Prisma...

Prisma SaaSのご紹介

2020年5月パロアルトネットワークス株式会社Fuminori Kurose

クラウドジャーニーTHE JOURNEY TO THE CLOUD

クラウド環境へのユーザーアクセスとデータ転送（from/to）

どのように、クラウド環境に

安全にアクセスするか

SaaSアプリケーションの利用状況の把握とコントロール

どのように、SaaSアプリを安全に利用するか

クラウド上のアプリケーション設計、開発、デプロイ、運用

どのように、

パブリッククラウド上で

安全にアプリ開発〜運用するか

2 | © 2020 Palo Alto Networks, Inc. All rights reserved.


クラウド利用状況

（出典）総務省「通信利用動向調査」

https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html

ガイドライン整備により、官公庁でも今後もクラウド利用の増加が予測される


責任共有モデルの再確認

https://docs.microsoft.com/ja-jp/azure/security/fundamentals/shared-responsibility

すべてのクラウドデプロイの種類において、データと ID はお客様が所有します。お客様にはデータとID、オンプレミスリソース、お客様が制御するクラウドコンポーネント (サービスの種類によって異なります) を保護する責任があります。デプロイの種類に関係なく、次の責任はお客様が必ず負います。

• Data• エンドポイント• Account• アクセス管理


クラウドインシデントの特徴

“2022年までに起こるクラウドでのセキュリティ事故の95％はユーザー起因によるもの” ‒ ガートナー

設定ミスの危険性

• 主な事例: Deep Root Analytics, FedEx, Under Armour

• Redlockによる調査結果: 平均で51％の組織が最低でも一つ以上のストレージの一般公開による情報漏洩の可能性を経験

51%

アカウント情報の漏洩

• 主な事例: Uber, OneLogin, Tesla, Aviva, Gemalto

• Redlockによる調査結果: 平均で27％の組織でアカウント情報の漏洩を経験

27%仮想通貨マイニング

• 主な事例: Tesla, Gemalto, Aviva

• Redlockによる調査結果:平均で25％の組織が仮想通貨マイニングの被害を経験

25%

脆弱性

• 主な事例: MongoDB, Elasticsearch, Intel, Drupal

• Redlockによる調査結果: 24%の組織でパブリッククラウド上のホストへの最大深刻度のパッチ未適用

24%

SaaSアプリケーションにおいても同様の懸念が発生

Prisma: あらゆるクラウド環境をセキュアに

拠点/店舗本社モバイル

セキュリティサービスSecurity Service Layer

接続サービスConnectivity Layer

SaaSPublic CloudData Center Internet

1. Prisma Cloud

2. Prisma SaaS

3.Prisma Access


クラウドサービスによって異なるセキュリティ対策

• Prisma SaaS (SaaS対策)• ファイル分類、リスクの可視化

• 情報漏洩対策• DLP

• 共有設定の可視化・制御

• マルウェア検知・隔離

• ユーザーアクティビティ解析

• SaaSへの通信の可視化とアクセス制御

• Prisma Cloud (PaaS/IaaS対策)• クラウド内部リソースの可視化

• 誤設定や設定漏れの検知・修復

• リソースの構成情報と変更履歴の保持

• ユーザの振る舞い分析とアラート・通知

• 外部からの攻撃の検知

• コンプライアンス(NIST/PCI DSS等)監査

SaaS PaaS/IaaS


SaaS利用に潜む様々なリスク

SaaS 個⼈メール

u メール転送設定で個⼈メールへ転送

SaaS

u 短期間でのファイルの⼤量ダウンロード

u 機密情報が含まれるファイルなどを外部共有

u フォルダにマルウェアファイルを保存・拡散

SaaS


可視化

コンプライアンス

データセキュリティ

脅威防御

クラウド利用の現状を把握許可されたITやシャドーITの実態を可視化により把握する

クラウドサービスを管理された状態にするこれにより、コンプライアンス要件を満たしていく

既存のテクノロジ（DLP等）と連携し、データ保護、脅威防御を実現しセキュアなデータ活用を促進する

クラウドサービスのライフサイクル全体を支援する

CASBの主要機能


パロアルトネットワークスのSaaSセキュリティ対応

Prisma Access（次世代FW） Prisma SaaS

