標的型攻撃への対策として、アプリケーション仮想化技術を使ったWebブラウザの分離の有効性についてかいせつしています。標的型攻撃では、マルウェアの感染を防止することが極めて難しいため、「出口対策」が必要性が一般にも認識されていますが、一般に知られる出口対策よりも、仮想化によるWeb閲覧分離のどんな点が優れているかを説明します。

1. © 2016 Citrix
仮想化を使ったWeb閲覧分離の有効性
標的型攻撃対策としてのXenApp
シトリックス・システムズ・ジャパン株式会社
山田 晃嗣

2. © 2016 Citrix
Agenda
• 標的型攻撃対策の難しさ
• 出口対策としての「仮想化によるWeb分離」
• Webブラウザ仮想化 標的型攻撃対策以外の利点
• Citrix XenAppが選ばれる理由
• 実運用における課題と解決
• まとめ
2

3. © 2015 Citrix | Confidential
標的型攻撃対策の難しさ

4. © 2016 Citrix
標的型攻撃の仕組み
4
メールでPDF Viewerなどの脆弱性を突く“マルウェア”を
含んだ添付ファイルを送りつける
メール添付ファイル
として侵入
PDF Viewerの
脆弱性を攻撃
Webアクセスを
装って外部通信

5. © 2016 Citrix
これまでのセキュリティ対策では防御できない
5
• メールの添付ファイルで侵入するので
ファイアウォールなどによる
ネットワーク的な防御はできない
• マルウェアは増殖機能を持たず、
攻撃対象毎に個別で作られるため、
ウィルス対策ソフトでは検知できない
場合もある
• 極めて巧妙に業務上のメールを装うため、
利用者の注意だけでは限界がある
• 脆弱性を減らすためにアプリを
常に最新の状態にするのは現実的に難しく、
最新の状態でもゼロデイアタックの
可能性も残る
実際の標的型攻撃メールの例

6. © 2016 Citrix
最後の望みは「出口対策」
6
ここでの対策が必要！
ここでの完全な対策は
ほぼ不可能

7. © 2016 Citrix
各種監督機関も出口対策の重要性を強調
いずれもマルウェア感染予防の限界と
出口対策の重要性を強調している

8. © 2016 Citrix
内閣サイバーセキュリティセンター発行
「サイバーセキュリティ戦略」より
http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku.pdf
• インシデントの未然防止には限界があること
を記している

9. © 2016 Citrix
既に世の中に多数出回っている「出口対策」
どれも課題があり
決め手に欠けている
9
検索出口対策

10. © 2016 Citrix
一般的な「出口対策」とその課題
• コンテンツフィルタリング
→生産性とのトレードオフが必要で抜け穴の可能性も残るうえ、
ホワイトリスト/ブラックリストの管理負荷が高い
• ログ監視・通信監視
→後追い的な対策であることに加え、
実際の運用には極めて高度なスキルが必要で運用負荷も高い
• ネットワークの完全分離
→あらゆるITリソースが2重に必要になり費用が膨大
またUSBメモリによるデータコピーなどの対策も必要
10
いずれも運用管理やコストの面で大きな負担となり、
対策としても“穴”が残ってしまう

11. © 2015 Citrix | Confidential
出口対策としての
「仮想化によるWeb分離」

12. © 2016 Citrix
【クイズ】このWindows環境は何が特殊でしょう？

13. © 2016 Citrix
【答え】複数バージョンのIEの共存
13
複数バージョンのIEの同時起動は
“本来なら”出来ません
IE11IE9

14. © 2016 Citrix
タネあかしは「アプリケーション仮想化」
14
別の場所で動作しているInternet Explorerの
画面を転送＆遠隔操作

15. © 2016 Citrix
出口対策としてのアプリケーション仮想化の活用(1/2)
15
• 端末からのWebアクセス
を完全に遮断してしまう
• この出口対策によって
端末がマルウェア感染しても
重要情報は流出しない
• しかしこれだけでは
インターネットサイトが
閲覧できない
マルウェアの通信をブロック

