ
– (Legacy IP based core with IPSec tunnel)
– ロカールアタッチメント
▪ Fabric Connect ソリューション
– (Extreme Fabric Connect based FC core with Fabric Attach edge)
▪ 従来のVLANソリューション
– (Legacy IP based core with local VLAN Attach)
DefenderforIoT

Defender IPSec オーバーレイソリューション(中央アタッチメント)
APs and SAs each have a management connection to the ExtremeCloud Appliance with Defender App.
IoT devices (Medical) communicate via an IPSec tunnel locally on AP/SA which is routed across core to ECA controller.
IoT traffic is forwarded out of the ECA onto an app server VLAN in the data center.
MLAG
(cluster)
Data Center
Radiology
Server
Blood library
Server
Financial
Server
DHCP Server
DNS Server
Financial
“Service”
Radiology
“Service”
Cardiology
“Service”Access
switches
SA201
EFT
Terminal
ECG
Machine
ExtremeCloud
Appliance
Switch
Cluster
MRI/CT
Scanner
Infusion
Pump
Cardiology
Server
PCA
“Service”
AP3912
AP3912
Traditional
Campus IP
Network
ToR Server
switches
Core
switches
Core
switches
DefenderforIoT

Defender 従来のVLANソリューション(ローカルアタッチメント)
IoT devices (Medical etc.) are connected into network VLAN locally on AP/SA (which can be stretched or routed across the core).
MLAG
(cluster)
Data Center
Radiology
Server
Blood library
Server
Financial
Server
DHCP Server
DNS Server
Financial
“Service”
Radiology
“Service”
Cardiology
“Service”Access
switches
SA201
EFT
Terminal
ECG
Machine
ExtremeCloud
Appliance
Switch
Cluster
MRI/CT
Scanner
Infusion
Pump
Cardiology
Server
PCA
“Service”
AP3912
AP3912
Traditional
Campus IP
Network
ToR Server
switches
Core
switches
Core
switches
DefenderforIoT

Extreme Fabric Connect ソリューション(ローカルアタッチメント)
IoT devices (Medical etc.) are connected locally at AP/SA using Fabric Attach into network VLAN/I-SID service across core to app server
Data Center
Radiology
Server
Blood library
Server
Financial
Server
DHCP Server
DNS Server
Extreme Fabric
Connect
Financial
“Service”
Radiology
“Service”
Cardiology
“Service”Access
switches
SA201
FA
Client
FA
ProxyFA Server
ERS/EXOS
Switches
VSP Switch
(cluster)
Fabric
Attach
EFT
Terminal
ExtremeCloud
Appliance
Switch
Cluster
MRI/CT
Scanner
Infusion
Pump
Cardiology
Server
PCA
“Service”
AP3912
AP3912
ECG
Machine
ToR Server
switches Core
switches
Core
switches
DefenderforIoT

IoTデバイスの通信を制限するためにプロファイルの作成
▪ ホワイトリストに基づくセキュリティプロファイル
– プロファイルは承認されたトラフィックだけを許可して他のすべてのトラフィックをブロック
▪ 作成されたプロファイルが一元的に管理され、再利用可能
– Defender Applicationでプロファイルの作成、分類および管理を実施
– デバイスタイプごとに１つのプロファイルを適用
– プロファイルの中にネットワークトラフィックの制御およびセキュリティの設定を含む
▪ 可視化されL2-L7のトラフィック監視
– Defender/ APはプロファイルに承認されないトラフィックをブロック
MRIマシンはイメージ
サーバーと通信
DICOM プロトコル
を利用
DefenderforIoT

セキュリティプロファイルを使い、IoTデバイスを保護する例
無許可の装置・PCに
Defenderを差し込み、該当
の装置はネットワークへのアク
セスがブロックおよび報告
Defenderはウイルスに
感染されたMRIマシンと
通信をブロック
Infusion
pump
ハッカー(ネットワークの内外に
も関わらず)は点滴装置へ不正
アクセスを試す時、
Defenderは該当の通信
をブロック
DefenderforIoT

トラフィックのバターンを“学習“して自動的にプロファイルの作成
▪ プロファイル作成の時間を
短縮
▪ Defender Application
には、自動的にプロファイル
を作成する学習モード
▪ Defenderは、IoTデバイ
スの典型的なトラフィックパ
ターンを学習し、同時にセ
キュリティプロファイルを作成
▪ プロファイルはそのまま使用
するあるいは企業のセキュリ
ティポリシーに合わせてプロ
ファイルを変更
30
自動的に学習されたラフィックパターン
DefenderforIoT

IoTデバイスのオンボーディングとプロファイルの適用
▪ IoTデバイスが最初にネットワークに接続する時、オレンジ色のステータスになり、自動
的にすべて拒否のプロファイルを適用
▪ IoTデバイスには適切なセキュリティプロファイルをアサインするまでトラフィックをブロック
▪ テクニカルスタッフでなくても簡単なドロップダウンリストを使って該当のIoTデバイスに適
切なセキュリティプロファイルを適用
31
DefenderforIoT

デバイス使用統計と一元化してイベント管理
▪ IoTデバイスに関連する
統計情報を提供
▪ 単一画面で部門にわた
るすべてIoTデバイスの
ステータスを提供
▪ IoTデバイスの使用歴、
ロケーション、ローミング
を集中的に監視・追跡
32
IoTデバイスの製造
者情報
IoTデバイスのスルー
プット
IoTデバイスの
使用歴
DefenderforIoT
IoTデバイス
ローミングの追跡
IoTデバイスの
ロケーション