可視化SaaS アプリの利用量および統計

アクセス制御SaaS アプリ単位のアクセス制御

データガバナンスDLPおよび脅威防御


SaaSセキュリティの包括的なアプローチ

リモートユーザー

支社・拠点

本社

管理外端末

管理下端末

Prisma Access

次世代ファイアウォール

Prisma SaaSAPI

許可

条件付き許可

禁止（シャドーIT）

複数のSaaS横断で、利用状況やリスクを可視化・モニタリン

グし、データを保護

各SaaSアプリに対する通信の可視化と、

段階的なアクセス制御


Prisma SaaSの対応領域

Prisma Access (次世代FW)の対応領域

(参考) 次世代FW SaaSアプリアクティビティレポーティング(可視化・制御)いつ誰が何のアプリにアクセスしたか、また許可されてないアプリへの通信をブロックしたなどの情報を一元管理


Prisma SaaS 概要

SaaS

API連携

WildFire(サンドボックス)

BYOD

モバイル端末

社内端末

機械学習によるファイル分類

WildFireでマルウェア解析

コンテンツの検査と解析

データ公開制御

マルウェア対策

情報漏洩対策(情報解析・分類、共有制御、アクティビティ監視)

API連携の為、クライアントモジュールなどの配備も必要なく、SaaS利用者に影響を与えず導入・管理が可能

PrismaSaaS


• 簡易で負担の少ない導入• SaaSアプリケーションにAPIを介して接続

• 特定の機器などは不要

• APIを使ったSaaS間でのコミュニケーション• 脅威、データ、出現頻度に基づくリスクの計算と可視化

• SaaS上のファイルをWildFire連携で検査

• 機械学習によるデータ分類が可能でキーワード,正規表現などに基づいた詳細なコンテンツ検査

• エンドユーザー通知、検疫などによりリスクを軽減

Prisma SaaSの特徴


サポートアプリケーションとライセンス

Citrix Sharefile

Gmail

Dropbox

https://docs.paloaltonetworks.com/prisma/prisma-saas/prisma-saas-admin/secure-cloud-apps/supported-saas-applications

• 全てのSaaSアプリを利用可能な年間サブスクリプションライセンス• ユーザ数単位で課金（最小利用ユーザ数は250）


https://docs.paloaltonetworks.com/prisma/prisma-saas/prisma-saas-admin/secure-cloud-apps/supported-saas-applications


各アプリケーションの検査項目

SaaS種別説明

・S3バケットのファイル情報をスキャン

・AWS内リソースの公開状況を検査・パスワード強度や複雑性を検査

・フォルダやファイル情報をスキャン

・共有ファイル情報やメッセージデータをスキャン

・フォルダやファイル情報をスキャンCitrix Sharefile

SaaS種別説明

・ページ情報や添付データをスキャン

・フォルダやファイル情報をスキャン

・ソースコードを含むすべてのファイル情報をスキャン

・メールのコンテンツ情報や添付データをスキャン・メールの転送設定を検査

・プロジェクト、バケット、およびファイル情報をスキャン

Dropbox

Gmail


各アプリケーションの検査項目 (Con’t)

SaaS種別説明

・フォルダやファイル情報をスキャン(マイドライブと共有ドライブ双方をサポート)

・サードパーティのアプリケーションをスキャン

・各種メッセージ情報、およびファイル情報やコメント等をスキャン

・ストレージアカウントやファイル情報をスキャン・アクティビティモニタリングを実施

・メールのコンテンツ情報や添付データをスキャン・メールの保存期間や転送設定を検査

SaaS種別説明

・OneDriveやSharePoint内のフォルダやファイル情報をスキャン

・構造化データと非構造化データのメタデータやファイル情報をスキャン

・メッセージや添付ファイル情報をスキャン

・テーブル情報および添付ファイル情報をスキャン

・Post情報やコメント、ファイル情報をスキャン

・メッセージや添付ファイル情報をスキャン


Prisma SaaS 機能概要

● SaaS内のアクティビティを完全に可視化：詳細な分析機能により、IT 担当者はユーザー、フォルダ、ファイル別の完全なアクティビティ履歴を確認することが可能

● データ流出を遡及的に監査：Prisma SaaS は SaaS 内で発生したデータ漏洩や違反をアカウントの作成日にまで遡って発見することが可能

● 高リスクの動作を危害が及ぶ前に把握：アクティビティの詳細な分析を毎日実施できるため、IT 担当者はデータリスクやコンプライアンスポリシー違反の有無をいち早く見極めることが可能