16. © 2016 Citrix
出口対策としてのアプリケーション仮想化の活用(2/2)
16
• インターネットサイトの閲覧は
仮想化されたWebブラウザで行う
• ファイアウォールは、
画面転送の通信のみを許可する
Internet
画面転送の通信のみを許可
マルウェアの通信をブロック

17. © 2016 Citrix
出口対策としての「アプリケーション仮想化」の利点
• ユーザー端末がマルウェア感染しても情報は流出しない
コンテンツフィルタリングや監視に比べても
極めて強力な出口対策となる
• コンテンツフィルタリングのような、
「抜け穴」や「閲覧して良いのに閲覧出来ないサイト」の
心配が無い
• ログ監視・通信監視のような運用負荷の増大は無い
• ネットワークの完全分離に比べると、導入負荷はずっと少ない
USBメモリによるデータコピー対策も不要
17

18. © 2016 Citrix
既に多数の導入実績
1818

19. © 2015 Citrix | Confidential
Webブラウザ仮想化
標的型攻撃対策以外の利点

20. © 2016 Citrix
2016年1月12日以降は最新のIEしかサポートされない
2020
古いバージョンのInternet Explorerのセキュリティ脆弱性は修正されない
古いバージョンのIEによるインターネット閲覧は危険を伴う

21. © 2016 Citrix
最新のIEを使うとイントラWebの対応に大きなコストが発生
21

22. © 2016 Citrix
この課題もアプリ仮想化によるWeb分離で解決
仮想IE11
IE9
Internetイントラ
Web
IE11
• イントラWebアプリとインターネットサイトで
利用するWebブラウザを分ける
• イントラ用Webブラウザからは、
インターネットサイト閲覧を遮断する
• 古いバージョンのIEもイントラWeb閲覧用に
限定すれば、セキュリティリスクは極小に
22

23. © 2016 Citrix
対処療法と丈夫で健康な体
2323
一般的な対策
Webブラウザ
仮想化
• 一般的なセキュリティ対策は
個々の脅威にのみ対応する
「対処療法」的な対策で、
セキュリティ以外の利点は無く、
副作用も多い
• Webブラウザの仮想化は、
情報システム本来の堅牢性や
効率性を高めるので、
セキュリティ以外の利点も多い

24. © 2015 Citrix | Confidential
Citrix XenAppが選ばれる理由

25. © 2016 Citrix
通常アプリと同一の仮想アプリの起動方法
25
ローカルアプリと同様に
仮想アプリケーションも
スタートメニューに表示
タスクバーにピン留めすれば
ワンクリックだけで起動
• 仮想アプリケーションも、
通常アプリと全く同じく起動アイコンが
スタートメニューに表示される
• Windows 8/8.1の場合は
左図のようにメニューに表れ、
デスクトップのタスクバーに
起動アイコンの「ピン留め」が可能
• Windows 7の場合は、
スタートメニューへの表示に加え、
デスクトップショートカット作成も可能
• 端末がXenAppと同一ドメインに
所属していればSSOが可能
• 仮想アプリの起動方法は、通常のアプリの
起動の方法と全く同じで、
ユーザー教育に新たな手間を要しない

26. © 2016 Citrix
仮想アプリの瞬間起動が可能
26
• 本来なら仮想アプリケーションの起動は
別OSへのWindowsログインが必要で
20秒程度が必要
• 管理者が事前バックグラウンド起動を
設定しておけば、Windowsログインが
事前に自動的に行われるため、
ユーザー起動時の仮想アプリ起動が
瞬時に行われる
• 仮想アプリの起動が遅いことによる
生産性の低下を抑制できる
瞬間起動

