【Fortinet】攻撃者を誘う罠！FortiDeceptor！！

皆さん、こんにちは。
ネットワールドSE 　西日本技術部の廣澤です。

今回はFortinetが提供する、

｢FortiDeceptor｣

をご紹介いたします。

是非、最後までお読みいただければ幸いです。

さっそくですが｢FortiDeceptor｣という製品は、

攻撃者に対する罠です。

近年のセキュリティシーンでは、

｢既に侵入されていることを前提に対策が必要｣

とされています。

では、どうやって攻撃者を探し出せばよいのか？

｢攻撃者が狙いそうな情報･環境を使って誘い出せば良いじゃないか！｣

という結論に至った、それがFortiDeceptorです。

上記の説明から一部の方は、

｢それって”ハニーポット”ってやつなのでは？｣

と思われたかもしれませんが、その認識は間違いではありません。

FortiDeceptorは｢ハニーポット｣を拡張した、

｢ディセプション(=欺瞞)｣

というジャンルに含まれる製品の１つです。

ここからはFortiDeceptorの構成要素と動きについてご説明します。

FortiDeceptorを含む多くのディセプションは３つの要素で攻撃者を誘い出します。

FortiDeceptorの内部に｢デコイVM｣｢ルアー｣｢トークン｣を準備します。

｢デコイVM｣の中に｢ルアー｣を配置し、｢デコイVM｣を通常の業務ネットワークに接続します。

｢トークン｣は、ADのGPO機能やFortiClientEMSを利用して実サーバやクライアントに配布します。

ADやFortiClientEMSが利用出来ない場合は、共有フォルダからユーザ毎に取得させても構いません。

社内に潜む攻撃者が｢トークン｣経由で｢デコイVM｣に接続します。

あるいは、ポートスキャンによって｢デコイVM｣を見つけ出し攻撃をしかけます。

FortiDeceptorはデコイVMに外部からのアクセスを検出するとアラートをあげます。

FortiDeceptor自体はアラートを発生させるまでしか出来ません。

ですが、連携するFortiGate/FortiSwitch/FortiClientはアラートを受け取ることで、

攻撃者の潜伏する端末をネットワークから隔離することが出来ます。

以上がFortiDeceptorによる脅威対策の一連の流れとなります。

今回はFortiDeceptorに関する簡単な概要と動作の流れについてご説明しました。

今後、数回に分けて実際のFortiDeceptorの画面を利用してより詳細な製品説明を

進めていきます。

もし、ご興味ご関心がございましたら、次回もお付き合いいただければ幸いです。

免責事項

本書は、株式会社ネットワールド（以下弊社）が作成・管理します。
本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
本書の利用は、利用者様の責任において行われるものとします。
本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。