● 詳細で効果的なポリシー管理を施行：コンテキストに応じたポリシー管理により、違反行為を発見してすぐにユーザーやデータを隔離することが可能

● 脅威からの保護：高度な脅威防御機能により、既知のマルウェアだけでなく、未知のマルウェアも特定してブロックすることが可能

Prisma SaaS でできること (1)

● アセットの識別○ 以下の情報からアセットを識別して、リスクや重要度の観点等から、様々なカテゴリに分類することが可能

■ ファイルのプロパティ情報(ファイル名等)■ ファイルのデータパターン(正規表現で記載)

● ポリシーによる制御○ データパターンやファイルのプロパティ情報、またクラウドアプリの種別や公開レベル等を条件としてポリシーを作成可能

○ 条件にHitしたアセットに対して、以下のアクションを自動で取るよう設定できる■ 隔離 / 共有の変更 / ファイル所有者に通知 / 管理者アラートの作成 / インシデントの作成

○ 上記以外にも、ユーザのアクティビティや、コンプライアンスの観点からポリシーを作成し、Hitした場合にインシデントを作成することが可能


分類コンテンツタイプ

個⼈情報︓マイナンバー、企業番号、⽶国社会保障番号など

知的財産︓RSAプライベート鍵、企業機密情報、ソースコードなど

マルウェア検知︓WildFire(サンドボックス)と連携し、マルウェアの検知を実施

財務情報︓クレジット番号、銀⾏アカウント番号など

ヘルスケア︓医療⽂書に関する機密情報など

法律︓特許、業務契約、M&A情報、訴訟情報など


Prisma SaaS でできること (2)

● コンテンツの調査○ ポリシーや公開レベルだけではなく、所有者、作成者、ドメイン、ファイルタイプ等の情報からコンテンツを検索することが可能

● インシデント確認○ 設定したポリシーにHitした場合や、WildFireでマルウェアと判定された場合等にインシデントが作成される

○ 発生したインシデントについて詳細情報を確認し、必要に応じて、隔離等のアクションを手動で実施可能

● 各種レポート機能の活用○ SaaSリスク評価レポートやコンプライアンスレポートにより、リスクとコンプライアンス双方の観点から、クラウドアプリの使用状況を監査することが可能



ダッシュボード

● Prisma SaaSは、最初にアプリケーションに接続すると、アプリケーション内のすべてのアセットをスキャンし、ポリシールールと照合してインシデントを遡及的に発見し、すべてのアクティブなインシデントをダッシュボードに表示します。

ダッシュボード (1)

External

パブリックリンク等で誰でもアクセス可能な状態

社内の誰でもアクセス可能な状態

社外の人間とアセットを共有

Internal所有者が未共有、社内の特定ユーザーと共有

Public

Company

アセット



• データのコンテンツ内容から該当するカテゴリーを判別

• データパターンは事前定義されているが、カスタムで追加編集も可能

• 判別内容から6つのコンテンツタイプに分類

Data Profiles



• インシデントおよびポリシー違反のトリガーとなるポリシーを設定し、その内容に基づいて発生したインシデントを管理

• ポリシーは以下の3種類を設定可能- Asset Rules : データパターン等のコンテンツに基づくルール

- User Activity Rules : 大量のファイルダウンロード等のユーザ動作に基づくルール

- Security Control Rules : パスワード強度やメールの転送設定等の監視するクラウドアプリの各種設定に基づくルール

インシデント(ポリシー違反)