27. © 2016 Citrix
「仮想⇒ローカル」片方向クリップボード 制御
〜出口対策の徹底と利便性維持の両立〜
• ローカル⇒仮想 の情報の流れを許可すると、
重要情報がインターネット側に流出する
可能性を否定できないため、クリップボード
利用によるコピーは禁止するべき
• 仮想⇒ローカル の情報の流れは、出口対策に
は直接影響しない上にインターネット上の
情報活用のためにも有用であるため、
クリップボード利用を許可したい
• Citrix XenApp なら、ローカル端末環境と
仮想Webブラウザ間のクリップボード
(コピペ)のやり取りを「仮想⇒ローカル」
方向のみに制限が可能
仮想ローカル
仮想ローカル
出口対策を徹底させるために
内部から外部へのクリップボードを禁止
インターネットの情報を有効活用するため
外部から内部へのクリップボードは許可

28. © 2016 Citrix
クリップボードの内容形式限定 〜コピー内容の無害化〜
• 仮想⇒ローカル 方向のクリップボードは、
転送されるデータ形式を限定することが可能
• クリップボードを経由してインターネットから
ローカル環境に入るデータに関し
「データの無害化」が可能
仮想ローカル
設定例：
プレインテキストのみ転送許可
リッチテキスト形式は転送禁止

29. © 2016 Citrix
ローカル側URL情報での仮想側ブラウザによるアクセス
29
• 前頁の様にローカル⇒仮想方向の
クリップボードを禁止すると、
セキュリティは向上するものの、
ローカル側のURL情報を使った
インターネットアクセスが
極めて不便になってしまう
• 富士通製ソフトウェア
「AuthBrowserSwitch」との連携で、
ローカル側のインターネットリンク
をクリックするだけで自動的に
仮想ブラウザでリンページにアクセス

30. © 2016 Citrix
リンククリックによるイントラ or インターネット の自動判別
30
• 富士通「AuthBrowserSwitch」は、
ローカル側のリンククリックで
仮想ブラウザで開くだけでなく、
外部Webかイントラ側Webかを
自動判別し、イントラWebの場合は
そのままローカルブラウザで開く
• これにより現状の使い勝手を維持
したまま、セキュリティを大幅に
向上させることができる

31. © 2016 Citrix
端末で定義されたプリンタへの仮想アプリからの自動出力
• 仮想アプリケーションから印刷を行うと
ローカル端末側で定義されたプリンタに
自動的に出力される
• 両面印刷などのプリンタ機能使用可能
• サーバー側でのプリンタドライバの
インストールの必要無し
• プリンタ⇔仮想サーバー間で
印刷用の通信ポートの開放の必要無し

32. © 2016 Citrix
匿名ユーザーアカウントでの利用
• 匿名ユーザーでの利用オプション有
• 匿名ユーザーでの利用の場合、
利用者はログオン操作をせずに
仮想Webブラウザを利用可能
• 仮想側XenAppの所属ADドメインを
新規に構築し独立管理する場合にも
個々のユーザー管理は不要
管理の手間を大幅削減
• ブックマークなどのユーザー毎の
設定を保持することはできない
ログオン操作不要
ユーザーアカウント管理不要

33. © 2016 Citrix
高度なサーバー自動複製機能
33
マスタ
• 1つのマスタから
複数台のXenAppを自動複製
• 初期展開だけでなく、
日々の更新においてもマスタ1箇所
だけの変更で複数マシンに反映
• リソース不足時も簡単に拡張
• 各マシンに変更を加えても
再起動によって完全に元に戻る
• 仮想側のソフトウェア更新に
ともなう管理負荷を大幅抑制
XenApp 1 XenApp 2 XenApp n
・・・

34. © 2016 Citrix
高度な自動再起動スケジュールと自動初期化
34
• XenApp自体の機能で
自動的な定期再起動が可能
• 複数サーバーでの時間差や
再起動前のユーザーへの通知も
設定可能
（運用を止めずに再起動が可能）
• 前ページの自動複製と併用すれば
運用の負荷を最小にしながら
万一のマルウェア感染による
リスクを抑えることができる

