FortiDeceptor
プロアクティブなセキュリティを実現
FortiDeceptorの製品概要
FortiDeceptorは、デコイ(おとり)のエンドポイントデバイスやサーバを配置して、本番環境を模倣した偽の環境を構築することで、業務影響を与えるサイバー攻撃を未然に防止し、本物の環境への侵入を防ぎます。
ネットワーク内で発生するサイバー攻撃を事前に検知することでセキュリティを強化します。 盗まれたID情報の使用、横展開攻撃(ラテラルムーブメント)、中間者攻撃、ランサムウェアなどのサイバー攻撃の発生時にセキュリティアラートを通知します。
FortiDeceptorが提供する主なコンポーネント
- デコイ:偽の資産、偽のネットワーク機器、偽のアプリケーション
- ルアー:ハニーポット、デコイの偽サービス
- トークン:本物のIT資産に配置された偽のリソースで、偽のシステムを指し示す
セキュリティチームが直面する課題 – Deceptionの価値
侵入した攻撃者の検出は困難
- グローバルでの平均滞留時間は21日
- ラテラルムーブメントの自動的な検知は困難
セキュリティチームによるハンティング活動の限界
- 誤検知アラートの割合が高く、すべてを調査するのは困難
レガシーシステムやセキュリティ管理が不十分なシステムの保護 (OT, IoT, IoMT)
- エアギャップ環境
- テレメトリーを生成しない資産(e.g., IoMT/OT/IoT)
- パッチ未適用/未監視の重要機器
FortiDeceptor はあらゆる攻撃対象領域におけるネットワーク内の脅威活動を迅速に検知します。
なぜDeceptionを検討するべきか?
FortiDeceptorの特長
IT/OT/IoTを広くカバーするデコイやルアーを用意
ダウンロードするだけですぐに使えるOSやアプリケーションのイメージを用意し、業務アプリケーションやSCADA、IoTデバイス等も利用可能です。カスタマイズしたOSも登録可能なためより精巧なデコイを設定することもできます。既存のデバイスにエージェントをインストールしないため、既存ネットワークの停止や、稼働中のデバイスをオフラインにするダウンタイムが不要です。
自動隔離によるラテラルムーブメントの抑止
デコイへのアクセスを検知すると、アクセス元のアドレスを即時にFortiGate等へ自動連係し隔離することにより攻撃を妨害します。デコイは業務上アクセスする必要がないリソースであるため、誤検知等による業務影響がありません。死活監視サーバからの定期通信などに対しては、ホワイトリスト設定することで余計なアラート(誤検知)を発生させないことが可能です。
脅威ハンティングによる多層防御への貢献
デコイで得られた情報や、デコイにより検知された踏み台への対策等を既存のソリューションに還元し攻撃の早期検出や、将来の対策に生かします。
FortiDeceptorのテクノロジー
外部および内部の攻撃に対して、サイバーキルチェーンの早い段階で検知・排除します。セキュリティインシデントが発生する前にこれらの脅威をプロアクティブにブロックするように設計された高度な脅威のディセプションです。
FortiDeceptor – デプロイメント
機能①:だます
- 本物のIT・OT資産と見分けがつかず、インタラクティブ性の高いデコイに攻撃者を誘い込みます。
- おとりVM(Windows、Linux、ICS/SCADA)の展開とルアー(データ、アプリケーション/サービス)の生成を一元的に管理し、自動化します。
- デコイ(おとり)に誘導するトークンをユーザーPC/サーバに配置します。
機能②:検知する
- 外部および内部の攻撃者からの活動の検出と、相関分析を実施して攻撃者の悪意を暴きだします。
- 疑わしい行動を検知(ふるまい検知)を行い、アラートを発生させる早期警告システムとして機能します。
- 攻撃者の戦術が、分析を通して顕在化され、環境への進入方法や目的、使用したツールなども知ることができます。
- Syslog、SNMP、Mailによるアラート通知が可能です。
機能③:排除する
- 実際の被害が発生する前に、リスク重大度をベースに手動/自動で攻撃者をブロックします。
- FortiGate連携:アクセスレイヤ隔離もしくはIP隔離を行います
- FortiNAC連携:エンドポイントデバイスを隔離します。
製品仕様
| 項目 | FORTIDECEPTOR 1000G | FORTIDECEPTOR VM |
|---|---|---|
| タイプ | ハードウェアアプライアンス(1U) | 仮想マシン ESXi/KVM/Hyper-V (AWS/Azure/GCP)* |
| デコイの種類 | 20 | 20 |
| IPアドレス数 | 480(24 per デコイ) | 480(24 per デコイ) |
| VLAN | 128 | 128 |
| ネットワーク | 4 x GE (RJ45), 4 x GE (SFP) | 6 port |
| ストレージ | 2 TB (2 x 1 TB HDD, RAID) | 200GB-16TB(推奨1TB以上) |
*パブリッククラウド上のアプライアンス+別途オンプレミスのアプライアンスが必要
サポート デコイ&ルアー
Local Windows Decoys
- Windows 7
- Windows 10
Custom Windows Decoys
- Windows 7
- Windows 10
- Windows 11
- Windows Server 2016
- Windows Server 2019