• ユーザ毎のアセット数を確認可能

• 以下の3つの観点からユーザ単位で使用状況をソートし、確認することも可能- アセット数- パブリックアセット数- インシデント数

ユーザ


登録済みSaaSアプリケーションの確認スキャン対象のクラウド

アプリを確認



ポリシーによる制御

● Prisma SaaSポリシーは、ユーザーの行動の追跡を行い、SaaSおよびIaaSアプリケーションの使用に関連するリスクを最小限に抑えることを目的としています。

● Prisma SaaSポリシーを使用すると、アセット（ファイルまたはその他のデータ）が責任ある使用がなされているかを監視し、無差別または不注意な共有などの人為的エラーによって引き起こされるマルウェア、マルウェアの伝播、規制違反、およびデータ漏洩から保護できます。

● Prisma SaaSは、ポリシー違反を検出すると、マルウェア、セキュリティ違反、またはコンプライアンス違反に関連するアクティブなインシデントを通知するアラートを生成します。

● 設定によって、インシデントを修正するための自動アクションを実行することも可能です。

ポリシーによる制御

インシデントの重大度を設定

ルール名を設定

ルールの説明を追加


ポリシーによる制御 (Con’t)

一致条件としてデータパターンを指定

一致条件として公開レベルを指定

アセット検出時のアクションを指定

アセット検出時にアラートやインシデントを作成


データパターンの設定

正規表現でデータパターンを定義



コンテンツの調査

● Prisma SaaSは、管理対象SaaSアプリケーションのすべての資産を可視化します。● 検索機能によって、最も重要なインシデントを見つけるのに役立つ、以下のようなビューを提供します。○ ユーザー毎のインシデントを表示して、特定のユーザー（または外部の共同編集者）が誤用の履歴を持っているかどうかを判断します。

○ 特定のファイルタイプのすべてのインシデントを表示します。○ 修正プロセスを簡素化し、ポリシーを微調整する必要があるかどうかを判断します。たとえば、外部公開によるPII違反の発見、管理者への問題の割り当て、所有者へのメール送信を、1つの合理化されたワークフローで行うことができます。

コンテンツの調査

任意の期間を指定

接続済みのクラウドアプリを指定

Hitしたポリシールールを指定

アセットの公開レベルを指定



インシデントの調査● Prisma SaaSは、デフォルトのポリシールールおよび定義したカスタムルールに対するアセットルールまたはセキュリティコントロールルールの違反を検出すると、インシデントを生成します。

● 管理対象SaaSアプリケーションのすべてのアセットをスキャンしてインシデントを検出し、ファイルとフォルダーのメタデータ、関連する共同編集者、およびファイルのコンテンツをアクティブなポリシールールまたは構成と照合します。

● インシデント毎に、それが規制の違反を示しているかどうか、またはそれが専有データまたは知的財産のセキュリティを侵害しているかどうかを判断できます。○ 例1：3ヶ月間ローテーションされていないAWSキー○ 例2：WildFireがマルウェアに分類したファイル○ 例3：複雑さの最小要件を満たしていないパスワード○ 例4：外部ユーザーと共有する、またはパブリックリンクを含む機密データ（クレジットカードや社会保障番

号、秘密のコード名、ソースコードなど）を含むドキュメントまたはフォルダー○ 例5：ユーザーが外部ドメインまたは共同編集者と共有したアセット、またはパブリックリンクまたはバニテ

ィURLを介して直接アクセスできるアセット○ 例6：機密データを含む企業の電子メールを個人の電子メールドメインに転送

インシデントの調査

インシデントリストより、当該インシデントに関する下記の情報を確認可能・重大度 /日付 / クラウドアプリ / アイテム名 / 所有者 /

Hitルール / 担当者 / ステータス / 前回の日付当該リストのアイテム名をクリックし、より詳細な情報を確認することも可能

Click!