遠隔接続(例): セキュアな在宅医療
▪ 遠隔地にいながら、在宅医療サービス
– 配備された医療機器への安全な接続のた
め、Defender / AP を提供
▪ パブリックからコアネットワークへセキュア
(IPsec)な接続
▪ 遠隔地で保護されるリモート接続サービス
– エンタープライズレベルのサービスは家庭へ
– 企業の遠隔テレワーカーサービス
– リアルタイムリモートモニタリングが可能
33
在宅医療サービス
Secure Tunnel (IPSec)
Main Hospital
ExtremeCloud
Appliance
Home
DefenderforIoT

豊富なIoT接続の対応
▪ iBeacon Transmitter
– Facilities POI
– Asset tracking
▪ iBeacon Listener
– Asset Tracking
▪ Eddystone Transmitter
– User engagement
▪ Eddystone Listener
– Phishing Attack prevention
▪ Thread Gateway
– Sensor network automation
– Building Automation
▪ BLE device connectivity (future)
34
UUID, Major, MInor
IPv6 over 802.15.4
Application
Server
Clinical Grade
Visibility
DefenderforIoT

ExtremeAI Security: AI/MLの力を活かしてIoTデバイス異常検知
35
▪ https://investor.extremenetworks.com/news-releases/news-release-details/extreme-networks-introduces-new-iot-security-and-automated
DefenderforIoT

ユーザ事例紹介
ワイヤレスジャパン2019 | ワイヤレスIoT EXPO2019ワイヤレスジャパン2019 | ワイヤレスIoT EXPO2019

Q: セキュリティの脆弱性はいくつ発見したか?
▪ Out-of-Box(箱から出してそのまま) の評価では、合計
270の脆弱性を発見、その中に98個がクリティカル
Q:いくつの脆弱性が報告される？▪ 結果: “０”、ネットワークから既存の脆弱性へ
アクセス不可!
米国病院の事例
▪ 新しい診療所を開設するため、ヘルスケア顧客は新しいX線(X-Ray)装置を備えたイメージングユニットを購入
▪ 臨床する前に、セキュリティ部門はセキュリティスキャン(Rapid 7)を実施
45
▪ 顧客はDefender for IoT ソリューションを導入
– 医療デバイスのプロファイルを作成
▪ 医療デバイスとイメージングサーバーの通信および他
の必要なポートを制限
– 医療デバイスにプロファイルを適用
▪ 再度、X線(X-Ray)装置のセキュリティスキャンを実施
▪ １０分以内!
DefenderforIoT

顧客からのコメント
▪ 「Ascensionでは、当社の医療への最先端のアプローチに誇りを持っています。また患者様のアウ
トカムやエクスペリエンスを向上させる道をつねに模索しています。しかしながら、最新のコネクテッド
医療テクノロジーはすばらしいものであると同時に、そのセキュリティを確保できなければリスクともなり
ます。Extremeとの密接な連携により開発されたDefender for IoTは、時には命を脅かしか
ねないIoT侵害による深刻な被害から、患者様もスタッフも守ってくれます。おかげで当社は、コ
ネクテッド医療イニシアティブについて、大きな安心を得ることができます」
– Ascension、ビジネスマネージメント担当バイスプレジデント、Mike Oligschlaeger (マイク・オリシュリーガー)氏
▪ 「さまざまな業界の顧客が、IoTセキュリティと格闘しています。もっとも大きな課題の一つが、多種
多様なデバイスのためのセキュリティポリシーを作ることです。これには時間がかかると同時にエラーも
避けて通れません。ExtremeのDefender for IoTソリューションは、デバイスの典型的な振る舞
いを学習し、承認された相手とだけ通信するように制限するセキュリティポリシーを構築できるので、
このタスクを自動化することができます。さらにIoTデバイスを安全なトンネルにセグメント化するこ
とで、今現在どんなネットワークにデプロイしているかにかかわらず、マルチレイヤーのIoTセキュリ
ティを提供してくれます。他にはない、強力なソリューションだと言えます」
– Integration Partners、Chief Revenue Officer、David Raftery (デビッド・ラフテリー)氏
46
DefenderforIoT

他の業界でDefender for IoT のユーザ事例
47
流通/ロジスティクス小売業
学校/スマートビル製造業/工場
• コンベアベルト、自動販売機、デジタルサイネージ、
IP監視カメラ、とHVAC and PLCs
• PCI コンプライアンス
• (L2-7)からのホワイトリスト＋セグメンテーション
• EFTPOS、デジタルサイネージ、IP監視カメラ、と
HVAC and PLCs
• PCI コンプライアンス
• アセスメントコントロール, モニタリングとトラッキング
• インテリジェント照明、サーバー、ファイルシステム、
HVAC and PLCs と IP監視カメラ
• サービスセグメンテーションと通信制限
• SCADA、センサー、 IP監視カメラ、 HVAC and PLCs
• サービスセグメンテーションと通信制限
DefenderforIoT

▪ 複雑性を解除したIoT セキュリティ
– デプロイもメンテナンスも簡単
– 典型的なトラフィックパターンを学習、同時セキュリティプロファイルを作成
– シンプルなドロップダウンメニュー、テクニカルスタッフでなくでも簡単にできる
▪ IoT デバイスのセグメント化および隔離
– レイヤ２～７の可視性を持つ
– 簡単にセグメント化し、ネットワーク攻撃を縮小
– 使用歴やロケーション、ローミングを集中管理
▪ どんなネットワークインフラにもデプロイ可能
– どのベンターのIPネットワークでデプロイ可能
– Extreme Fabric Connect とも統合し
DefenderforIoT

ご清聴ありがとうございます

Wireless japan defender

More Related Content

What's hot (19)

Similar to Wireless japan defender (20)

More from Bin Han (12)

Wireless japan defender