35. © 2016 Citrix
(一旦まとめ)Web閲覧分離におけるCitrix XenAppの強み
35
• ユーザーの生産性
– 通常アプリと同一の仮想アプリの起動方法
→ユーザー教育の手間いらず
– 仮想アプリの瞬間起動
→ユーザー生産性の維持
– 高度なクリップボード制御
→セキュリティと生産性の両立
– ローカル側URL情報による仮想ブラウザアクセス
→ユーザー教育の手間いらずと生産性の維持
– リンククリックでの
イントラ or インターネット自動判別
→ユーザー教育の手間いらずと生産性の維持
• セキュリティと管理性
– 端末で定義されたプリンタへの
仮想ブラウザからの自動出力
→ドライバ導入などの
プリンタ管理負荷の抑制
– 高度なクリップボード制御
→仮想から転送されるデータの無害化
– 匿名ユーザーでの利用
→別ドメイン所属の場合に
個々のユーザ管理が不要で管理負荷抑制
– 高度なサーバー自動複製機能
→ソフトウェア更新に伴う管理負荷抑制
– 高度な自動再起動スケジュールと初期化
→万一のマルウェア感染時の被害を最小に

36. © 2015 Citrix | Confidential
実運用における課題と解決

37. © 2016 Citrix
実際の運用で寄せられる要望
Webを経由した社外との
ファイルやりとりが必要だ
安全にWeb経由の
ファイル交換が出来ないか？

38. © 2016 Citrix
クリップボード機能だけでも“概ね”代替可能
• 仮想ブラウザでダウンロードした
ファイルを、Adobe ReaderやOfficeなど
「仮想側のアプリ」で開くことは可能
• 仮想側のアプリで開いたのコンテンツは、
クリップボードの機能により、
ローカル側にコピー可能
• したがって、ファイル自体の転送機能が
無くても“概ね”運用はできるはず
• さらにクリップボードで転送される
データ形式を限定すれば
“ダウンロードファイルの無害化”も可能
仮想ローカル

39. © 2016 Citrix
それでもファイル交換が必要な場合の考慮
〜出口対策の効果を維持したWeb経由でのファイル交換〜
• 「ダウンロード（外→内）」に関しては
自由に行っても出口対策効果は損なわれない
• 出口対策として重要なことは
「アップロード（内→外）」を制限すること
39
仮想ローカル
仮想ローカル
ポイントは片方向のファイルの流れ制御

40. © 2016 Citrix
インターネットへのファイルアップロードを禁止して
インターネットからのファイルダウンロードだけを許す方法の例
40
• XenAppと同じセグメントに
XenAppからの書き込みだけを
許可した共有のファイルサーバー
を配置
• ファイルサーバーに保存された
ファイルは、定期的に実行される
スクリプトによって、
内部のファイルサーバーにコピー
された後に消去される
• 内部ファイルサーバーにコピー
された後は、利用者はローカル
端末から自由にアクセス可能
XenAppからの
ファイル書き込み
だけを許可
スクリプトを使って
内部ファイルサーバーに
コピーした後消去
XenApp
画面転送
端末から
自由に
アクセス
可能

41. © 2016 Citrix
実際の運用で寄せられる要望
ダウンロードだけでなく
アップロードも必要だ！
安全にWeb経由の
ファイルアップロードは
出来ないか？

42. © 2016 Citrix
ファイルをアップロードする「先」を限定することで
出口対策の効果を維持する方法の例
42
• コンテンツフィルタリングを併用し
ファイル送受信を行う特定のサイト
のみ端末からのWebアクセスを
許可する
Internet
コンテンツ
フィルタ

43. © 2015 Citrix | Confidential
まとめ

44. © 2016 Citrix
まとめ
• 標的型攻撃には「出口対策」の必要あり
• 出口対策の中でもアプリ仮想化を使った対策は、
他の方法に比べ効果が高い上にお客様の運用負荷が少ない
• アプリケーション仮想化の中でも
Citrix XenAppなら、さらに運用に伴う負荷が少ない
44

45. © 2016 Citrix
Work better. Live better.Work better. Live better.