インシデントの調査 (Con’t)

WildFireレポートを表示


レポート

● Prisma SaaSに関するレポートを生成して、ポリシー違反を事前に特定し、個人データを公開し、コンプライアンスの状態を判断できます。

● SaaSリスク評価レポート○ ネットワーク上のクラウドアプリのセキュリティ状況を共有できます。

● GDPRレポート○ コンプライアンス違反の可能性に関する洞察を提供します。


コンプライアンスレポート(GDPR)

コンプライアンスレポート（GDPR）を作成


SaaSリスク評価レポート

任意のタイミングでレポートを作成可能


SaaSリスク評価レポート (Con’t)


他社CASB製品の課題 (プロキシ or エージェント型) ● 端末/サーバ側への導入構成が複雑(PAC/VPNエージェント導入)● クラウドプロキシ製品の組合せが困難● オペレーションコストの増加

条件付き許可

禁止

リモートユーザ

オンプレユーザログ転送

トラフィック転送

ADコネクタ

PACファイル / VPNエージェント導入

Pacファイル

クラウドプロキシ


Sanctioned


条件付き許可

禁止

リモートユーザ

オンプレユーザログ転送

トラフィック転送

ADコネクタ

PACファイル / VPNエージェント導入

Pacファイル



��

��

��

AD��

Pac�� /VPN��

Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

��

��

��

AD��


Pac��

Sanctioned

他社CASB製品の課題 (プロキシ or エージェント型) ● 端末/サーバ側への導入構成が複雑(PAC/VPNエージェント導入)● クラウドプロキシ製品の組合せが困難● オペレーションコストの増加



まとめ

● CASBの導入はお客様の運用負担増となる○ PACファイル、エージェントソフト等の配布、インストール負担が発生○ クラウドプロキシ製品同士の併用が困難

● 次世代FW＋Prisma SaaSは顧客環境における運用負担なし○ インストール作業不要、運用コストの削減○ APIベースの動作により他社クラウドプロキシとも併用可能

追加のCASB ＝運用負担増次世代FW＋Prisma SaaS ＝運用負担低減

Thank you

paloaltonetworks.com

（参考）新しい会社ロゴ、新しいブランド（Strata）を発表

・PAシリーズ・PA-VMシリーズ

・旧GPCS → PRISMA ACCESS・旧RedLock → PRISMA CLOUD・旧Aperture → PRISMA SAAS

・旧Traps → Cortex XDR Prevent・旧CORTEX XDR → Cortex XDR PRO per Endpoint・旧Magnifier → Cortex XDR PRO per TB・旧Demisto → Cortex XSOAR

Securethe

Enterprise

SecuretheCloud

SecuretheFuture

旧ロゴ


（参考）クラウドセキュリティのテーマと関連製品


テーマユースケースPrismaAccess

PrismaPublic Cloud

PrismaSaaS

その他の関連製品

モバイルセキュリティ● モバイルセキュリティ(働き⽅改⾰)● BYODセキュリティ● リモートVPNやプロキシの撤廃

◉ PA-Series、VM-Series

拠点セキュリティ● MPLSの負荷軽減/撤廃● SD-WANソリューションとの併⽤● 海外含む拠点のFW機器撤廃

◉ PA-Series、VM-Series

ゼロトラストクラウドセキュリティ

● プロキシ/CASBの更改● ゼロトラストイニシアチブ ◉ ● ●

クラウドガバナンス＆コンプライアンス

● 環境横断でのアセット/設定管理● GDPR等の各種規制対応 ◉ ◉ VM-Series

クラウドデータ保護 ● クラウド上の情報漏洩防⽌ ◉ ◉

クラウド脅威防御● セグメンテーションと脅威防御● クラウドのホスト/ネットワーク保護● セキュリティ調査の迅速化

◉ VM-Series、Traps

DevOpsセキュリティ● コンテナイメージの脆弱性スキャン● IaCセキュリティ● CI/CDパイプラインの継続的監視

◉ VM-SeriesTwistlock、PureSec


（参考）Prismaによる包括的なクラウドセキュリティ

FWaaS(Firewall-as-a-

Service)

セキュアWebゲートウェイ

クラウド態勢管理CSPM

(Cloud Security Posture Management)

CASB(Cloud Access Security

Broker)

クラウドワークロード保護

CWP(Cloud Workload

Protection)

SDP(Software-

Defined Perimeter)

仮想ファイアウォール

Prisma...

Documents

Transcript of Prisma...