- RedHat Enterprise Linux 7.9
Windows Lure / Token
- RDP
- ICMP
- FTP
- TCP Port Listener
- SMB
- SMTP
- NBNSSpoofSpotter
- SWIFT Lite 2
- SQL (MS-Server)
- Cache Credentials
- SQL ODBC
- SAP Connector
- HoneyDocs (Office / PDF / Excel)
VPN Decoys
- FortiOS
VPN Lures
- SSLVPN
- SSL VPN DMZ
Linux Decoy
- Ubuntu 16.0.4
- Ubuntu 18.0.4
- CentOS
- MacOS
- Outbreak Alerts
Linux Lure / Token
- SSH
- SAMBA
- TCP Port Listener
- ICMP
- Radius
- FTP
- ESXi
- ELK
- GIT
- MariaDB (MySQL)
- Tomcat (Webserver)
- SCADABR (MGMT)
- Citrix
- Webmin
IoT Decoys
- TP-Link Router
- IP Camera
- Printers (HP, LX, BR)
- UPS
- SWIFT VPN Gateway
- HP Switch
VoIP Decoys
- SIP
- XMPP
- MQTT
- 4G/5G-3GPP
Application Decoys
- SAP
- ERP
- POS
Cloud Decoys
- Azure
- AWS
- Google Cloud
Medical Decoys
- PACS / Infusion Pump
- DICOM
- SPACECOM
- INFUSOMAT (Braun)
SCADA Decoys
- Schneider
- Modicon M241
- PowerMeter PM-5560
- EcoStrucure BMS Server
- SCADAPack 333E
- Siemens
- S7-200 PLC
- S7-300 PLC
- S7-1500 PLC
- Rockwell
- Rockwell PLC
- 1769-L16ER/B LOGIX5316ER
- 1769-L35E Ethernet Port
- Niagara
- Niagara4 Station
- NiagaraAX Station
- Phoenix Contact AXC 1050
- MOXA NPORT 5110
- GUARDIAN-AST
- GE PLC 90 (SRTP)
- Liebert Spruce UPS
- VAV-DD BACnet controller
- Kamstrup 382
- Ascent Compass MNG
- IPMI Device
- Modicon M580
- PowerLogic ION7650
- Emerson iPro by Dixell
- C-More HMI
- Lantronix XPORT
SCADA Lures
- HTTP/HTTPS
- FTP
- TFTP
- SNMP
- TELNET
- MODBUS
- S7COMM
- BACNET
- IPMI
- MOXA
- TRICONEX
- ENIP (EtherNet/IP)
- DNP3
- IEC 60870-5-104
- PROFINET
- KAMSTRUP
- Guardoan-AST
WindowsおよびRHE:のライセンスはFortiDeceptorのサブスクリプションに含まれない
Windows Server/RHEL/IIS/SQL Server はCustom Decoy としてサポート
| 仮想マシン | |
|---|---|
| サポートするハイパーバイザー | VMWare vSphere ESXi 5.1、5.5、6.0、7.0以降、KVM、Hyper-V、AWS、AZURE、GCP |
| 仮想CPU数(最小/最大) | 12/無制限* インテルバーチャライゼーション・テクノロジー(VT-x/EPT)またはAMD Virtualization(AMD-V/RVI) |
| 仮想ネットワークインタフェース | 6 |
| 仮想メモリ容量(最小/最大) | 16GB/無制限** |
| 仮想ストレージ容量(最小/最大) | 200GB/16TB*** |
*各ディセプションVMが2Vcpuを必要とする場合、仮想CPU数は、ディセプションVM数プラス2にすることを推奨します。
**仮想メモリサイズは、4GBプラス各ディセプションVMクローン用に2GBを追加することを推奨しています。
***本番環境における仮想ストレージサイズは、1TBにすることを推奨します。
まとめ FortiDeceptorを活用したセキュリティ運用
デコイ&ルアー
- デコイ・ルアーを豊富に提供
- 標準テンプレートによって、デコイ&ルアーの展開を容易に
インシデント分析・脅威情報
- アラート解析を自動化
- マルウェア解析を自動化
- 侵入経路や使用ツールの特定
FortiDeceptorの強み
- 既存システムを停止せずに、ディセプションサービスを提供
- FortiGateやFortiNACとのファブリック接続によって、自動隔離を実現
- エアギャップ(閉域)ネットワークへの展開も可能
